악성 사이트 빠르게 탐지, 감염된 PC 격리가 최선

[보안뉴스 김태형] 최근 전 세계적으로 피해를 증가시키는 랜섬웨어가 국내에서도 발견됨에 따라 새로운 보안 위협으로 등장하고 있다. 특히 랜섬웨어(Ransomware, 데이터를 ‘인질’로 잡는 사이버 공격)의 일종으로 지난 2013년 출현 이후 피해 규모가 커지고 있는 ‘크립토락커(CryptoLocker)’의 한글 버전이 배포되고 있어 사용자의 각별한 주의가 당부되고 있다.

지난 4월 21일 국내 커뮤니티 웹사이트인 ‘클리앙’에서는 드라이브 바이 다운로드(Drive by Download, DBD) 공격 방식으로 크립토락커가 배포됐다. 

랜섬웨어에 감염된 PC의 시스템 파일을 제외한 MS 오피스 및 한글 문서 파일, 압축 파일, 동영상, 사진 등을 암호화하여, 정상적으로 사용하지 못하게 만든 뒤 이를 풀어주는 조건으로 돈을 요구한다. 특히 비트코인 또는 추적이 어려운 전자 화폐 수단이 사용되어 추후에 추적하는 것도 쉽지 않다. 또한 비용을 지불한다 하더라도 데이터 복원이 불가능하다.

특히 이번 크립토락커 경유지는 다양한 도메인을 사용하며 계속해서 변형되므로 URL 및 URI를 차단하는 것만으로는 공격을 방어할 수 없다는 한계가 있다. 또한, 공격자의 의도에 따라 IP도 쉽게 변경할 수 있다는 점에서, 현재로서는 악성 사이트를 빠르게 탐지하고 이미 감염된 PC를 격리 조치하는 것만이 현재의 위험을 줄이는 최선의 대응 방안으로 제시되고 있다.

이에 블루코트도 멀웨어를 감지하여 보호된 영역 내에서 위험 여부를 분석하는 샌드박싱 기술을 적용한 멀웨어 분석 솔루션인 ‘MAA(Malware Analysis Appliance)’와 ‘블루코트 글로벌 인텔리전스 네트워크(Blue Coat Global Intelligence Network)’를 활용해 클리앙 랜섬웨어(CRYPTOLOCKER) 공격 양상을 확인했다.

블루코트코리아가 클리앙 랜섬웨어 분석결과 메모리 참조, 실행파일등록, 네트워크 트래픽 유발내역 등이 확인되었으며 C&C서버로의 통신 시에도 랜섬웨어의 다양한 보안 위협 행위들이 탐지됐다. 또한 금융정보 탈취 멀웨어로 유명한 ‘Emotet Trojan’도 확인됐다. 또한 블루코트는 버추얼 윈도우(Virtual Windows) 기반 가상머신(VM)의 랜섬웨어 감염을 샌드박스에서 확인할 수 있었다.

◇ 인텔리전스 보안 체게 구축 5단계

1. 보안 프로그램을 최신 버전으로 업데이트하기
사용자들은 OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 오피스 SW등 프로그램의 최신 보안 패치를 적용해야 한다. 또한 V3 등 최신 버전의 백신 프로그램을 설치하고 자동업데이트 및 실시간 감시 기능을 실행하는 것이 좋다. 제목이 자극적이거나 출처가 불분명한 메일에 첨부된 파일은 실행을 자제하고 링크 주소를 클릭하지 않는 것이 안전하다. 기업 보안 담당자는 사내 모든 PC 및 서버의 OS(운영체제), 응용소프트웨어의 최신 보안 패치가 적용될 수 있도록 조치를 해야 한다. 특히 경우에 따라 신속하게 외부 네트워크로부터 시스템이 차단될 수 있도록 정책을 변경하고 장기간 사용하지 않는 PC는 전원을 끄고 네트워크에서 분리해 두어야 한다.

2. 정기적으로 백업 진행하기
주기적으로 전체 시스템 및 데이터를 증분/차등 백업하는 것으로 자동 설정해두면 편리하게 업데이트된 내용만 추가적으로 저장되므로 백업 속도도 빠르고 디스크 공간도 절약할 수 있다. 또한 사용 중인 PC의 하드디스크에 물리적 손상이 발생하거나 시스템 문제로 부팅이 되지 않을 때에도 데이터를 안전하게 유지할 수 있도록 백업된 데이터는 별도의 이동식 드라이브 및 외부 저장소에 저장해두는 것이 안전하다. 최종적으로 백업된 데이터도 사용자가 자체적으로 암호화하여 보다 안전하고 확실하게 데이터 보안을 유지해야 한다.

3. 샌드박스 등 최신 악성코드 탐지 솔루션을 활용해 멀웨어 탐지하기

샌드박스나 기타 다양한 탐지 툴을 이용해 알려지지 않은 악성코드 분석이 필요하다. 특히 시그니쳐 기반의 현 보안 시스템 기반의 한계 극복을 위해 실시간으로 모든 트래픽을 저장하고 각 카테고리 별로 확인하여 능동적인 위협 요인을 탐지하고 분석하는 것이 추가로 필요한 시점이다.

4. 지속적인 보안 상황 모니터링을 통한 보안 정책 업데이트하기
지속적인 위협 요인 분석을 통해 얻은 정보를 기반으로 보안 정책을 수정해야 한다. 이를 위해 사내 다양한 보안 솔루션을 함께 통합 관리하여 위험 신호를 상세하게 분석하고 전체 시스템에 적용하여 일관된 보안 정책을 유지해야 한다.

5. 글로벌 인텔리젼스 보안 정책 환경 구축하기

자사뿐만 아니라, 전 세계에서 발생하는 수많은 보안 위협을 확인해 방어 체계를 구축함으로써 자사 IT 인프라의 안정성을 높여야 한다. 이를 통해 수개월 동안 네트워크에 잠복하고 있는 멀웨어를 효율적으로 탐지하고 분석해, 분석결과를 토대로 한 합리적인 대책을 세울 수 있는 진보한 보안체계를 구축할 수 있는 환경을 제공한다. 블루코트는 이러한 분석 정보를 전 세계 15,000여 개 고객사 및 7,500만 사용자들이 새로운 보안 위협에 대한 정보 인텔리전스를 공유하는 네트워크인 ┖블루코트 글로벌 인텔리전스 네트워크(Blue Coat Global Intelligence Network)┖를 통해 제공해 사이버 테러 발생여지가 있는 알려지지 않은 위협을 신속하게 확인해 대처함으로써 IT 인프라를 안정적으로 최적화시킬 수 있도록 지원한다.

블루코트코리아 김기태 대표는 “향후 공격은 이메일이나 파일 다운로드가 아닌, 이와 같은 감염된 웹사이트를 방문하는 것만으로도 피해를 유발하는 형태로 확대될 것으로 예상된다”면서 “인터넷 익스플로러와 플래시의 신규 취약성을 중심으로 국내 주요 웹서비스에 대한 공격으로 악성코드에 감염되는 사태가 커진다는 의미다. 이미 해외에서는 윈도우뿐만 아니라 맥과 모바일 사용자를 대상으로 한 공격 사례가 발견되고 있다”고 말했다.

블루코트의 랜섬웨어 분석결과에 대한 보다 자세한 내용이나 추가 문의 사항은 블루코트 홈페이지(www.bluecoat.co.kr)에서 확인할 수 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>