공격자, 랜섬웨어 이름 변경 및 암호화 기능 사용 등으로 탐지 회피
알려지지 않은 랜섬웨어 탐지 불가, 자동 치료 및 복구 기능 부재 등 대응 한계
실시간 파일 분석, 행위 기반 분석, 자동화된 대응 등으로 조치해야

[보안뉴스 김경애 기자] 랜섬웨어 공격이 지난 1년 동안 지속적으로 증가했다. 특히, 많은 랜섬웨어 공격그룹이 전략적으로 명칭을 바꿔 노출을 피하고 있다. Quantum 랜섬웨어는 Dagon Locker로 명칭을 변경했으며, 악명 높은 사이버 갱인 Conti는 Hive, BlackCat, HelloKitty 등의 작은 그룹으로 각각 이름을 바꿨다. 또한, DoppelPaymer는 Grief로, Rook 랜섬웨어는 Pandora로 이름을 변경했다. 마이그레이션 랜섬웨어 개발자는 탐지를 피하기 위해 Rust와 Golang을 사용하고, BlackCat, Hive를 비롯한 기타 랜섬웨어들도 빠른 파일 암호화 기능과 광범위한 암호화 라이브러리를 사용하며 진화하고 있다.


이처럼 랜섬웨어가 지능적이고 전략적으로 변모하면서 기존 랜섬웨어 솔루션도 한계에 도달했다. 센티넬원 박정수 이사는 31일 eGISEC 콘퍼런스에서 현재 랜섬웨어 차단 솔루션이 가진 문제점에 대해 랜섬웨어 솔루션의 위협 가시성 부족, 알려지지 않은 랜섬웨어 탐지 불가, 자동 치료 및 복구 기능 부재, 시그니처 DB 사이즈 증가로 관리가 어렵다는 점을 지적했다.

이와 관련 박정수 이사는 “기존 솔루션은 이미 유입된 위협에 대해 탐지가 불가능하고, 랜섬웨어 유입 경로, 실행 이력 및 시스템 변경사항에 대한 가시성 확보가 불가능하다”며 “또 시그니처 기반의 한계로 알려지지 않은 랜섬웨어 탐지가 불가능하고, 자동복구가 불가능해 보안 전문가에 의해 수동으로 복구되고 포맷 및 OS를 재설치해야 한다. 이뿐만이 아니다. 시그니처 DB 사이즈의 증가로 업데이트로 인한 네트워크 부하, 시스템 리소스 소모가 증가한다”고 설명했다.

이렇듯 새로운 유형의 랜섬웨어가 지속적으로 창궐하고 있는 만큼 랜섬웨어 대응 역시 보다 지능적이고 전략적으로 변화해야 한다는 얘기다. 그렇다면 어떻게 대응해야 효과적일까? 이에 대해 박정수 이사는 실시간 파일 분석, 행위 기반 분석, EDR 등을 통한 자동화된 대응 조치를 방안으로 제시했다.

박정수 이사는 “해쉬값 기반 분석으로 파일의 해쉬값을 확인한 후, S1 Cloud에 쿼리해 동일 해쉬값을 차단해야 한다”며 “헤더 및 파일 구조 분석과 행위 기반 탐지(AI 머신 러닝), 행위의 상관관계를 분석해 대응해야 한다”고 강조했다.

이어 그는 “랜섬웨어 탐지 및 처리시간은 대응까지 수초 내 처리해야 한다. 그러기 위해선 단일 및 가벼운 에이전트, 관리자 개입 없는 자율적 운영, Windows, Mac, Linux, VDI, Cloud, Kubernetes, Docker 등 주요 프로그램을 지원해야 한다”고 덧붙였다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>