• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

마이크로소프트, 크리에이터스 업데이트 통해 보안 지평 바꾸나 2017.10.25

윈도우 디펜더 익스플로잇 가드, 네 가지 요소 결합된 스위트
새로운 멀웨어에 대응하지 않고 ‘공격 성공 요인’ 근본적으로 막아

[이미지 = iclickart]

[보안뉴스 문가용 기자] 마이크로소프트가 지난 주 윈도우 10 가을 크리에이터스 업데이트를 발표하며 새로운 보안 및 관리 기능을 추가했다. 그 중 눈에 띄는 건 윈도우 디펜더 익스플로잇 가드(Windows Defender Exploit Guard, WDEG)로 기업들을 랜섬웨어로부터 보호하기 위해 마련됐다고 한다.

현재 랜섬웨어라는 ‘악성 산업’은 기업을 주요 대상으로 삼고 있다. 그럼에도 이렇다 할 랜섬웨어 솔루션은 등장하지 않고 있는 상태다. 심지어 랜섬웨어는 피해자들을 두세 번씩 울리는 게 보통이다. 업계 한 보고서에 따르면 같은 엔드포인트에 같은 랜섬웨어 공격이 두 번 이상 발생하는 경우가 22%이며, 해당 랜섬웨어가 같은 네트워크 내 다른 엔드포인트에까지 번지는 경우는 38%이다.

이런 상황에서 마이크로소프트의 WDEG는 어떤 식으로 공격을 막을까? WDEG는 하나의 솔루션이 아니라 다양한 침투 방지 툴을 조합한, 일종의 ‘스위트’다. 크게 네 가지로 구성되어 있는데, 이는 다음과 같다.

1) 공격 표면 축소(Attack Surface Reduction, ASR) : 오피스, 스크립트, 이메일과 관련이 있는 위협들을 막아 멀웨어가 설치되는 걸 막는다.
2) 네트워크 보호 : 윈도우 디펜더 스마트스크린(Windows Defender Smartscreen)을 통해 신뢰하기 힘든 호스트나 IP로 가는 트래픽을 막는다. 즉 웹 공격 방어를 담당하고 있다.
3) 통제된 폴더 접근 : 신뢰하기 힘든 프로세스들이 보호 처리 된 폴더에 접근하지 못하도록 막는다. 이 폴더들에는 보통 민감한 데이터가 저장돼 있다.
4) 익스플로잇 보호 : EMET를 대체하는 익스플로잇 약화 툴로 환경설정을 통해 시스템과 애플리케이션을 보호한다.

가트너의 부회장인 피터 퍼스트브룩(Peter Firstbrook)은 WDEG에 대해 “랜섬웨어 공격의 기본적인 통로들을 전부 막아놓으려고 MS가 애쓴 것으로 보인다”고 평했다. “현존하는 랜섬웨어 방지 툴은 대부분 멀웨어를 탐지하고 해결하는 방식으로 작동합니다. 하지만 공격자들은 각종 아이디어로 이런 장치들을 넘어서고 있죠. 그런 의미에서 아예 공격자들의 주된 행동 반경 자체를 좁혔다는 건 긍정적인 접근법이라고 생각합니다.”

퍼스트브룩은 “새로운 멀웨어 탐지에 애쓰는 것에서 탈피해 마이크로소프트, 크라우드스트라이크(CrowdStrike), 카본 블랙(Carbon Black) 등은 보다 능동적이고 선제적인 조치를 취함으로써 공격자들의 행동을 제약하는 방식을 취하고 있다”고 추가로 설명했다. “예를 들어 WDEG의 중요한 요소인 ASR은 이메일과 오피스 앱들이 공격의 주된 통로로서 활용된다는 점에 착안한 것입니다. 이메일과 오피스 앱을 익스플로잇한 공격은 멀웨어가 없는, 즉 파일레스 공격으로 이어지기도 하죠. 그렇다면 멀웨어 탐지에 의존한 현대 보안 솔루션들이 쓸모 없게 변한다는 뜻이 됩니다.”

통제된 폴더 접근 역시 이번 WDEG에 추가된 기능인데, “대단히 중요한 폴더들에 대한 접근권을 사용자가 일일이 부여할 수 있도록 하는 것”이다. 악성 앱이 설치가 되었다 하더라도 중요한 폴더에 접근할 수 없다는 뜻으로, 이 역시 공격으로 인한 실질적인 이득을 거두기 힘들게 만든다. 관리자는 보호 받을 폴더를 일일이 지정할 수 있다. 또한 폴더별로 접근이 가능한 앱을 지정할 수도 있어 ‘화이트리스팅’ 작업이 간접적으로 이뤄지기도 한다.

퍼스트브룩은 “보다 근본적인 차원에서 방어 조치가 이뤄진 것이 마음에 든다”며 “공격의 징후들만 허겁지겁 쫓던 보안의 관행들이 바뀌기를 기대한다”고 말했다. “MS가 머리를 잘 썼어요. 새로운 시그니처 데이터베이스를 업데이트하는 게 아니라 ‘공격자들이 왜 자꾸만 성공하는지’를 근본적으로 고민한 느낌입니다.”

마이크로소프트가 이러한 접근 방법의 창시자는 아니다. 백신 및 안티 랜섬웨어 솔루션 제작 업체들 사이에서는 이미 ‘시그니처에 의존하지 않는’ 차세대 툴들에 대한 연구가 진행되고 있다. 랜섬웨어에 대한 ‘무대책’ 기간이 드디어 끝나는 것일까, 아니면 공격자들이 또 다시 새로운 방법을 개발해낼까?
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>