베일리테크, 랜섬웨어 사전방어 전용 솔루션과 APT 전용 솔루션 공급

[보안뉴스 정영희 기자] 베일리테크(대표 정경수, www.ebailey.co.kr)는 랜섬웨어 사전방어 전용 솔루션 ‘RansomEye’과 APT 전용 솔루션 ‘Z-Block’을 공급하는 기업이다.

현재 랜섬웨어는 빠르게 진화하고 있으며, 하루에 신·변종이 200개 이상 나오고 있는 것으로 조사됐다. 랜섬웨어 제작자는 크게 두 부류로 나눌 수 있는데, 전문 랜섬웨어 제작자와 악성코드형 랜섬웨어 제작자로 볼 수 있다.


전문 랜섬웨어 제작자는 암호화 방법에 특화된 해커들이고 악성코드형 랜섬웨어 제작자는 배포방법에 특화된 해커들이다. 전문 랜섬웨어 제작자들이 만든 랜섬웨어는 Cerber, Revenge, Sage, Matrix, Spora, SpaceRangers, jigsaw, CryptoXXX 등이 있고, 악성코드형 랜섬웨어 제작자는 WannaCry, Erebus, Petya(변종) 등이 있다.

2016년에는 암호화 방법에 특화된 랜섬웨어들이 발견됐지만(자가복제, dropper 등), 2017년 5월 WannaCry 사태 이후로는 배포방법에 특화된 랜섬웨어들이 발견되고 있다. WannaCry처럼 OS 취약점을 이용한 웜 형태의 랜섬웨어가 존재하고, 웹사이트를 방문만 해도 감염되는 익스플로잇(Exploit) 형태의 랜섬웨어도 발견됐다.

최근에는 스크립트 형태의 랜섬웨어와 리눅스용 랜섬웨어도 생기면서 피해가 커지고 있는 실정이다. 이처럼 랜섬웨어는 다양하게 진화하고 있으며 보안담당자는 랜섬웨어 제작자들의 공격을 대비하기 어렵고, 러시안룰렛처럼 해당 기관을 피해가기만 기다릴 뿐이다.


그러면 어떻게 해야 랜섬웨어를 막을 수 있을까? 사전 방어와 개인 백업만이 답이다. 사전 방어는 랜섬웨어를 사전에 예방할 수 있다는 장점이 있다. 외부 백업을 권장한다면 NAS에 Snapshot 기능이 들어가 있는 제품을 추천한다. 폴더를 지정해 주기적으로 복구시점을 저장하는 방법이다. 랜섬웨어 유입을 완전하게 막을 수는 없으니 예방이 최우선이고 개인 백업이 병행되어야 한다.

E-Mail APT의 단점은 첨부파일에 비밀번호를 설정하면 분석이 불가능하며, 사전 방어가 안 된다는 점이다. 또한, 외부메일(다음, 네이버 등)은 검사할 수 없다. Network APT는 미러(mirror) 모드에서 동작하므로 탐지는 가능하나 랜섬웨어에 감염될 수 밖에 없다. 랜섬웨어 배포지 차단은 실시간으로 변경되는 배포지를 원천적으로 차단할 수 없고 웜 형태의 랜섬웨어를 차단할 수 없다. 또한, SSL 복호화 장비를 사용해 랜섬웨어를 탐지한다면 내부에서 웜처럼 동작하는 랜섬웨어 또한 막을 수 없다. 전체 흐름을 보면 네트워크 보안장비에서는 랜섬웨어를 원천적으로 막을 수 없으므로 결국 엔드포인트에서 사전 차단함으로써 랜섬웨어를 막을 수 있다.

향후 랜섬웨어의 공격형태를 전망한다면 APT(지능형지속공격) + 리눅스서버 공격형 랜섬웨어가 많을 것으로 보이며, 각종 Windows 취약성을 이용한 공격 또한 지속될 것으로 보인다. 각종 취약성이란 OS 취약성 및 응용프로그램 취약성을 말한다. 사실 보안전문가 입장에서 보면, 가장 두려운 공격 형태는 파일이 없는 스크립트 형태의 랜섬웨어(Malware-less ransomware)이며 상당한 피해가 예측된다. 파일 없는 랜섬웨어는 파워쉘이나 자바스크립트에서 실행되는 랜섬웨어다.

이러한 가운데 베일리테크는 오는 9월 5일~6일까지 코엑스 그랜드볼룸에서 정부·공공기관 및 기업의 정보보호최고책임자(CISO), 정보보호담당자, 개인정보보호최고책임자(CPO), 개인정보처리자 등을 대상으로 개최되는 제11회 국제 사이버 시큐리티 컨퍼런스 ISEC 2017(http://www.isecconference.org/2017/)에 관련 제품을 소개할 예정이다.
[정영희 기자(boan6@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>