[테크리포트]랜섬웨어와 APT 공격 '전방위 방어' 로 철벽수비

전 산업 군에서 급격한 변화의 바람이 일고 있다. 바로 4차산업 혁명이다. 모든 프로세스가 자동화되고 또 지능화되는 과정에 디지털화가 필수 인프라인 시대로 들어선 것이다. 모든 것이 데이터화 되기에 해커들에게는 유명세와 돈을 함께 쥘 수 있는 기회가 열려 있다. 수법은 날로 지능화되고 범위와 피해의 규모는 커지고 있다.

지능형 사이버 공격 APT(Advanced Persistent Threat)를 막으려면 내부에 잠재하는 위협정보에 선제적 탐지 및 분석과 최근 공격 트렌드에 대한 분석, 조직 내의 보안시스템 상황에 맞는 보다 정확한 보안 정책 수립, 그리고 위협이 탐지됐을 때 신속히 대응하는 명확한 대응 프로세스인 지능형 사이버 위협 대응 CTI(Cyber Threat Intelligence)를 확립해야 한다.

창이 날카로워지면 방패도 단단해지는 법. 27년간 오랜 사이버 보안 역사에서 단단한 방패가 되어 온 트렌드마이크로는 포춘 글로벌 500대 기업 상위 50개 기업 중 48개 기업, 글로벌 10대 자동차 제조사, 은행, 통신사, 정유사 등 세계 50만개 기업이 고객인 정통 보안기업이다. 개인과 기업, 정부기관이 안전한 디지털 정보를 활용할 수 있게 데이터센터, 클라우드 환경, 네트워크 및 엔드포인트 단에 적용되는 다층 보안 솔루션으로 시스템의 전방위에서 보안을 책임지고 있다.

[테크리포트]랜섬웨어와 APT 공격 '전방위 방어' 로 철벽수비

능동형 지능형 사이버 공격, 전방위 철벽 수비대 CTD
공격의 패턴이 달라지는 APT 방어는 악성코드 기반의 위협 대응 프로세스 구축과 탐지된 잠재적 위협에 실시간 방어가 필요하며, 기업이 보유한 다양한 솔루션과의 연동도 중요하다. 트렌드마이크로의 CTD(Connected Threat Defense) 기술은 네트워크 구간, 이메일 구간, 서버 팜 그리고 엔드포인트 구간 전체에 대해 탐지/분석/대응이 가능하다. 또 각각의 솔루션들은 통합관리솔루션(Trend Micro Control Manager)에 연동돼 각 구간에서 식별된 알려지지 않은 위협 정보를 공유해, 외부 위협 대응 시간을 단축시킨다. 실시간 위협은 티핑포인트의 차세대 IPS(Intrusion Prevention System)가 맡고 있다.

트렌드마이크로의 CTD 기술 구성도
트렌드마이크로의 CTD 기술 구성도

기업을 겨냥한 해커의 돈벌이 랜섬웨어, 아웃!
◆ 랜섬웨어 유입창구 이메일을 방어하는 DDEI
랜섬웨어에 감염되면 파일이 암호화되어 이를 열려면 해커에게 돈을 줘야 한다. 이런 이유로 기업을 대상으로 한 랜섬웨어가 날로 기승을 부리고 있다. 신규 랜섬웨어의 60% 이상이 이메일을 통해 유입되고 있고 끊임없이 진화하고 있어 단순한 첨부파일 분석 또는 기존 스팸메일 차단 솔루션으로는 막을 수 없다. 트렌드마이크로의 DDEI(Deep Discovery Email Inspector)는 파일 및 웹 샌드박싱, 위협 탐지 엔진 기술로 랜섬웨어 이메일 감지, 차단 및 격리하는 이메일 방어 솔루션이다.

◆ 엔드포인트 기반 랜섬웨어 대응하는 XGEN
엔드포인트 단의 보안 솔루션 중에는 바이러스 샘플을 이용한 시그니처 탐지 방어 기술을 이용하기도 하는데, 이는 변종 랜섬웨어에는 효력이 없다. 랜섬웨어가 엔드포인트까지 도달할 경우 다양한 방법으로 악성코드의 실행과 암호화를 방지하는 XGEN에는 행위기반의 탐지엔진인 문서 암호화 방지 기능 ADC(Access Document Control)와 프로세스 실행방지 기능 SRP(Software Restriction Policy)이 제공된다. XGEN은 하이파이 머신 러닝 기술이 포함돼 실행 전 및 실행 중인 파일들을 분석하고 센서스 검사(census checking)와 화이트 리스팅이라는 ‘잡음 제거’ 기능이 오탐을 방지한다.

ADC는 문서를 편집하려는 애플리케이션 경로와 디지털 서명 등을 확인해, 신뢰되지 않는 애플리케이션 또는 프로세스에 의한 파일 변경 및 삭제 시도 발생시 임계치를 분석해 랜섬웨어 의심행위로 간주해 해당 행위를 중지시킨다. SRP는 숙주파일이 실행될 경우 보여지는 공통된 행위를 파악해, 랜섬웨어가 사용하는 프로세스의 생성 및 실행을 거부한다.

