?글로벌 차세대 보안 선도 기업인 팔로알토 네트웍스(Palo Alto Networks^®)는 랜섬웨어 예방 및 대응 방안을 발표하고 다중 보안을 지원하는 지능형 엔드포인트 보안 솔루션인 ‘트랩스(Traps™) 4.0’을 소개했다.
팔로알토 네트웍스 코리아의 최원식 대표는 “지난 10년 동안 약 6억 개 이상의 악성코드가 출현했다. 최근 랜섬웨어는 무엇보다 제로데이 취약점 공격이나 알려지지 않은 멀웨어(Unknown Malware) 등 기존의 보안 시스템을 회피하기 위한 형태로 진화하고 있으며 단순한 해킹 유형의 범주를 벗어나 사이버 공격자 들이 전문화 조직화 되어 금전적 수익을 목적으로, 수백만 달러 규모의 효과적인 사이버 범죄 모델로 진화했다”라고 말하며, “이에 악성 코드를 대응하기 위한 시그니처 패턴이 만들어지는 속도를 추월하고 있고, 신종 악성코드가 탐지 되지 않는(Zero-day) 기간이 늘어나고 있어, 관리자들의 불안감이 날로 커지고 있는 상황이다. 이러한 위협으로부터 비즈니스를 보호하기 위해서는 적절한 관리자 및 사용자 교육, 기존 IT 환경에 적합한 조치, 그리고 엔드포인트 보안 고도화를 통해 랜섬웨어 예방 및 대응 전략을 구축해야 한다”라고 강조했다.

실제로 팔로알토 네트웍스가 클라우드 기반 지능형지속위협(APT) 방어 및 대응 솔루션인 와일드파이어(WildFire)를 통해 전 세계적으로 수집 된 악성코드를 분석한 결과 전 세계 상위 6개 안티바이러스 제품에서 탐지하지 못하는 악성코드 파일이 62.5%에 달하는 것으로 조사됐다(자료: Average monthly values as of January 2016. Source: Palo Alto Networks WildFire and Multi-Scanner).
랜섬웨어의 공격 범위의 확대
이전의 공격자들은 주로 마이크로소프트 윈도우(Microsoft^® Windows^®) 시스템을 타깃으로 삼았다면 랜섬웨어의 경우 안드로이드(Android)와 리눅스(Linux)는 물론이고 Mac^® OS X^®까지도 안전지대라고 할 수 없이 공격 범위가 넓어졌다. 인터넷 연결이 가능한 모든 컴퓨터와 디바이스는 랜섬웨어의 잠재적인 타깃이 되며, 사물인터넷(IoT)의 확대로 보안 위협 상황도 더욱 빈번하게 발생할 여지가 있다. 또한 웨어러블 기기 및 스마트홈 어플라이언스 등의 인터넷 연결 기기로도 확산될 수 있다.
랜섬웨어의 주요 타깃
랜섬웨어는 일반 사용자들에게 직접적인 영향을 미치고 있다. 공격을 입은 피해 기업 및 기관은 서비스 수준이 심각하게 저하되거나 아예 중단될 수 있기 때문이다. 범죄 조직의 입장에서는 진입 장벽이 낮으면서도 수익성이 좋은 모델이 되므로 기존의 다양한 사이버 범죄들이 랜섬웨어로 빠르게 대체되고 있는 상황이다. 또한 공격자들의 역량 또한 더욱 진화해, 그들은 몸값을 요구할 정보의 가치를 정확하게 파악하고 있으며, 지불할 의사와 능력이 되는 타깃을 선별하여 공격하며, 점점 더 많은 몸값을 요구하고 있다.
기존 레거시 엔드포인트 보안 솔루션의 한계
· 제로데이 등 알려지지 않은 취약점기반 공격이 급증하고 있다.
· 시그니처 기반 솔루션으로 현재 멀웨어를 전부 차단하는 것은 불가능하다.
