이 시각 주요 뉴스

여백

랜섬웨어 위협 대응 이렇게 하라!

블루코트, ‘인텔리전스 보안 체계 구축 5단계’ 발표
이광재 기자l승인2015.04.27 09:53:20l수정2015.04.27 11:52

크게

작게

메일

인쇄

신고

최근 전세계적으로 피해를 증가시키는 랜섬웨어가 국내에서도 발견됨에 따라 새로운 보안 위협으로 등장하고 있다. 특히 랜섬웨어(Ransomware, 데이터를 ‘인질’로 잡는 사이버 공격)의 일종으로 지난 2013년 출현 이후 피해 규모가 커지고 있는 ‘크립토락커(CryptoLocker)’의 한글 버전이 배포되고 있어 사용자의 각별한 주의가 당부되고 있다.

지난 4월21일 국내 커뮤니티 웹사이트인 ‘클리앙’에서는 드라이브 바이 다운로드(Drive by Download, DBD) 공격 방식으로 크립토락커가 배포됐다.

렌섬웨어에 감염된 PC의 시스템 파일을 제외한 MS 오피스 및 한글 문서 파일, 압축 파일, 동영상, 사진 등을 암호화해 정상적으로 사용하지 못하게 만든 뒤 이를 풀어주는 조건으로 돈을 요구한다.

특히 비트코인 또는 추적이 어려운 전자 화폐 수단이 사용돼 추후에 추적하는 것도 쉽지 않다. 또한 비용을 지불한다 하더라도 데이터 복원이 불가능하다.

▲ 멀웨어 분석 솔루션인 ‘MAA’로 실행한 실제 고객사 분석 화면

특히 이번 크립토웨어 경유지는 다양한 도메인을 사용하며 계속해서 변형되므로 URL 및 URI를 차단하는 것만으로는 공격을 방어할 수 없다는 한계가 있다.

또한 공격자의 의도에 따라 IP도 쉽게 변경할 수 있다는 점에서 현재로서는 악성 사이트를 빠르게 탐지하고 이미 감염된 PC를 격리 조치하는 것만이 현재의 위험을 줄이는 최선의 대응 방안으로 제시되고 있다.

이에 블루코트도 멀웨어를 감지해 보호된 영역 내에서 위험 여부를 분석하는 샌드박싱 기술을 적용한 멀웨어 분석 솔루션인 ‘MAA(Malware Analysis Appliance)’와 ‘블루코트 글로벌 인텔리전스 네트워크(Blue Coat Global Intelligence Network)’를 활용해 클리앙 랜섬웨어(CRYPTOLOCKER) 공격 양상을 확인했다.

블루코트코리아가 클리앙 랜섬웨어 분석결과 메모리 참조, 실행파일등록, 네트워크 트래픽 유발내역 등이 확인됐고 C&C서버로의 통신시에도 랜섬웨어의 다양한 보안 위협 행위들이 탐지 됐다. 또한 금융 정보 탈취 맬웨어로 유명한 ‘Emotet Trojan’도 확인됐다.

또한 블루코트는 버추얼 윈도(Virtual Windows) 기반 가상머신(VM)의 랜섬웨어 감염을 샌드박스에서 확인할 수 있었다.

이러한 가운데 블루코트코리아는 랜섬웨어 공격 대응을 위한 ‘인텔리전스 보안 체게 구축 5단계’를 발표했다.

블루코트가 발표한 인텔리전스 보안 체계 구축 5단계는 ▲보안 프로그램을 최신 버전으로 업데이트하기 ▲정기적으로 백업 진행하기 ▲샌드박스 등 최신 악성코드 탐지 솔루션을 활용해 멀웨어 탐지하기 ▲지속적인 보안 상황 모니터링을 통한 보안 정책 업데이트하기 ▲글로벌 인텔리젼스 보안 정책 환경 구축하기다.

보안 프로그램을 최신 버전으로 업데이트하기 = 사용자들은 OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW등 프로그램의 최신 보안 패치를 적용해야 한다.

또한 V3 등 최신 버전의 백신 프로그램을 설치하고 자동업데이트 및 실시간 감시 기능을 실행하는 것이 좋다. 제목이 자극적이거나 출처가 불분명한 메일에 첨부된 파일은 실행을 자제하고 링크 주소를 클릭하지 않는 것이 안전하다.

