보도자료

조만간 다가올 ‘잭웨어·RoT 시대’, ESET이 제시하는 보안 해법 2017.08.30
ESET의 LiveGrid® 시스템 이용시 랜섬웨어에 대한 효과적인 사전 대응 가능

[보안뉴스 정영희 기자] 지난 2016년부터 2017년 상반기까지 가장 주목을 받았던 사이버 공격은 세 가지로 나눌 수 있다. 컴퓨터 시스템 및 데이터에 대한 랜섬웨어 공격, 데이터와 시스템에 대한 접근 방해(분산 서비스 거부, DDoS) 공격 및 사물 인터넷 기기(IoT)를 대상으로 한 공격이다. 불행하게도 이러한 추세는 앞으로도 계속될 것으로 예상되며, 각 공격 방법이 결합된 형태의 공격도 예상할 수 있다.

예를 들어 악성코드에 감염된 IoT 장치를 동원하여 상업용 웹사이트를 대상으로 디도스 공격을 시도한 후 몸값을 요구한다거나, 악성코드를 이용하여 스마트카, 스마트 에어컨 등의 IoT 장치를 잠근 후 몸값을 요구하는 등의 복합적인 공격이 발생할 가능성도 매우 높다고 볼 수 있다. 리눅스나 안드로이드, 맥OS 등 비 윈도우 계열의 운영체제를 사용하는 기기들을 대상으로 한 랜섬웨어가 속속 발견되고 있는 상황을 고려하면, 랜섬웨어를 비롯한 악성코드 공격은 더 이상 윈도우 시스템만의 문제는 아니며, 인터넷에 연결된 모든 정보 기기들을 공격대상으로 삼고 있다고 볼 수 있다.

랜섬웨어는 말 그대로 몸값을 요구하는 악성코드이다. 현재까지 가장 많이 발견된 랜섬웨어의 피해는 컴퓨터 내 파일을 암호화한 후 몸값을 요구하는 형태이지만, 이외에도 컴퓨터를 잠근다거나, 컴퓨터의 부하를 최고로 높인다거나, 디도스 공격을 감행하는 등 다양한 피해 방법으로 몸값을 요구하는 랜섬웨어가 등장할 것으로 예상된다. 따라서 랜섬웨어는 감염과정과 피해 및 복구 과정을 모두 고려해 대응하는 것이 중요하다.

랜섬웨어도 악성코드의 한 종류이기 때문에 감염 과정은 일반적인 악성코드의 경우와 동일하다. 따라서 기존의 악성코드 대응수칙을 준수하는 것이 중요하다. 이울러 몸값을 지불한다는 것을 배제한다면, 정보 유실이나 손실에 대비한 백업이 중요한 것이다. 여기서 주목해야 할 점은 대부분의 랜섬웨어 감염과정은 유사하다는 것이다. 따라서 앞으로 나타날 다양한 피해 예방책을 미리 걱정하는 것 보다는, 감염 과정과 피해 복구에 주목하여 철저히 대비하는 것이 보다 현실적이고 효과적인 대응책이다.

[이미지=ESET]


대부분의 랜섬웨어 공격은 우리 생활 속에서 흔히 일어나는 현상을 이용하기 때문에 이를 악성 행위나 공격으로 분류하기는 매우 어렵다. 거꾸로 말하자면, 랜섬웨어가 우리 생활 속에서 거의 발생하지 않는 현상을 이용했다면 이를 탐지하기는 어렵지 않다.

예를 들어, 파일을 암호화하는 행위는 컴퓨터를 사용하는 중 다분히 발생하는 행위다. 호텔 객실의 문을 잠그는 행위, 보일러의 온도를 높이는 행위 등 지금까지 랜섬웨어에 의해 이용되었던 혹은 이용될 가능성이 있는 행위들은, 행위의 주체만 다를 뿐 모두 우리 생활 속에서 흔히 일어나는 행위이다. 따라서 랜섬웨어 감염 후 피해 동작을 감지하여 이를 차단하기는 쉽지 않은 게 현실이다.

