체크멀(김정훈 대표)은 PASCON 2017에 참가해 ‘랜섬웨어 탐지 및 방어 기술의 발전’이란 주제로 키노트 발표를 진행하고 전시부스에서 자사의 상황 인식 기반 랜섬웨어 사전탐지 솔루션 ‘앱체크(AppCheck)’를 소개하는 시간을 가졌다.
김정훈 대표는 “대부분 랜섬웨어는 공개키 암호화알고리즘인 RSA-2048을 사용해 암호화한다. 암호화된 파일은 복호화 키 없이는 복구가 불가능해 매우 치명적”이라며 “지난 5월 워너크라이 랜섬웨어는 전세계 150개국에 창궐했으며 킬스위치가 제거된 워너크라이 변종이 다시 배포되는데 단 2일이 소요됐다. 해당 변종 개수는 약 452종으로 파악됐다. 이렇게 랜섬웨어 변종은 매우 빠른 시간내에 새로 제작 및 배포가 가능해 더욱 위험하다”고 강조했다.
또 지난 6월 지능형 지속위협(APT) 공격과 에레버스(Erebus) 랜섬웨어 공격이 결합된 사고로 호스팅업체 ‘인터넷나야나’사태를 설명하며 최악의 랜섬웨어 사고로 정교한 공격에 보안체계가 취약한 기업은 어디든 유사한 사고가 발생할 수 있다고 경고했다. 이외에도 대기업 서비스센터 랜섬웨어 감염 사고와 버스정류장정보시스템, 게임기기, 은행ATM 기기 등 다양한 분야에서 발생한 랜섬웨어 감염 사례를 소개해 눈길을 끌었다.
이어 김 대표는 “랜섬웨어 대응 기술은 크게 사전방어와 백업(사후 복원)으로 나뉘며 사전 방어는 랜섬웨어의 동작을 미리 차단하고 방어하기 때문에 가장 이상적인 기술이지만 탐지하지 못할 경우도 대비해 사전 백업도 병행하는 것이 가장 안전한 대응”이라며 “국내 시장에는 랜섬웨어 방어제품으로 포지셔닝한 제품들이 15종 이상 출시돼 있으며 APT 방어제품, 백업제품, 안티랜섬웨어 제품 등으로 구분될 수 있다”고 설명했다.
한편 비 콘텐츠 기반 탐지 기법도 콘텐츠 기반 기술을 보완하고자 개발된 기술로 각각의 한계가 존재하며 이를 극복할 만한 기술이 요구되는 실정이다. 즉 미끼파일을 변조한 프로세스 탐지와 어플리케이션의 취약점 발생 시점에 탐지 그리고 보호대상을 지정하거나 변경 권한 부여 등 정책을 통한 기법도 한계가 있다는 것이다. 김 대표의 설명을 요약하면 다음과 같다.
△Decoy Based=미끼 파일을 변조한 프로세스 탐지방법은 국내 배신도 사용하는 탐지 방법으로 미끼 파일을 우회하거나 그 전에 암호화된 파일은 복구가 불가하다. 즉 실질적으로 다양한 환경에서 중요한 파일을 보호하지 못한다.
△Exploit Based=어플리케이션 취약점을 통한 비정상 실행 탐지 기법도 이메일 첨부파일을 직접 실행하거나 익스플로잇이 발생하지 않는 경우는 방어할 수 없다.
△Poicy Based=폴더 접근 권한 정책을 설정하는 기법도 사용자가 보호하려는 폴더를 직접 설정해야 하며 허용 프로세스도 등록해야 한다. 등록하지 않은 폴더내 파일들은 무방비로 당할 수 있다는 한계가 있다.
상황 인식 기반 랜섬웨어 탐지 기술에 대해 김 대표는 “기존 방식처럼 랜섬웨어 콘텐츠를 보는 것이 아니고 파일의 변조 시점에 정상적 변경과 악의적 변경을 판단하기 때문에 별도의 업데이트 없이도 신종 랜섬웨어의 사전탐지가 가능하다”며 “파일이 변경될 때 다양한 정보를 추적하고 관리하며 파일의 정상적인 변경과 비정상적 변경 구분이 가능해 알려진 랜섬웨어든 알려지지 않는 랜섬웨어든 상관없이 대응이 가능하다”고 강조했다.
이어 그는 “체크멀 홈페이지에 앱체크가 단 하나의 시그니처 없이 620여 종의 신종 랜섬웨어를 모두 방어하는 영상을 올려놓았다. 2017년 5월 발생한 워너크라이 랜섬웨어를 2015년 12월 앱체크 최초 버전으로 탐지가 가능했던 것도 바로 상황 인식 기반으로 사전방어를 하기 때문”이라고 강조했다.
★정보보안 대표 미디어 데일리시큐!★
