[보안컬럼]보안 관리자를 위한 랜섬웨어 대응에 대한 ‘현실적’ 제언

안랩이 예상한 올해 주요 사이버보안 위협 트렌드 중 하나는 바로 ‘랜섬웨어의 기능 고도화 및 공격범위 확대’다. 랜섬웨어는 PC나 스마트폰 내 정보를 인질로 잡고 금전을 요구하는 악성코드다.

지난해 한글버전 크립토락커 유포를 기점으로 국내에서 증가세를 보였다. 랜섬웨어는 이후 ‘보안 제품 우회 시도 기능’ ‘암호화 대상 파일 종류 확대’ ‘화면 잠금으로 사용자 조치방해’ 등 악성 기능을 추가하며 큰 피해를 일으켰다.

강석균 안랩 전무
강석균 안랩 전무

랜섬웨어는 2016년에도 기능 고도화와 공격범위를 더욱 확대해 피해를 양산할 것으로 예상된다. 보안위협 트렌드라는 관점에서 랜섬웨어는 여러 면에서 기존 공격과 구별되는 특징이 있다.

예를 들어 과거 불특정 다수를 노리던 보안위협에서 특정 조직을 노리는 표적 공격으로 흐름이 변했다. 이와 달리 대부분 랜섬웨어는 다시 불특정 다수를 노려 대량 유포된다. 또 사이버공격이 자신을 드러내지 않은 채로 은밀히 진행되는 흐름으로 바뀌어왔다. 랜섬웨어는 오히려 자신을 당당하게 드러내며 친절하게 입금안내까지 제공한다.

ⓒ게티이미지뱅크
ⓒ게티이미지뱅크

대부분 랜섬웨어가 불특정 다수를 공격대상으로 삼지만 피해는 기업에까지 옮겨올 수 있다. 만약 기업 내 임직원 실수로 개별 PC가 랜섬웨어에 감염되면 해당 임직원의 금전적 피해뿐만 아니라 기업이 몇 년간 축적해 온 정보가 한순간에 못쓰게 된다. 피해 PC가 시스템 운영에 필수적인 역할이라고 가정하면 시스템 중단으로 인한 기업 생산성 붕괴로까지 이어질 수도 있다.

랜섬웨어 공포에서 조직 보안관리자는 난감할 수밖에 없다. 조직을 노린 지능형 보안 위협을 방어하는 데에도 많은 노력이 필요하다. 여기에 불특정 다수에게 무차별적으로 유포되는 랜섬웨어까지 대응해야 한다. 특정 솔루션 하나면 완벽한 차단이 가능한 것처럼 설명하는 과장된 마케팅 메시지도 넘쳐난다.

크립토락커에 걸리면 나오는 화면.
크립토락커에 걸리면 나오는 화면.

하지만 기술적 측면에서 ‘랜섬웨어 악성코드의 라이프사이클(life-cycle) 단계별 실시간 탐지 및 차단’이라는 이상적 대응은 어렵다. 의심 URL 또는 의심 파일을 정확히 파악해 분석하고 네트워크 레벨에서 실시간으로 차단하는 단일 보안 솔루션은 없다. 엔드포인트 레벨에서 정상적인 파일 검색과 암호화 행위, 랜섬웨어에 의한 의심스런 행위를 명확하게 구분해야 한다. 그 과정에서 암호화가 발생하지 않도록 실시간 차단하는 대응 기술이 적용된 단일 보안 솔루션은 아직까지 찾아보기 어렵다.

이론적으로 완벽한 랜섬웨어 방어 솔루션을 구축하더라도 다양한 보안 위협을 관리하고 대응하는 보안관리자가 이를 완벽히 운영하기란 현실적으로 불가능에 가깝다.

지금 보안관리자에게 필요한 것은 ‘현실적 기술’ 테두리 안에서 ‘최대 효과’를 제공하는 방안을 다양한 관점에서 고민하고 선택하는 것이다. 현재 보유 중인 솔루션 관련 기능 활성화나 추후에 신규 솔루션을 도입할 때 관련기능을 고려하는 자세가 필요하다.

안랩 `랜섬웨어 보안센터`
안랩 `랜섬웨어 보안센터`

특수 시스템에 대해 허가된 프로그램 외에는 실행을 막는 기술이 현실적이다. 많은 보안전문가가 해결책으로 제시하는 주기적 백업과 지속적인 임직원 교육도 효과적 방안이다.

많은 보안관리자가 잘 알듯 완벽하다는 솔루션 하나만 혹은 전체를 도입한다고 모든 방어가 보장되는 것은 아니다. 그럼에도 보안관리자는 랜섬웨어로부터 정보와 자산을 보호하기 위한 방안을 고민해야 한다. 물론 우리의 ‘현실’ 안에서.

강석균 안랩 전무 sukkyoon.kang@ahnlab.com