이메일로 들어오는 랜섬웨어 공격으로 사용자PC가 악성 바이러스에 감염, 보안 관리자들이 골머리를 앓고 있다. 랜섬웨어에 감염될 경우 복구에 엄청난 비용이 들고 불응시 데이터를 초기화 시키는 경우도 발생한다.
27일 이월리서치(대표 김종모) 연구소에 따르면 지난 3월 록키 랜섬웨어는 좀비 PC 4만2000여대를 동원, 바이러스 첨부 파일을 계속 변종 시키면서 1시간 이내에 집중 공격하는 형태를 취했다. 또 공신력이 있는 바이러스 차단 엔진도 치료제를 반영 할 수 없고, 행위기반분석 엔진도 처리능력을 초과, 나머지 랜섬웨어 메일을 그냥 통과시키는 현상이 발생했다. 이메일로 들어오는 록키 렌섬웨어나 해킹성 메일은 백신 또는 행위기반분석(SandBox)만 믿고 처리하기에는 한계에 도달, 정책적 전략으로 접근하는 솔루션 도입이 필요, 메일 첨부파일 유형에 따라 분류해 차단하는 정책 설정이 권장된다. 예를 들어 문서 종류 첨부 파일은 읽기만 가능한 PDF 혹은 이미지 형태로 변환해 메일 수신자에게 전달, 문서 변형에 따른 감염을 사전에 차단하고, 문서 이외 첨부 파일(실행 파일 등)은 사전에 통제한 후 메일 수신자에게 첨부파일이 제거된 상태로 첨부파일 여부 표시가 포함된 메일 원본을 PDF나 이미지로 변환해 보내는 것이 요구된다. 또 추후 첨부 파일이 포함된 원본이 필요 할 경우 메일 수신자가 보안관리자에게 실시간 승인 요청 처리를 통해 수신하는 정책이 필요하다.
김종모 이월리서치 대표는 “모 금융사가 외산 샌드박스를 도입했음에도 록키 랜섬웨어 등 변종이 심하고 대량 메일로 공격을 실시간 방어하기 위해 이메일 전문 보안솔루션인 이월리서치의 PDF변환 기능을 포함하고 있는 SmashAPT를 도입, 효과적으로 대비하고 있다”면서 “외산 제품에 의존하기 보다는 무엇보다 사용자 주의를 통한 피해 예방과 이메일 업무의 효율성과 편리성을 염두해두고 정책 설정을 기반으로 하는 이메일 보안 검토가 필요하다”고 밝혔다.
방은주기자 ejbang@etnews.com