지난 21일 국내 커뮤니티 사이트 ‘클리앙’에서는 드라이브 바이 다운로드(DBDㆍDrive by Download) 공격 방식으로 크립토락커가 배포됐습니다. 렌섬웨어에 감염된 PC는 시스템 파일을 제외한 오피스ㆍ한글 문서 파일, 압축 파일, 동영상, 사진 등을 암호화해 사용자의 접근을 막고, 이를 풀어주는 조건으로 비용을 요구합니다. 비트코인 등 추적이 어려운 전자 화폐 수단이 활용돼 추적하는 것 또한 어렵습니다. 사용자가 순순히 비용을 지불한다고 해도 데이터 복원을 장담할 수 없죠.
특히 이번 크립토웨어 경유지는 다양한 도메인을 사용해 지속적으로 변형돼 URLㆍURI를 차단하는 것만으로는 공격을 방어할 수 없다는 한계가 있습니다. 공격자의 의도에 따라 IP를 쉽게 변경할 수 있다는 점도 위협적입니다. 현재로선 악성 사이트를 빠르게 탐지하고 이미 감염된 PC를 격리 조치하는 것만이 현재의 위험을 줄이는 최선의 대응 방안으로 제시되고 있습니다.
블루코트는 멀웨어를 감지해 보호된 영역 내에서 위험 여부를 분석하는 샌드박싱 기술을 적용한 멀웨어 분석 솔루션인 ‘MAA(Malware Analysis Appliance)’와 ‘블루코트 글로벌 인텔리전스 네트워크(Blue Coat Global Intelligence Network)’를 활용해 클리앙 랜섬웨어(CRYPTOLOCKER) 공격 양상을 확인했습니다. 블루코트코리아가 27일 발표한 랜섬웨어 공격 대응을 위한 ‘인텔리전스 보안 체게 구축 5단계’는 다음과 같습니다.
▶보안 프로그램 업데이트=사용자들은 운영체제(OS), 인터넷 브라우저, 오피스 소프트웨어(SW) 등 프로그램의 최신 보안 패치를 적용해야 합니다. V3 등 최신 버전의 백신 프로그램을 설치하고 자동업데이트 및 실시간 감시 기능을 실행하는 것이 좋습니다. 자극적이거나 출처가 불분명한 메일에 첨부된 파일은 열지말고, 기업 보안 담당자는 사내 모든 PC및 서버의 OS(운영체제), 응용소프트웨어의 최신 보안 패치가 적용될 수 있도록 조치해야 합니다. 장기간 사용하지 않는 PC는 전원을 끄고 네트워크에서 분리해 두는 것이 좋습니다.
▶정기적 백업 진행=주기적으로 전체 시스템 및 데이터를 증분ㆍ차등 백업하는 것으로 자동 설정해두면 백업 속도가 빠르고 디스크 공간도 절약할 수 있습니다. 사용중인 PC의 하드디스크에 물리적 손상이 발생하거나 시스템 문제로 부팅이 되지 않을 때도 데이터를 안전하게 유지할 수 있도록 백업된 데이터는 별도의 이동식 드라이브와 외부 저장소에 저장해두는 것이 안전합니다. 백업 데이터에 자체 암호화는 기본입니다.
▶최신 악성코드 탐지 솔루션 활용=샌드박스나 기타 다양한 탐지 툴을 이용하여 알려지지 않은 악성코드 분석이 필요합니다. 특히 시그니처 기반의 현 보안 시스템 기반의 한계 극복을 위해 실시간으로 모든 트래픽을 저장하고, 각 카테고리 별로 확인해 능동적인 위협 요인을 탐지하고 분석해야 합니다.
▶지속적인 보안 모니터링=위협 요인 분석을 통해 얻은 정보를 기반으로 보안 정책을 수정하는 것이 좋습니다. 사내 다양한 보안 솔루션을 함께 통합 관리해 위험 신호를 상세하게 분석하고 전체 시스템에 적용하여 일관된 보안 정책을 유지해야 합니다.
▶글로벌 인텔리젼스 보안 정책 환경 구축=전 세계에서 발생하는 수많은 보안 위협을 확인하여 방어 체계를 구축해 IT 인프라의 안정성을 높여야 합니다. 블루코트는 장기 분석 정보를 토대로 새로운 보안 위협에 대한 정보 인텔리전스를 공유하는 네트워크인 ‘블루코트 글로벌 인텔리전스 네트워크(Blue Coat Global Intelligence Network)’를 제공해 사이버 테러 발생여지가 있는 미확인 위협을 신속하게 확인해 대처할 수 있습니다.
andy@heraldcorp.com