일부 차세대 대응 솔루션들은 암호화 동작을 행위 기반으로 감지해 랜섬웨어를 차단한다고 하는데, 솔직히 이는 넌센스에 가깝. 대부분의 검증된 엔드포인트 보안 제품은 이미 알려진 랜섬웨어에는 완벽히 대응한다고 볼 수 있다. 문제는 알려지지 않은 신종 랜섬웨어에 대한 대응이다.

ESET 고객사 중 소수가 이러한 신종 랜섬웨어에 감염된 사례가 있었는데, 랜섬웨어 피해 과정인 파일 암호화 도중에 HIPS와 라이브그리드 기능이 이를 감지하고 차단한 경우다. 감염 과정에서 랜섬웨어가 감지되면 파일이 암호화되는 것을 100% 방지할 수 있지만, 암호화 행위 도중에 감지가 되면 몇 개의 파일이 암호화 되는 피해가 발생할 수도 있다는 점이 아쉽지만, ESET 제품의 방어체계를 설명함으로써 고객의 이해와 만족을 얻을 수 있었다는 게 ESET 측의 설명이다.

많은 보안 전문가들이나 정보 시스템 사용자들은 2017년을 ‘랜섬웨어의 해(The Year of Ransomware)’가 될 것으로 예상했으며, 가까운 미래에는 ‘잭웨어의 해(The Year of Jackware)’가 도래할 것으로 예상하고 있다. 잭웨어란 데이터 처리 또는 디지털 통신이 주 목적이 아닌 장치를 제어한 후 몸값을 요구하는 악성코드이다. 데이터 처리 또는 디지털 통신이 주 목적이 아닌 장치의 좋은 예가 오늘날의 최신 모델의 자동차 카탈로그에 자주 언급되는 ‘커넥티드 카’이다. 이러한 자동차는 많은 데이터 처리 및 통신을 수행하지만 주 목적은 A에서 B로 사용자를 이동시키는 것이다. 따라서 잭웨어는 랜섬웨어의 특수한 형태라고 볼 수 있다. 워너크라이나 페트야와 같은 암호화 랜섬웨어는 컴퓨터의 문서를 암호화하고 몸값을 요구하지만, 잭웨어의 목표는 몸값을 지불할 때까지 자동차나 기타 장치를 잠그는 것이다.

예를 들어, 지금 당장 스마트 냉장고 내부 시스템에 직접 침입하여 냉장고의 온도를 높이는 행위는 어려울지라도, 스마트 냉장고를 원격에서 관리할 수 있는 스마트폰 앱을 통해 집안의 스마트 냉장고의 온도를 높인 후 스마트폰으로 몸값을 지불하라는 메세지를 받는다는 경우는 충분히 상상이 가능하다. 따라서 우리는 ICS/SCADA나 IoT 장치를 대상으로 하는 랜섬웨어인 잭웨어의 공격 범위를 장치 자체뿐만 아니라 장치를 인터넷을 통해 외부에서 제어하는 환경까지 확대해야 할 필요가 있다. 특히, 장치 자체를 제어하는 소프트웨어에 취약점이 포함되어 있을 경우 잭웨어의 피해자가 될 가능성이 매우 높으며, 바야흐로 ‘RoT(Ransomware of Thing)’의 시대를 맞이해야 할 수도 있을 것이다.

IoT가 RoT의 터전이 되는 것을 방지하기 위해서는 보안성이 높은 기술 플랫폼 개발과 함께 이를 뒷받침하기 위한 정책 적용이 무엇보다 중요하지만, 비용과 현실에 가로막혀 지지부진한 게 사실이다. 자율주행 자동차가 도로를 점거할 날이 멀지 않았음에도 이러한 문제들의 해결책이 아직 반영되어 있지 못한 상황이다.

