2021-01-18 02:50 (월)
[기고] 랜섬웨어, 데이터 보호를 위한 적극적 대응 나설 때
상태바
[기고] 랜섬웨어, 데이터 보호를 위한 적극적 대응 나설 때
  • 길민권 기자
  • 승인 2017.06.20 16:49
이 기사를 공유합니다

Ransomware Detection is Not Enough

▲ 서호익 아크로니스 코리아 대표
▲ 서호익 아크로니스 코리아 대표
새로운 공격 벡터의 계속된 출현으로 인해 데이터 보안 업계의 긴장감이 그 어느 때 보다 높아지고 있다. 앞으로의 과제는 종합적인 데이터 보호와 랜섬웨어의 피해를 최소화하는데 집중될 것으로 전망되고 있다.

랜섬웨어 공격이 지속적으로 증가하는 동시에 최근에는 정부 기관과 기업의 고위직들을 겨냥한 대규모의 공격이 기승을 부리고 있다.

지난 5월 워너 디스크립토(Wanna Decryptor)라고 불리는 이번 랜섬웨어는 영국의 국민 건강 보험(National Health Service) 상의 일부 병원을 공격해 네트워크를 무력화켰다. 이렇게 시작된 랜섬웨어는 미국, 중국, 러시아, 스페인, 이탈리아, 대만 등지로 확산되어 150여개국 20만 대의 컴퓨터를 무력화 시킨 것으로 조사되기도 했다.

랜섬웨어에 대한 대응책이 절실한 상황에서, 백업 전략을 가장 효과적으로 활용할 수 있는 방법은 무엇일까? 핵심은 미래를 내다보고 랜섬웨어로부터 데이터를 보호하는데 있다. 즉 탐지를 위한 기술뿐만 아니라 랜섬웨어 공격 이후 암호화 된 데이터를 자동으로 복구 시킬 수 있는 대책이 요구되는 시점이다.

대부분의 안티-랜섬웨어 솔루션은 랜섬웨어 탐지를 위해 존재한다. 일부는 랜섬웨어를 차단하기도 하지만 실질적으로 랜섬웨어로 인해 암호화된 파일을 복구할 수 있는 제품은 많지 않다. 그리고 복구한다 하더라도 캐시 사이즈의 한계로 제한적인 용량 내에서만 복구가 가능하다. 아크로니스는 이러한 한계를 극복하기 위해 솔루션 내부에 지능형 랜섬웨어 보호 기술을 적용시켰다.

지능형 랜섬웨어 보호 기술인 ‘액티브 프로테션’의 원리는 컴퓨터에 저장된 데이터 파일이 변경되는 패턴을 지속적으로 탐지하는 방식이다. 한 세트의 전형적이고 예측 가능한 행동 양식이 있다고 할 때, 파일에 대한 적대 행동이 이루어지는 의심스러운 프로세스로 구성된 행동 양식의 세트가 발견될 수 있다. 이러한 접근법을 통해 아직 보고되지 않은 새로운 랜섬웨어 변종 파일 까지도 탐지할 수 있다.

기존에 알려진 공격은 물론 패턴을 파악함으로써 확인할 수 있는 새로운 위협을 탐지할 수 있는 액티브 프로텍션은 오탐지 비율을 현저하게 낮출 수 있다. 이미 허용된 액션 및 예측 가능한 액션을 수행하는 프로그램을 화이트리스트로 정리하여 운영함으로써 승인된 활동에 잘못된 태그 작업이 발생하는 것을 막을 수 있다.

또한 랜섬웨어가 파일 암호화를 시작하는 경우, 이를 탐지하고 해당 프로세스를 중지시키는 것이 가능하다. 백업 솔루션 본연의 기능에 따라 프로세스가 중지되기 전에 노출되거나 암호화 된 모든 파일은 다양한 백업 소스를 통해 복구 할 수 있다. 안티-랜섬웨어 솔루션의 경우 일단 공격이 시작되면 이를 중단시키기 어려울 뿐만 아니라 암호화 된 파일을 복구하는 것도 불가능 한다.

이를 위한 대안으로 마련된 지능형 기술은 사이버 공격에 한발 앞서 대응하는 접근법을 취하고 있으며, 기존의 안티-랜섬웨어 기능 또한 그대로 유지한다. 이러한 솔루션은 로컬 백업 및 클라우드 백업을 감염시키고자 시도하는 경우나, 문서의 일부만을 변경하거나 하드 드라이브에 오래 보관되어있던 사진 등 공격이 매우 소규모이거나 발견하기가 어려운 경우, 사용자가 파일 변경을 알아차리지 못하도록 새로운 방법으로 은밀하게 타깃 시스템에 침입하는 경우 등과 같은 치밀한 보안 공격 상황에서 데이터를 안전하게 보호한다.

지난달 전세계를 강타한 랜섬웨어 워너크라이의 교훈은 무엇일까? 수천 대의 컴퓨터가 멀웨어의 공격으로 피해를 입었으나, 정기적이고 지속적인 백업 전략이 있었다면 피해 규모는 훨씬 더 줄어들었을 것이라는 점이다. 백업은 실질적인 데이터 유실의 위험성을 사전에 차단할 수 있는 장기적이고 확실한 방법이다.

워너크라이 사태에서 확인했듯 사이버 범죄 조직들은 타깃의 컴퓨터에 침투할 수 있는 새로운 방법을 지속적으로 찾아내고 있다. 백업은 감염된 데이터를 복구할 수 있는 가장 안정적인 방법이지만, 백업된 파일 또한 랜섬웨어 공격으로부터 보호해야 한다는 점을 기억해야 한다. 여러 곳에 데이터를 보관해두고, 사용하고 있는 백업 솔루션이 백업 파일까지도 안전하게 보호할 수 있는지 지금 바로 점검해보도록 하자.[글. 서호익 아크로니스 코리아 대표]

★정보보안 대표 미디어 데일리시큐!★