팔로알토네트웍스(https://www.paloaltonetworks.com)는 20일 기자간담회를 열고 클라우드 기반 지능형지속위협(APT) 방어 및 대응 솔루션인 와일드파이어(WildFire)를 통해 전세계적으로 수집된 악성코드를 분석한 결과, 전세계 상위 6개 안티바이러스 제품에서 탐지하지 못하는 악성코드 파일이 62.5%에 달한다고 밝혔다.

이는 사이버공격이 고도화됨에 따라 악성코드가 지능형으로 발전, 기존 방식의 탐지가 어려워졌다는 방증이다. 악성코드는 제로데이 취약점 공격과 알려지지 않은 멀웨어 등 기존 보안 시스템을 회피하기 위한 형태로 진화하고 있다. 사이버공격자들은 전문·조직화돼 금전적 수익을 목적으로 하는 비즈니스 모델로 나아가고 있다.

최근 들어 더욱 급격한 상승세를 보이고 있는 악성코드는 시그니처 패턴이 만들어지는 속도를 추월했다. 또, 신종 악성코드가 탐지되지 않은 제로데이 기간은 점점 늘어나고 있다.

이날 조현석 팔로알토네트웍스코리아 부장<사진>은 “2010년 이후 악성코드가 기하급수적으로 늘어났다”며 “이전에는 사람이 악성코드를 분석하고 패턴을 만들어 최적화할 수 있는 시간이 충분했지만, 새로운 악성코드가 나타나는 속도가 빨라짐에 따라 기존 방식으로는 방어가 늦어져 보안사고 증가로 이어진다”고 말했다.

랜섬웨어 공격 범위는 마이크로소프트 윈도뿐 아니라 안드로이드, 리눅스, 맥까지 확대되고 있다. 인터넷 연결이 가능한 모든 컴퓨터와 디바이스가 랜섬웨어의 잠재적 타깃이다. 사물인터넷(IoT) 시대에서는 웨어러블 기기 및 스마트홈 어플라이언스 등도 공격 대상이다.

이러한 랜섬웨어는 일반 사용자에게 직접적 영향을 미친다. 피해 기업 및 기관은 서비스 수준이 심각하게 저하되거나 중단될 수 있다. 범죄 조직 입장에서는 진입 장벽이 낮으면서도 수익성이 좋은 모델이기 때문에 기존의 다양한 사이버 범죄들이 랜섬웨어로 빠르게 대체되고 있는 상황이다. 공격자들은 몸값을 지불할 의사와 능력이 되는 대상을 선별하며, 점점 더 많은 몸값을 요구하고 있다.

팔로알토네트웍스는 이러한 상황에서 기존 레거시 엔드포인트 보안 솔루션은 랜섬웨어에 제대로 대응할 수 없는 한계에 직면했다고 우려했다.

조 부장은 “기존의 엔드포인트 보안 솔루션은 시그니처 기반이라 현재의 악성코드를 전부 차단할 수 없고, 표적공격을 방어하기가 힘들다”며 “안티 바이러스 솔루션의 경우 알려지지 않은 제로공격에 취약하고, 패턴 기반 및 행위기반의 솔루션은 높은 엔드포인트 리소스 사용량을 요구한다”고 설명했다.

시그니처 기반 보안은 알려진 공격 대부분을 빠르고 확실하게 차단하고 있지만, 기존에 알려진 공격에 대응한다는 특성 때문에 최신의 악성코드에 대처하기 어려운 상황을 지적한 것. 이에 팔로알토네트웍스는 다중 보안을 지원하기 위한 지능형 엔드포인트 보안 솔루션이 필요하다고 강조했다.

이와 관련 팔로알토네트웍스는 차세대 엔드포인트 보안 솔루션 ‘트랩스(Traps) 4.0’을 소개했다. 트랩스는 취약성 프로파일의 자동 예방 및 테크닉 기반 익스플로잇 공격 차단을 지원하며, 운영체제 커널이 악용되는 것을 방지한다.

또한, 파일 해쉬 기반의 빅데이터를 운영해 알려진 멀웨어 공격을 차단하며, 알려지지 않은 공격에 대해서는 5분 내에 신속하게 차단할 수 있는 시그니처를 자동 생성한다. 머신러닝을 활용하여 악성 행위를 즉시 차단하고 악의적 목적의 프로세스 행위를 정책적으로 막는다.

최원식 팔로알토네트웍스코리아 대표는 “랜섬웨어는 이제 시작이며, 지금보다 더 강력하게 나타날 것”이라며 “관리자들의 불안감이 날로 커지고 있는 상황에서 보안위협으로부터 비즈니스를 보호하기 위해서는 적절한 관리자 및 사용자 교육, 기존 IT 환경에 적합한 조치, 엔드포인트 보안 고도화를 통해 랜섬웨어 예방 및 대응 전략을 구축해야 한다”고 제언했다.

<최민지 기자>cmj@ddaily.co.kr