· 표적공격(Targeted Attack) 을 방어하기가 힘들다.
· 안티 바이러스 솔루션의 경우, 알려지지 않은 제로공격에 취약하다.
· 패턴 기반 및 행위기반의 솔루션은 높은 엔드포인트 리소스 사용량을 요구(CPU, 메모리, 디스크 등)한다.
수년 동안, 시그니처 기반 보안은 알려진 공격 대부분을 빠르고 확실하게 차단하고 있지만. 이를 회피 하기 위한 더욱 비밀스럽고, 파악이 어려운 지능형 멀웨어로 해킹기술이 빠르게 진화하면서 기존에 알려진 공격에 대응하는 시그니처(Signature) 기반의 보안 대응 전략은 한계에 이르고 있다.
특히, 실행 파일 뿐만 아니라 문서나 스크립트 파일(Document File & Script File)을 통한 감염은 그 관리 범위가 광범위해 보안의 어려움을 겪고 있다. 대화형 콘텐츠를 지원하는 문서파일인 PDF 파일은 플랫폼에 관계 없이 풍부한 콘텐츠 배포를 위한 필수불가결한 도구이다. 또한 이메일에 첨부된 파일이나 웹 다운로드 파일 등으로 하루에도 수천 건에 달하는 파일이 이동하고 있다.
뿐만 아니라 동적 액션 트리거, 원격 데이터 검색, 내장형 스크립트(Child-Process 생성을 통한 랜섬웨어 감염, Keylogger, 루트키트, Bot등의 다운로드 설치 등의 C&C 행위) 등의 동적 요소를 사용하면서 기존 알려진 시그니처 기반의 대응은 코드를 분석하거나 런타임 행위를 분석할 수 없어, 안티 바이러스 혹은 IPS의 시그니처와 위협의 시그니처가 일치 하지 않는 한 탐지가 불가능하다.
차세대 엔드포인트 보안 솔루션(Advanced Endpoint)의 필요 조건
랜섬웨어 공격은 빠르게 동작한다. 통상적으로 단 몇 분 이내에 감염되므로, 랜섬웨어 피해를 완화하거나, 예방할 수 있는 즉각적인 조치와 제어가 이루어져야 한다. 이를 위한 지능형 엔드포인트 보안 솔루션의 필요조건은 다음과 같다.
첫째, 취약점 공격을 통해OS에 발생할 수 있는 이상 현상을 다중 보안 정책을 사용하여 모니터링하고 차단해야 한다. 팔로알토 네트웍스 트랩스는 취약성 프로파일의 자동 예방 및 테크닉 기반 익스플로잇 공격 차단을 지원하며, 운영체제 커널이 악용되는 것을 방지한다.
둘째, 알려진 공격은 물론 알려지지 않은 멀웨어 공격에 대해서도 선제적으로 대응할 수 있도록 위협 인텔리전스를 제공하는 동시에 관리자 개입이 필요하지 않은 자동화 된 샌드박싱 기능을 제공해야 한다.
최근 출시된 트랩스 4.0은 파일 해쉬 기반의 빅데이터를 운영하여 알려진 멀웨어 공격을 차단하며, 알려지지 않은 공격에 대해서는 5분 내에 신속하게 차단할 수 있는 시그니처를 자동 생성하여 트랩스에 배포한다. 더불어 머신러닝을 활용하여 악성 행위를 즉시 차단 할 뿐만 아니라, 랜섬웨어와 같은 악의적 목적의 프로세스 행위를 정책적으로 차단한다.
셋째, 전체적인 보안 플랫폼과의 연동을 통해 외부에서 처음 발견된 랜섬웨어 및 악성코드를 자동으로 차단하고, 로컬 분석의 효율성을 증대시킬 수 있다. 팔로알토 네트웍스는 차세대 보안 플랫폼과 엔드포인트 보안을 연동시킴으로써 총체적인 보안 전략을 구축할 수 있도록 지원한다.