기업 보안 담당자는 사내 모든 PC및 서버의 OS(운영체제), 응용소프트웨어의 최신 보안 패치가 적용될 수 있도록 조치를 해야 한다. 특히 경우에 따라 신속하게 외부 네트워크로부터 시스템이 차단될 수 있도록 정책을 변경하고 장기간 사용하지 않는 PC는 전원을 끄고 네트워크에서 분리해 둬야 한다.

정기적으로 백업 진행하기 = 주기적으로 전체 시스템 및 데이터를 증분·차등 백업하는 것으로 자동 설정해두면 편리하게 업데이트된 내용만 추가적으로 저장되므로 백업 속도도 빠르고 디스크 공간도 절약할 수 있다.

또한 사용중인 PC의 하드디스크에 물리적 손상이 발생하거나 시스템 문제로 부팅이 되지 않을 때에도 데이터를 안전하게 유지할 수 있도록 백업된 데이터는 별도의 이동식 드라이브 및 외부 저장소에 저장해두는 것이 안전하다.

최종적으로 백업된 데이터도 사용자가 자체적으로 암호화하여 보다 안전하고 확실하게 데이터 보안을 유지해야 한다.

샌드박스 등 최신 악성코드 탐지 솔루션을 활용해 멀웨어 탐지하기 = 샌드박스나 기타 다양한 탐지 툴을 이용해 알려지지 않은 악성코드 분석이 필요하다.

특히 시그니처 기반의 현 보안 시스템 기반의 한계 극복을 위해 실시간으로 모든 트래픽을 저장하고 각 카테고리 별로 확인하여 능동적인 위협 요인을 탐지하고 분석하는 것이 추가로 필요한 시점이다.

지속적인 보안 상황 모니터링을 통한 보안 정책 업데이트하기 = 지속적인 위협 요인 분석을 통해 얻은 정보를 기반으로 보안 정책을 수정해야 한다.

이를 위해 사내 다양한 보안 솔루션을 함께 통합 관리하여 위험 신호를 상세하게 분석하고 전체 시스템에 적용해 일관된 보안 정책을 유지해야 한다.

글로벌 인텔리젼스 보안 정책 환경 구축하기 = 자사뿐만 아니라 전세계에서 발생하는 수많은 보안 위협을 확인해 방어 체계를 구축함으로써 자사 IT 인프라의 안정성을 높여야 한다.

이를 통해 수개월 동안 네트워크에 잠복하고 있는 멀웨어를 효율적으로 탐지하고 분석해 분석결과를 토대로 한 합리적인 대책을 세울 수 있는 진보한 보안체계를 구축할 수 있는 환경을 제공한다.

블루코트는 이러한 분석 정보를 전세계 1만5000여개 고객사 및 7500만 사용자들이 새로운 보안 위협에 대한 정보 인텔리전스를 공유하는 네트워크인 ‘블루코트 글로벌 인텔리전스 네트워크(Blue Coat Global Intelligence Network)’를 통해 제공, 사이버 테러 발생여지가 있는 알려지지 않은 위협을 신속하게 확인해 대처함으로써 IT 인프라를 안정적으로 최적화시킬 수 있도록 지원한다.

김기태 블루코트코리아 대표는 “향후 공격은 이메일이나 파일 다운로드가 아닌 이와 같은 감염된 웹사이트를 방문하는 것만으로도 피해를 유발하는 형태로 확대될 것으로 예상된다”며 “인터넷 익스플로러와 플래시의 신규 취약성을 중심으로 국내 주요 웹서비스에 대한 공격으로 악성코드에 감염되는 사태가 커진다는 의미로 이미 해외에서는 윈도뿐만 아니라 맥과 모바일 사용자를 대상으로 한 공격 사례가 발견되고 있다”고 밝혔다.

이어 “보안 사고는 예방이 가장 이상적이며. 위협 탐지는 의무가 된 시점으로 내 PC의 파일 및 폴더가 렌섬웨어의 다양한 변종의 공격들로부터 피해를 입지 않도록 지속적인 주의가 필요하다”고 전했다. 

이광재 기자  voxpop@cctvnews.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

이광재 기자의 다른기사 보기
기사 댓글
첫번째 댓글을 남겨주세요.
0 / 최대 400byte

숫자를 입력해주세요

욕설등 인신공격성 글은 삭제합니다.
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2019 CCTV뉴스. All rights reserved .