XGEN의 문서화 방지 기능 구성도
XGEN의 문서화 방지 기능 구성도

◆ 네트워크 노리는 랜섬웨어 막는 딥 디스커버리
네트워크 상의 공격을 막기 위해 샌드박스를 사용하지만 알려지지 않은 랜섬웨어는 막지 못한다. 딥 디스커버리 DD(Deep Discovery)는 알려진 랜섬웨어 뿐만 아니라 샌드박스에서 랜섬웨어의 동적분석을 통해 ‘실행가능 파일 Drop 및 실행’, ‘자동 실행을 위한 Autorun Registry 등록’ 그리고 ‘암호화 대상 오피스파일 및 아웃룩 파일접근’ 등의 행위 분석으로 의심파일의 악성유무를 즉각 판정, 신∙변종 랜섬웨어에 바로 대응한다.

 딥 디스커버리 인스펙터 화면
딥 디스커버리 인스펙터 화면

◆ 서버기반 랜섬웨어 막는 딥 시큐리티
서버를 공격하는 SAMAS 랜섬웨어는 SW 취약성을 악용해 공격한다. 통합 서버보안 솔루션인 딥 시큐리티(Deep Security)는 물리적, 가상, 또는 클라우드 등 모든 종류의 서버를 통합 보호한다. 랜섬웨어가 데이터센터로 침입을 시도할 때(예, 파일 서버로 접속하려는 비정상적인 사용자), 딥 시큐리티는 의심스러운 네트워크 행위를 감지해 프로세스를 중단시키고 관리자에게 경고한다. 알려진 SW 취약점에 대한 정식 패치 또는 업데이트 전까지 가상 패칭(Virtual patching)으로 랜섬웨어로부터 서버와 애플리케이션을 보호하며, 데이터센터에 침투하면 이를 탐지해 다른 서버로의 확산을 막는다.

간편한 설정과 자동화 기술, 클라우드 보안에도 강하다
많은 기업들이 클라우드 서비스로 옮겨가고 있고 엔드 투 엔드의 안전한 컴퓨팅 환경을 요구하고 있다. 트렌드마이크로는 아마존 웹서비스(AWS), 마이크로소프트 애저 등 메이저 클라우드 서비스에 최적화된 보안 자동화 솔루션 딥 시큐리티를 제공한다. 딥 시큐리티는 퍼블릭 클라우드 서비스에서 빠르고 간편한 설정과 자동화된 보안작업을 제공해 기업이 보안을 유지하면서 클라우드 서비스를 효율적으로 이용하도록 탄력성과 역동성을 제공한다. 딥 시큐리티는 IDC 발표 세계 서버 보안 분야에서 6년 연속 1위를 차지하고 있다.

클라우드 보안을 위한 시스템 구성도
클라우드 보안을 위한 시스템 구성도

[적용사례]
국립암센터, 랜섬웨어와 APT 공격 통합보안 관리로 철옹성 구축

[테크리포트]랜섬웨어와 APT 공격 '전방위 방어' 로 철벽수비

보건복지부 산하의 국립암센터는 대한민국의 암연구 진료 전문기관으로 개인민감정보를 다룰 뿐만 아니라 정보 의존도가 높고 실시간 처리 업무가 많아 다른 정부 주요기관과 함께 해커들의 주요 공격대상이기도 하다. 국립암센터는 기존의 보안 시스템이 존재했지만 지능적이고 공격적인 양상을 보이고 있는 랜섬웨어와 APT 공격을 막기 위해 강도 높은 보안 시스템이 필요했다.

네트워크와 이메일을 통해 유입되는 랜섬웨어와 APT 공격에 대한 방어, 서비스가 단종된 OS에 대한 보안 기능 지원 등 네트워크, 이메일, 엔드포인트를 아우르는 전방위적인 보안 시스템의 구성, 백신과 보안 기능이 포함된 통합 에이전트, 기존 시스템과 원활한 연동 및 효율성이 뛰어난 시스템의 구축이 국립암센터의 미션이었다. 바로 이러한 요구를 충족하는 솔루션으로 트렌드마이크로의 딥 디스커버리, DDEI, 딥 시큐리티, 트렌드마이크로 컨트롤 매니저가 낙점됐다.

국립암센터는 시스템의 문제점을 최소화하고 업무에 영향을 주지 않기 위해 순차적으로 구축을 진행했다. 먼저 거점 별로 대표 PC와 VDI를 선택하고 충분한 테스트와 성능 확인을 한 이후에 전체로 확대하기로 했다. 또한 신규 시스템으로 인한 영향과 효과 분석을 위해 장비와 어플리케이션을 실제 네트워크에 적용, 한 달 이상 강도 높게 테스트했다. 이를 통해 도입 효과 분석과 타 시스템에 미치는 영향을 파악하고, 돌발적인 상황 발생시 트렌드마이크로와 기술 파트너 사와의 즉각 대응 체계도 갖췄다.

국립암센터 통합보안시스템 구성도
국립암센터 통합보안시스템 구성도

시스템 도입 후 보안적인 측면에서는 랜섬웨어 공격을 사전에 차단하고, APT 공격에 실시간 탐지 및 분석, 공격확인 및 방어와 차단, OS의 보안을 강화했다. 운영적인 측면에서는 통합 관리 시스템과 통합 에이전트의 구현이 가능해 운영효율이 높아지고 에이전트의 메모리 리소드도 50% 절감됐다.

이향선기자 hyangseon.lee@etnews.com