SK쉴더스가 주도하는 민간 랜섬웨어 대응 협의체 'KARA'가 주요 랜섬웨어 대응 방안을 공개했다. 랜섬웨어 고도화에 따라 네트워크·엔드포인트·백업 등 보안 전 부문에 걸친 종합 대응 체계 구축을 주문했다.
KARA는 주요 랜섬웨어 그룹이 사용한 공격 전략을 글로벌 보안 위협 표준 프레임워크 '마이터 어택'에 맞춰 단계별 공격 기법을 분석하고 대응 방안을 기술했다. 다크웹에서 가장 활발하게 활동중인 랜섬웨어 그룹 'VenusLocker'의 'Lockbit 3.0', 꾸준히 변종이 발생되고 있는 'Phobos', 국내 기업만을 타깃으로 하는 '귀신' 랜섬웨어에 대한 특징을 분석했다.
VenusLocker는 2016년부터 스피어 피싱 공격 방법을 사용해 랜섬웨어를 유포하며 활동을 시작했다. 공공기관을 사칭하거나 입사지원서 관련 이력서, 포트폴리오 등의 메일로 위장해 첨부파일에 랜섬웨어를 유포했다.
최근 Lockbit 랜섬웨어를 3.0 버전으로 업데이트하며 버그바운티(보안 취약점 신고 포상 제도)를 도입하고 복호화 지불 방법을 다양화하는 등 공격 방법을 다각화하고 있어 각별한 주의가 필요하다.
2017년 발생해 꾸준히 변종이 발견되고 있는 Phobos 랜섬웨어와 최근 국내 기업만을 타깃으로 해 화제가 된 귀신 랜섬웨어는 공격 대상을 선정하기 위해 다양한 방법으로 내부 정찰을 시도하고 내부 인프라에 침입, 데이터를 암호화해 시스템을 마비시킨 것으로 조사됐다. 이후 데이터를 유출하겠다는 협박을 통해 공격을 수행하는 정밀하고 고도화된 전략을 사용하고 있는 것으로 분석됐다.
KARA는 랜섬웨어 피해를 예방하기 위해 단일 솔루션과 서비스가 아닌 단계별 보안 요소와 프로세스를 마련해 랜섬웨어를 탐지하고 차단해야 한다고 강조했다. 기업 내부의 네트워크와 인프라 자산 등에 대한 관리를 고도화하고 사고 발생 시 대응 프로세스를 수립할 것을 권고했다.
△네트워크 침입 탐지·차단 시스템 도입 △엔드포인트 침입 탐지 및 대응(EDR) 솔루션 구축 △네트워크 내 접근 최소화 △정기 보안 교육 및 모의 훈련 등 종합 대책을 주문했다.
백업 장비에 보안 시스템과 망분리가 적용된 '보안 백업' 솔루션을 도입해 정기적으로 데이터를 백업하고 내부 데이터를 보호하는 방안도 제안했다.
김병무 SK쉴더스 클라우드사업본부장은 “랜섬웨어 공격자는 시스템을 갖춰 표적 공격을 수행하며 수십억 원의 몸값을 요구하는 등 랜섬웨어 공격이 심각한 사회적 문제로 이어지고 있다”며 “SK쉴더스는 KARA 회원사와 함께 랜섬웨어 공격에 대한 체계적인 대응 프로세스를 마련하고 주요 랜섬웨어 정보와 대비책을 공유하는 활동을 지속적으로 이어 나갈 것”이라고 밝혔다.
KARA는 랜섬웨어 대응 민간 협의체다. 각 분야 전문 기업이 랜섬웨어 최신 트렌드 및 피해 실태와 관련한 정기적인 정보 공유를 통해 사고 접수와 대응, 복구, 대책까지 원스톱으로 대응하는 프로세스를 제공한다. 트렌드마이크로, 지니언스, 에스투더블유(S2W), 맨디언트, 베리타스, 캐롯손해보험, 법무법인 화우 등이 참여했다.
최호기자 snoop@etnews.com
