랜섬웨어 피해가 급증한 가운데 실시간 전용 방어 솔루션이 나왔다.
트루컷시큐리티(대표 심재승)는 사용자 입력기반 악성행위 차단 기술을 적용한 `랜섬프리`를 개발했다. 랜섬웨어는 주요 문서나 사진 파일 등을 암호화해 인질로 잡고 돈을 요구하는 악성프로그램이다.
트루컷시큐리티는 사후 복구나 대응이 아닌 사전 방어를 내세웠다. 그동안 랜섬웨어 예방책은 보안 수칙 생활화와 백업에 집중됐다. 랜섬프리는 악성코드가 아닌 악성 행위를 인식해 대응한다. 트루컷시큐리티는 기계와 인간의 상호작용을 기반으로 악성 행위를 판단하는 `휴먼 인터랙션 COA(Cut On Active)` 알고리즘을 개발했다. 컴퓨터 동작 원리와 원격지 공격자 한계를 이용해 알려지지 않는 공격을 막는 기술이다. 기존 보안 솔루션은 주로 알려진 악성코드 DB를 업데이트하거나 샌드박스에서 악성행위 여부를 판별한다.
랜섬프리는 랜섬웨어가 문서 등 각종 파일을 암호화할 때 실시간 차단한다. 랜섬웨어 등 악성코드는 PC에 감염되면 자동으로 작동한다. 사람이 키보드를 누르거나 마우스를 작동하는 행위가 나타나지 않는다. 사람 입력 행동이 없는 상태에서 파일이 암호화되는 것은 악성행위다. 랜섬프리는 랜섬웨어 동작 원리를 이해하고 차단한다. 랜섬프리가 설치된 PC는 랜섬웨어에 감염돼도 문서나 사진 파일 등을 정상적으로 쓸 수 있다. 랜섬웨어는 각종 파일을 암호화하지만 랜섬프리가 정상 파일을 보호한다.
랜섬프리는 기존 보안 제품과 달리 시그니처 데이터베이스(DB) 없이 악성코드가 주요 파일을 암호화하는 순간을 포착한다. 랜섬웨어 DB가 없어 업데이트 등이 필요 없다.
심재승 대표는 “기업은 여전히 막고 거르고, 암호화하고, 망분리하는 등 과거 보안 개념에 매달린다”며 “악성코드가 아닌 악성 행위를 차단하는 개념을 도입해야 할 때”라고 설명했다. 그는 “랜섬웨어는 백업이 최상의 대응책으로 알려졌지만 랜섬프리 개발로 실시간 방어 시대가 열렸다”고 덧붙였다.
최근 랜섬웨어는 다양한 방법으로 유포되는 데다 종류도 늘었다. 랜섬웨어는 이메일 첨부파일이나 각종 웹 페이지에서 제공하는 다운로드 파일 변조, 윈도 운용체계(OS)나 응용 프로그램 보안 취약점을 활용해 유포된다. 국내외 웹사이트와 연계된 광고 사이트의 정상 네트워크를 악용해 악성코드를 유포하는 `멀버타이징`까지 활용하며 파상공세를 편다.
글로벌 사이버 위협 연합 CTA(Cyber Threat Alliance)에 따르면 랜섬웨어는 짧은 시간 내에 막대한 금전 이득을 취할 수 있어 사이버 범죄 조직이 선호한다. 최근에는 신용카드 데이터보다 높은 가치 데이터를 랜섬웨어에서 추출해 피해 규모가 더욱 커질 것으로 전망된다. CTA 보고서에 따르면 크립토월(CryptoWall v3) 랜섬웨어가 벌어들인 수익만 3억2500만달러였다.
김인순 보안 전문기자 insoon@etnews.com