신종 랜섬웨어 등장! 대응 방안은? 외부유입파일관리

 

 

 

“내 맘을 들었다 놨다 들었다 놨다 해” 라는 노랫말처럼

지난 한 해 동안 보안 업계를 들었다 놓은 주범, 바로 ‘랜섬웨어’입니다.

‘2016 랜섬웨어 디펜더 컨퍼런스’에서는

올해 국내 랜섬웨어 감염 피해가 약 15만 명, 피해규모만 3천억 원에 이를 것이라 전망했습니다.

2015년 감염피해가 5만 3천건, 피해규모가 1천억 원 규모로 추정된 것에 비하면

올해는 그 피해가 3배나 증가할 것이라는 전망이죠.

​

또한 정보보안 담당자들을 대상으로 한 사이버 위협 조사에 따르면,

보안 담당자들의 48%가 가장 치명적인 사이버 공격으로 ‘랜섬웨어’를 꼽을 정도로

수 많은 보안 위협 들 중 가장 위험성이 높은 사이버 위협으로 랜섬웨어를 주목하고 있습니다.

​ 

점점 더 치명적으로 진화하는 랜섬웨어,
 그 속에서 우리의 소중한 정보자산을 지키기 위해 과연 어떤 방어태세를 갖춰야 할까요?

​

오늘 이 시간에는 ‘지피지기면 백전백승’이라는 말처럼
랜섬웨어는 도대체 무엇이며, 현재 랜섬웨어의 현황과 함께 어떻게 대응해야 하는 것인지에 대해
정보보안 전문기업 소프트캠프에서 샅샅이 알려드리겠습니다.

 

 

 

 

국내 외 기관의 보고서에 의하면, 표적 공격의 91%는 스피어 피싱 이메일로 시작되며,

스피어 피싱 메일의 94%는 악성파일을 첨부하여 공격을 감행,

이 중 워드, 엑셀, 한글 등 문서 파일포맷이 전체 첨부 파일의 70%를 차지하고 있다고 조사되었습니다.

 

악성코드로 자주 이용되는 포맷인 exe 는 첨부 자체를 막고 있는 메일 시스템이 많기 때문에,

문서 또는 이미지 포맷의 확장자로 변조한 파일을 첨부하여 스피어 피싱 공격을 감행하는 것이 유행하고 있습니다.

​

공격 유형은 문서, 이미지 등의 첨부파일 속 숨겨진 악성코드가 PC로 침투하여

개인정보를 유출시키는 것 까지가 주된 공격 유형이었으나,

최근 보안사고는 자료유출 후 금전을 요구하는 경우가 많아지고 있습니다.

2014년 한수원 유출사고와 같이, 자료유출 피해에 그치는 것이 아닌 금전요구에까지 이른 것이죠.
한수원 사태를 계기로 국내 보안업계는 랜섬웨어의 위협에 휩싸이게 되었고
보안사고의 패러다임은 변화를 맞이하게 됩니다.

 

 

 

 

 

랜섬웨어 Ransom(몸값) + Ware(제품)의 합성어로 사용자 컴퓨터의 화면을 잠그거나 문서 등을 암호화 후 사용자에게 해독용 프로그램을 전송해 준다며 금전을 요구하는 악성코드. 이메일, SNS, 웹하드, 웹사이트 방문 등으로 감염되며, 해독 비용으로는 ‘비트코인’과 같은 전자화폐를 요구한다. 최근 발생한 랜섬웨어는 한글로 변역된 금전요구 방법부터, 실제 피싱과 같이 사용자에게 대화형으로 금전을 요구하는 사례도 발생하고 있다.

 

제로데이(Zero-day) 취약점을 이용하여 APT로 유입된 문서형 악성코드는

특별한 패턴이 없고, 탐지여부를 확인하기 어려울뿐더러, CVE 공개 시 악성코드를 샘플로 공개하기 때문에

약간의 변경만으로도 새로운 악성코드를 생성할 수 있어 백신에 쉽게 검출되지 않는 특징이 있습니다.

​

이 때문에 고도화된 랜섬웨어를 발견하기란 쉽지 않은 것이죠.

 

 

 

 

2016년 현재, 이전과는 다른 신종 랜섬웨어가 국내에 유포되고 있다는 소식에
대한민국 사이버 보안업계에 빨간불이 켜졌습니다.

 

● 인터폴 사칭 벌금 요구 랜섬웨어
현재 국내 웹사이트를 통해 드라이브 바이 다운로드(Drive-By-Download)방식으로 유포 중인
‘Revention’은 ‘인터폴 사이버범죄 담당부서에서 당신의 PC가 불법 컨텐츠 유포 혐의로 인해 일시적으로 제한되었으니 벌금을 내야한다’는 메시지로 사용자들을 협박하고 있습니다.
기존 랜섬웨어들이 문서파일이나 이미지 등을 인질로 잡아 협박하는 것과 비교해
Revention은 PC 화면을 잠그고 벌금이라고 속이는 방법에서 좀 더 교묘하게 진화했습니다..

● 영문 이력서 위장한 매크로 실행 랜섬웨어
이메일을 통해 빠르게 유포중인 매크로 악성코드는
‘현재 문서가 보호되어 있으니 매크로를 활성화하면 보호된 원문을 볼 수 있다.’라는 문구를 통해
사용자 스스로 매크로를 실행하도록 유도하고 있습니다.
랜섬웨어 크립토월 4.0의 최신 변종인 이 랜섬웨어는
매크로 실행 시 웹에서 암호화된 악성코드를 다운받아 복호화한 후 실행하여
시스템 내 중요 파일들을 암호화하는 방법으로 금전을 요구합니다.

