침해사고/위협동향

[NES2016] 안랩 “랜섬웨어 공포, 네트워크 샌드박스로 대응”

최민지

안랩 정광우 차장
안랩 정광우 차장

[디지털데일리 최민지기자] “보안 위협이 이어지고 있고, 기업뿐 아니라 일반 시민까지 피해를 주는 랜섬웨어가 지능화되고 있다. 지능형 랜섬웨어로 인한 첫 번째 피해자가 생성되는 것에 대한 해답을 찾아야만 한다.”

21일 정광우 안랩 차장은 <디지털데일리> 주최로 서울 JW메리어트호텔 그랜드볼룸에서 열린 ‘차세대 기업보안 세미나&전시회(NES)2016’에서 지능형 랜섬웨어를 방어하기 위해 첫 번째 희생자를 막는 것이 무엇보다 중요하다고 강조했다.

정 차장은 “랜섬웨어는 PC의 중요한 파일을 암호화해 과금을 요청하는 방식에서 진화해 PC 자체를 복구하지 못하게 하거나 정보를 블랙마켓으로 유출시키겠다는 협박을 하기도 한다”며 “랜섬웨어 피해 발생 이후에 다양한 위협이 존재하기 때문에 첫 피해자를 막는 것이 무엇보다 중요하다”고 말했다.

최근 다양한 패턴으로 지능화된 신·변종 랜섬웨어가 등장해 사용자들의 피해자가 급증하고 있다. 크립토라커의 경우, 웹을 통해 유포돼 감염되면 암호화를 시킨 후 비트코인을 통한 결제를 요구한다. 록키는 스팸업체와 손잡고 문서파일(.doc)뿐 아니라 자바 스크립트(.js)를 포함시켜 랜섬웨어를 다운로드하도록 유도한다.

올해 3월에 등장한 랜섬웨어 ‘cerber’는 중요한 파일이 암호화 됐다고 음성으로 읽어주기까지 한다. 또, 토르웹 브라우저를 통해 비트코인 결제를 유도하는데 이 경우 서버 위치 추적이 불가능하다.

정 차장은 “랜섬웨어 유포방법이 다양화되고, 유포파일 형태가 확대되고 있으며 랜섬웨어의 서비스화가 진행되고 있다”며 “피해범위를 예측하기 어려워 리스크가 클 수밖에 없다”고 제언했다.

이에 정 차장은 알려지지 않은 공격에 대한 첫 번째 피해자에 대한 대응방법으로 네트워크 샌드박스를 도입해야 한다고 제안했다. 정 차장은 ‘안랩 MDS’를 예로 들어 악성코드의 실행 이전 단계 및 실행 단계에서 공격이 활성화되지 못하게 막을 수 있다고 설명했다.

정 차장은 “네트워크 샌드박스는 인지하는 공격에 대해 사용자단까지 내려오지 못하도록 한다”며 “외부로부터 위협이 들어오면 악성 여부를 분석하며, 웹에서 새로운 공격이 들어오면 PC에서 실행 보류를 시킨 후 분석해 실제 악성코드일 때 차단과 삭제를 동반하도록 한다”고 부연했다.

<최민지 기자>cmj@ddaily.co.kr

최민지
cmj@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널