APT 방어 장비 `랜섬웨어`도 막는다

📁관련 통계자료 다운로드파이어아이 NX · EX시리즈 및 동적 위협 인텔리전스 랜섬웨어 탐지 내역

지능형지속위협(APT) 방어 솔루션이 랜섬웨어 대응 장비로 떠올랐다.

기업은 지난해부터 랜섬웨어 피해가 급증하면서 사전 대응에 관심이 높다. 보안관리자는 사후 백업보다는 사전 대응책 마련에 고심이다.

APT 대응으로 이름을 날리던 글로벌 기업은 발 빠르게 랜섬웨어로 눈을 돌렸다. 랜섬웨어가 APT 공격을 방어하는 것과 같은 구조라는 설명이다. 군사기밀과 첨단 기술 설계도, 외교·국방 문건 등을 빼돌렸던 APT 그룹이 최근 돈 벌이에 혈안이다. 지난해부터 악명을 떨친 랜섬웨어에서도 주요 기밀을 빼내던 APT 그룹 흔적이 발견된다.

최원식 팔로알토네트웍스 대표가 랜섬웨어 대응 전략을 설명 중이다.(자료:팔로알토네트웍스)
최원식 팔로알토네트웍스 대표가 랜섬웨어 대응 전략을 설명 중이다.(자료:팔로알토네트웍스)

팔로알토네트웍스 코리아(대표 최원식)는 지난해 말부터 랜섬웨어 `선제 대응`에 집중했다. 랜섬웨어 공격에서 단계별 연결고리를 끊어 선제 방어한다. 팔로알토네트웍스는 기업 네트워크 보안 진단 캠페인을 벌였다. 최원식 팔로알토네트웍스코리아 대표는 “많은 보안 기업이 랜섬웨어 대응책으로 백업을 제시하지만 팔로알토네트웍스 차세대방화벽은 사전 방어가 가능하다”며 “랜섬웨어 역시 기존 APT 공격처럼 정찰 단계를 거쳐 취약점을 활용해 감염을 시도 한다”고 말했다. 그는 “공격자는 시스템을 랜섬웨어에 감염시키고 외부와 연결한다”며 “공격 단계를 중간에 끊으면 랜섬웨어도 사전 방어가 된다”고 설명했다.

파이어아이코리아(대표 전수홍)는 1분기 국내 기업을 노린 랜섬웨어가 지난해 10월보다 22배 증가했다고 밝혔다. 파이어아이코리아는 `파이어아이 NX`와 `EX` 시리즈, 동적 위협 인텔리전스에서 랜섬웨어를 탐지한다. 랜섬웨어 피해 신고가 아닌 탐지 현황을 제시한 곳은 드물다. 대부분 백신 기업은 랜섬웨어 피해 신고 건수를 통계 낸다.

아태지역 랜섬웨어 탐지 내역(자료:파이어아이)
아태지역 랜섬웨어 탐지 내역(자료:파이어아이)

전수홍 파이어아이코리아 대표는 “가장 위협적인 랜섬웨어는 공격자가 표적 네트워크에 이미 접근권한을 확보 한 후에 유포하는 경우”라며 “주요 기밀을 빼돌렸던 주요 APT 그룹이 내부 정찰을 통해 전략적으로 데이터 백업 파일을 삭제하거나 조직 내 가장 주요한 시스템을 파악한 공격이 나타난다”고 설명했다. 그는 “최근 기업을 노린 공격이 급증했다”며 “주요 제조업과 병원 등은 투자가 시급하다”고 덧붙였다.

랜섬프리는 사용자 입력 기반 악성행위를 차단해 랜섬웨어를 방어한다.(자료:트루컷시큐리티)
랜섬프리는 사용자 입력 기반 악성행위를 차단해 랜섬웨어를 방어한다.(자료:트루컷시큐리티)

트루컷시큐리티(대표 심재승)도 APT대응 솔루션 `트로이컷` 주요 기술을 이용해 랜섬웨어 방어에 특화한 `랜섬프리`를 개발했다. 트루컷시큐리티는 기계와 인간의 상호작용을 기반으로 악성 행위를 판단하는 `휴먼 인터랙션 COA(Cut On Active)` 알고리즘을 개발했다. 컴퓨터 동작 원리와 원격지 공격자 한계를 이용해 알려지지 않는 공격을 막는 기술이다. 심재승 트루컷시큐리티 대표는 “기존 APT 방어 솔루션에 들어간 핵심 기술을 이용해 랜섬웨어 대응 전용 솔루션을 내놨다”며 “경쟁 제품과 달리 가상이 아닌 실제공간에서 실행된 결과값을 보고 그 행위가 사용자가 실행시킨 것인지 사용자 모르게 실행된 것인지를 판단해 차단한다”고 말했다.

랜섬웨어 공격이 끊이지 않고 있다.ⓒ게티이미지뱅크
랜섬웨어 공격이 끊이지 않고 있다.ⓒ게티이미지뱅크

김인순 보안 전문기자 insoon@etnews.com