실제로 ESET 제품 사용자를 대상으로 한 설문조사에 따르면, 미국 성인의 40% 이상이 IoT 장치가 안전하지 않다고 답변했으며, 절반 이상이 개인정보보호 및 안전 문제로 인해 IoT 장치를 구입하기 주저한다고 답했다.

이러한 상황에서 ESET이 제안하는 랜섬웨어 대응 방법은 크게 두 가지라고 볼 수 있다. 첫 번째는 랜섬웨어의 감염 및 활동 과정에서의 대응인데, 랜섬웨어도 악성코드의 하나이기 때문에 감염 및 활동 과정에서의 대응은 ESET 등 신뢰할 수 있는 엔드포인트 보안 업체가 오랜 기술력을 기반으로 가장 효과적인 대응이 가능하다. ESET은 다양한 정적/동적 시그니처 기반의 대응을 비롯해 네트워크 공격 차단, HIPS, 메모리 스태너, 웹 필터링, 스트립트 필터링, 브라우저 보호, 봇넷 차단 등 다양한 악성코드 유입 및 실행 탐지 기능을 통해 랜섬웨어 유입과 활동을 효과적으로 차단할 수 있다.

두 번째는 객체의 변조가 탐지되면 변조의 주체를 확인하는 것인데, ESET은 LiveGrid®라 부르는 클라우드 기반의 머신 러닝 및 평판 시스템 기술을 이용하며, 알려지지 않은 랜섬웨어 대응에 매우 효과적이다. 특히, 악성코드 제작자는 자신이 제작한 악성코드를 배포하기 전에 주요 엔드포인트 보안 제품으로 진단 여부를 확인한 후, 배포하기 때문에 아무리 효과적인 사전 방역 기능이라 할지라도 대응에는 한계가 있다.

이러한 경우 ESET의 LiveGrid® 시스템을 이용한다면 매우 빠르고 효과적인 사전 대응이 가능하다. 랜섬웨어 피해를 원천적으로 예방하기 위한 특별한 비책은 존재하지 않는다. 우리가 알고 있는 기본적인 보안수칙을 준수하는 것이 가장 기본적이고 효과적인 예방책이라고 할 수 있다. 보안수칙이 지켜지지 않는 환경을 대상으로 한 랜섬웨어 예방법은 사실상 없다는 것이다. 엔드포인트 보안 솔루션은 기업의 보안정책 적용을 도와주는 솔루션이지 아무 것도 하지 않는 환경에서 모든 것을 대신해 주는 솔루션이 아니기 때문에 다음의 기본 수칙을 준수하는 게 무엇보다 중요하다고 이셋코리아 김남욱 대표는 강조했다.

- 중요한 정보는 오프라인으로 백업하라
- 운영체제와 애플리케이션을 패치와 함께 최신 버전으로 업데이트하라
- 중요한 정보에는 접근 제어를 사용하라
- 출처가 불분명한 웹사이트 방문이나 이메일 열람에 주의하라
- 클라우드 기반의 대응 시스템을 갖춘 검증된 엔드포인트 보안 솔루션을 도입하고, 관리 도구를 이용하여 모든 엔드포인트에서 기업 및 기관의 보안 정책에 따라 정상적으로 동작한다는 점을 보장하라

이러한 가운데 ESET ASIA PTE LTD.(대표 Richard Marko, http://www.eset.com)은 오는 9월 5일~ 6일까지 코엑스 그랜드볼룸에서 정부·공공기관 및 기업의 정보보호최고책임자(CISO), 정보보호담당자, 개인정보보호최고책임자(CPO), 개인정보처리자 등을 대상으로 개최되는 제11회 국제 사이버 시큐리티 컨퍼런스 ISEC 2017(http://www.isecconference.org/2017/)에 참가해 관련 제품을 소개할 예정이다.
[정영희 기자(boan6@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>