● 익스플로잇 킷을 통한 파워쉘 다운로드 랜섬웨어
서버 관리, 시스템 관리에 유용하게 활용되는
윈도우 운영체제 내장 프로그램, 파워쉘(Powershell.exe)을 통해
악성코드를 다운로드해 실행하는 방식의 랜섬웨어 유형이 포착되었습니다.
익스플로잇 킷(Exploit Kit)을 통해 파워쉘로 랜섬웨어를 다운로드하여
파워쉘 이용자들을 악성코드에 감염시키는 방식이기 때문에
가급적 파워쉘 프로그램이 꼭 필요한 경우가 아니라면 파워쉘 실행 자체를 차단하는 것을 권장합니다.

 

 

위의 세 가지 2016년 신종 랜섬웨어 사례에서 보듯,
이제는 랜섬웨어가 단순히 이메일을 통해 감염되는 것이 아닌,
드라이브 바이 다운로드 방식, 매크로 실행, 파워쉘 등
PC 내 다양한 프로그램을 악용하는 등의 방식으로 점차 지능화되고 그 감염경로 또한 확대되고 있는 상황입니다.

​

또한 기존의 백신 및 APT 대응 제품들의 분석 방식을 교모히 회피하는 악성코드들이 증가했으며
실행파일(exe.)이 아닌 jpg, hwp, psd, pdf 등 일상생활에서 아무런 의심 없이 클릭하게 되는
문서, 이미지 등의 다양한 형태로 유입되고 있습니다.

​

호시탐탐 우리의 소중한 정보를 노리고 있는 신종∙변종 랜섬웨어,
해결책은 없는 걸까요?

 

 

 

 

보안에 있어서 가장 중요한 것은
사후대책보다는 미리 예방하고 준비하는 것이 우선시 되어야 한다는 것이겠죠?
지능화되고 고도화되는 랜섬웨어에서 벗어나기 위해선
랜섬웨어의 접근을 원천적으로 차단하는 것이 가장 중요합니다.

​

외부유입파일관리 솔루션, SHIELDEX(실덱스)
그렇다면 과연 어떤 방법으로 소중한 정보자산을 지켜내는 걸까요?

​

SHIELDEX(실덱스)는 사용자 PC에 반입되는 문서의 잠재적인 위험을 선제적으로 대응하는 서비스입니다.
외부인 출입보안 체계와 같이 외부에서 유입되는 파일에 대해
단계별 출입보안 체계를 통해 랜섬웨어로부터 PC를 보호하는 것이죠.

 

 

인터넷, 망, 이메일 USB 등 랜섬웨어가 유입될 수 있는 다양한 외부유입파일들을
격리된 가상공간을 통해 미리 살펴보고, 방역처리한 후 안전한 파일만 내부 반입시킴과 동시에
유입된 파일에 대해 모니터링, 동작 제어, 추적 기능을 통해

PC 내 외부유입파일들을 철저히 보안∙관리하게 됩니다.

​

 

 

​만약 악성코드 가능성이 있는 외부유입파일이 PC 핵심영역(R-Area)에 접근을 시도한다면?

​
프로세스를 그 즉시 차단/폐기하고 유입경로를 파악함으로써
마치 축구경기에서의 1:1 전담마크처럼
​외부유입파일에 대한 전사적인 보안을 가능하게 하는 것이죠.

​

문서 포맷 확인 → 포맷 별 구조 검증 → 문서 구성요소 추출 → 문서 재구성을 통한 검증 의
4단계 과정이 소프트캠프의 Micro-VM기술을 적용한 가상화 격리 환경(V-Room)내에서
이루어지기 때문에 진단과정에서 일어날 수 있는 추가적인 감염을 막을 수 있을 뿐 아니라
가상환경 내 실행한 작업이 사용자 로컬 PC 환경 자원에 영양을 미치지 않아
망분리 환경에 특화되어 더욱 안전한 랜섬웨어 검진이 이루어질 수 있는 것이죠.

​

이러한 외부유입파일관리 기술력을 인정받은 SHIELDEX(실덱스)는
2016년 1월, 한국 정보통신기술협회(TTA)로부터
행정용 SW로 사용 가능한 안전한 품질임을 입증 받는 GS(Good Software)인증을 획득했습니다.

문서방화벽 기술을 통한 차별화된 APT 대응 솔루션, SHIELDEX(실덱스).
최근 유행하는 문서형태의 악성코드를 효과적으로 제거/차단할 수 있을 뿐만 아니라,
PC 시스템 내 중요 영역을 보호하여 기업 정보 자산에 대한 안전성을 확보,
내부 업무 환경의 보안 강화와 나아가 전사적 차원의 IT 보안 체계 확립을 가능하게 합니다.

 

 

​

매년 예상치 못한 방법으로 보안업계를 뒤흔드는 신종∙변종 랜섬웨어.
사용자의 주의만을 요하기엔 그 위협은 너무나도 커져있습니다.
또한 랜섬웨어가 어떤 방식으로 진화할 지 조차 그 누구도 예측할 수 없습니다.

​

당신의 소중한 정보자산,
이제는 외부유입파일관리 솔루션이 필요할 때입니다.

​

랜섬웨어의 접근을 원천적으로 차단하는 보안 솔루션, SHIELDEX(실덱스)
PC 속 숨은 랜섬웨어를 선제 대응하는 소프트캠프를 통해
​당신의 소중한 정보, 확실하게 보호하세요!

​

2016년 보안도, 외부유입파일관리도 역시 소프트캠프입니다^^