팔로알토 네트웍스에 따르면 지난 10년 동안 약 6억개 이상의 악성코드가 출현했다고 한다. 이 가운데 최근 기승을 부리는 랜섬웨어는 무엇보다 제로데이 취약점 공격이나 알려지지 않은 멀웨어(Unknown Malware) 등 기존의 보안 시스템을 회피하기 위한 형태로 진화하고 있다. 단순한 해킹 유형의 범주를 벗어나 사이버 공격자 들이 전문화 조직화 되어 금전적 수익을 목적으로, 수백만 달러 규모의 효과적인 사이버 범죄 모델로 진화했다.

이런 상황에서 악성 코드를 대응하기 위한 시그니처 패턴이 만들어지는 속도를 추월하고 있고, 신종 악성코드가 탐지 되지 않는(Zero-day) 기간이 늘어나고 있어, 관리자들의 불안감은 날로 커지고 있다. 이러한 위협에 대응하려면 적절한 관리자 및 사용자 교육, 기존 IT 환경에 적합한 조치, 그리고 엔드포인트 보안 고도화를 통해 랜섬웨어 예방 및 대응 전략을 구축돼야 한다.

팔로알토 네트웍스는 여전히 안심할 수 없는 랜섬웨어를 예방하기 위한 시스템 관리 방안을 발표했다.

첫째, MS 오피스 파일에서 매크로 스크립트가 실행되지 않게 한다. MS의 발표에 따르면 오피스 프로그램 타깃 공격의 98%가 매크로를 사용하고 있는데 매크로 스크립트를 허용하지 않으면 랜섬웨어를 예방할 수 있다. 매크로 기능을 사용해야 하는 부서는 예외 사항 및 특정 부서를 고려하여 매크로 사용 정책을 실행해야 한다. ‘MS 오피스 2016’의 경우 관리자가 워드(Word), 엑셀(Excel), 파워포인트(PowerPoint) 문서에서 인터넷을 통해 발생하는 매크로를 차단할 수 있는 기능이 있다. 가능한 오피스 프로그램을 업그레이드 하고 이 기능을 활용하는 것이 좋다.

둘째, 월별로 패치 관리 프로세스를 점검한다. MS의 경우 “패치 튜즈데이(Patch Tuesday)”를 통해 30일 이내에 시스템 패치를 설치하도록 패치 릴리즈를 실시하고 있다. 패치 프로세스를 정기적으로 점검해야 하며, 지능형 엔드포인트 제품으로 패치를 놓쳐 발생할 수 있는 익스플로잇을 차단하는 것도 효과적인 방법이다.

셋째, 인바운드 스팸 및 멀웨어 보호 정책을 실시한다. 이메일 서버 업체에서 권고하는 방식에 따라 인바운드 메일 차단을 유지해야 한다. 예를 들어 실행 가능한 첨부파일은 차단하는 식의 정책을 실시해야 한다.

넷째, 차세대 방화벽을 통해 네트워크를 보호한다. 방화벽에서 지속적인 업데이트로 알려진 위협은 자동으로 차단할 수 있어야 한다. 또한 샌드박싱 기능을 통해 알려지지 않은 위협이 엔드포인트에 도달하기 전에 이를 차단해야 한다. 샌드박싱은 지속적으로 등장하는 변종 랜섬웨어를 탐지하는데 효과적인 방법이다. 방화벽/프록시에서 “분류되지 않은” 웹사이트의 경우 “진행” 버튼을 눌러야 다음 단계가 이루어지는 방식으로 최종 사용자 커뮤니케이션을 지원할 수 있도록 구성해야 한다. 분류되지 않은 수많은 웹사이트들이 멀웨어 배포를 위한 피싱 공격의 대상이 되기 때문이다. 이러한 2단계의 프로세스를 통해 외부 콜이 커맨드 앤 컨트롤 서버와 통신 하는 유형의 랜섬웨어를 차단할 수 있다.

다섯째, 지능형 엔드포인트 보호 환경을 구축한다. 전통적인 안티바이러스 제품들은 랜섬웨어와 같은 지능형 멀웨어에 효과적이지 않다. 탐지를 피하기 위해 계속해서 변화하기 때문이다. 엔드포인트 보호 수단이 알려진 멀웨어와 알려지지 않은 멀웨어는 물론 제로데이 등의 익스플로잇을 모두 탐지하고 차단할 수 있어야 한다. 화이트리스팅(whitelisting: 신뢰할 수 있는 접근에 대한 허용)의 경우 단순하고 작은 규모의 기업에서는 유효할 수 있으나 다양한 애플리케이션을 사용하는 복잡한 구조의 기업에서는 리스트 관리에 상당한 부담이 발생하게 된다. 이 경우 랜섬웨어를 탐지하기 위해서는 테크닉 기반의 멀웨어 탐지가 이루어져야 한다. 이를 위해서는 엔드포인트 보호 시스템에서 실시간의 위협 인텔리전스를 통해 기업적 특성과 지역, 산업을 전체적으로 아우르는 정보를 활용할 수 있어야 한다.

이향선기자 hslee@nextdaily.co.kr