다양한 형태의 변종 '랜섬웨어를 비롯해 악성코드가 기승을 부리고 있다. 악성코드를 통해 인터파크가 1000여만 건에 해당하는 고객 정보를 해킹 당한 것은 물론, 비용문제로 보안시스템 구축이 약한 영세 중소기업의 기업 정보들이 털려나가고 있다.
'랜섬웨어'를 뿌린 해커들은 정보 복구를 빌미로 기업들에게 많게는 수천만원에서 적게는 수백만원까지 요구하고 있다. 최근 '랜섬웨어'의 주된 감염 경로는 이메일. 해커들은 악성코드가 숨겨있는 이메일을 해킹하려는 회사의 직원에게 보내 직원 PC를 좀비 PC로 만들어 데이터베이스(DB)에 접속, 원하는 정보를 빼내간다.
바이러스(악성 프로그램) 일종인 '랜섬웨어'는 'ransom(몸값)'과 'ware(제품)'의 합성어로 컴퓨터 사용자의 PC나 문서 등을 인질로 잡고 돈을 요구한다는 의미에서 붙여진 명칭이다.
'랜섬웨어'의 감염경로별 통계를 살펴보면 주로 인터넷 사용 중 각종 취약점을 통해 감염이 이뤄지는 DBD(Drive-by Downlord) 방식으로 유포되고 있지만 최근에는 이메일의 첨부파일 형태로 유포되는 사례도 점점 증가하고 있는 추세다.
특히 2015년부터 피해사례가 급증하기 시작해 현재는 국내를 포함한 전 세계가 '랜섬웨어'로 골머리를 앓고 있다. 뿐만 아니라 계속해서 새로운 형태의 '랜섬웨어'가 생겨나고 있어 위협은 좀처럼 수그러들지 않고 있다.
소프트웨어 개발 전문회사인 ㈜페타시큐어(대표 김태환)가 '랜섬웨어'를 원천 봉쇄하기 위해 발 벗고 나선 것도 이런 이유에서다. 이 회사가 개발한 솔루션은 서버용 제품 '제로캐슬'과 PC용 제품 '제로백업' 두 종류.
'제로캐슬'은 '웹쉘 모니터링'을 비롯해 '파일위변조 모니터링' '시스템 모니터링' '서버백신' '웹방화벽' '침입방지(IPS)' 'SSL' 등 보안과 관련된 모든 방어벽이 하나의 통합돼 있는 복합 솔루션이다. 특히 쉘의 정규식 패턴 탐지 및 해시값 매칭 탐지, 웹쉘 원천차단기술로 최근 해킹의 주요원인인 웹쉘로부터 서버를 안전하게 보호하는 것이 특징이다.
아울러 관리자가 지정한 영역 및 선택한 확장자를 실시간 감시해 위변조발생시 즉시 암호화해서 안전하게 보관중인 원본파일로 복구해 외부에 의한 파일위변조를 원천 차단해 준다.
또한 서버에서 실행중인 프로세스의 셧다운 및 이상 프로세스가 등록되거나 허용된 포트 이외에 포트가 오픈시 감지기가 작동하고 서버리소스의 임계값 설정 후 이상 발생시 알림기능이 작동해 전반적인 서버시스템을 모니터링 할 수 있다.
PC 전용인 '제로백업'은 사용자가 원하는 모든 자료를 암호화해 실시간 백업하는 프로그램으로 '랜섬웨어'에 대응하기 위한 최선의 방법으로 알려져 있다. 또한 파일당 최대 5개의 히스토리 관리기능을 제공, 원하는 시점의 파일을 복구할 수 있다.
최근 페티아와 같은 랜섬웨어의 경우 다른 파일 암호화 랜섬웨어와 다른 점은 하드디스크의 주 부트 레코드(Master Boot Record)에 덮어쓰기 해 감염된 컴퓨터가 운영체제로 부팅할 수 없도록 한다는 점이다 이런 경우 로컬 드라이브 백업은 무용지물이 된다.
이런 랜섬웨어에 대응하기 위해서는 로컬 드라이브가 아닌 원격지(외부 백업 서버 또는 클라우드)에 백업을 해야만 원할 때 바로 복구가 가능하다. '제로백업'은 이런 랜섬웨어에 대응하기 위해 원격백업(네트워크 드라이브/백업 서버/클라우드)을 지원한다.
㈜페타시큐어 권재웅 이사는 "웹쉘 모니터링부터 웹 방화벽까지 다양한 제품으로 구성된 '제로캐슬'은 엔터프라이즈 환경에 맞게 통합관제 모니터링을 제공하는 것이 특징"이라며 "원하는 제품군만 선택해 사용할 수 있는 맞춤형으로도 사용할 수 있다"고 말했다. 나성률 기자 (nasy23@etnews.com)