[디지털데일리 이종현기자] “랜섬웨어에 대해 대부분의 사람들이 백업만 하면 된다고 생각한다. 저는 절대 그렇게 생각하지 않는다. 초기 침입 이후 어떤 악성 행위가 이뤄지기 전, 조기에 쉽게 대응하는 것이 가장 중요하다.”(함경호 안랩 솔루션컨설팅팀 차장)

8일 함경호 안랩 솔루션컨설팅팀 차장은 경기도의회가 주최한 ‘지방의정 디지털 대전환(Local Government Dx) 2023’ 콘퍼런스에서 ‘최근 랜섬웨어 위협 동향 및 효과적인 대응 전략’을 주제로 발표하며 이같이 밝혔다.

안랩의 조사에 따르면 올해 7월 이후 랜섬웨어 신규 샘플 수는 감소 추세다. 8월 매그니베르(Magniber) 랜섬웨어가 사용하는 인젝션 기법의 차단룰이 배포된 이후 8월25일자로 매그니베르 랜섬웨어의 유포가 중단된 영향이다. 함 차장은 “기업‧기관을 타깃으로 하는 정보 유출형 랜섬웨어는 여전히 록빗(Lockbit) 3.0이 압도적”이라고 말했다.

그는 랜섬웨어의 주요 공격 유형을 ▲이메일 ▲네트워크 ▲엔드포인트 등 3개로 구분해 설명했다.

이메일의 경우 피싱 사이트 접속, 사용자 열람 유도 문서파일, 다운로드 링크 삽입, 암호화 압축파일, 문서첨부 등의 기법이, 네트워크에서는 워터링 홀이나 리모트 데스크톱 프로토콜(RDP), 무료 유틸리티 툴 배포 사이트나 웹 브라우저 취약점 등이 주로 활용한다고 전했다. 엔드포인트는 USB, 외장디스크와 운영체제(OS) 취약점을 통한 내부확산 등을 이용된다고도 밝혔다.

함 차장은 “최근에는 랜섬웨어 조직이 점점 더 기업화하면서, 개인보다는 특정 조직을 노리는 타깃형 방식이 증가세를 보이고 있다”고 밝혔다. 가장 많이 이용되는 공격 기법은 소프트웨어(SW) 취약점을 노리는 것(32%)으로, 피싱(22%)과 크리덴셜 스터핑(14%)이 그 뒤를 이었다.

그는 다크사이드(Darkside), 하이브(Hive), 록빗 3.0, 크라이시스(CrySis) 등 널리 알려진 랜섬웨어 피해 사례를 소개하며 “이 사고들의 공통점은 공용 계정을 쓴다든지, 취약한 패스워드를 사용했다든지, 주기적으로 변경해야 하는데 그런 조치를 하지 않은 등 계정관리 상태가 미흡했다는 점”이라고 밝혔다.

함 차장은 최초로 시스템에 침해를 허용하는 1단계를 시작으로, 조직 전체로 확산되는 2단계, 데이터 유출 및 랜섬웨어의 감염이 이뤄지는 3단계 등 랜섬웨어의 피해 단계를 3개 단계로 구분해 설명했다.

실제로 랜섬웨어 공격은 코로나19와 같은 감염병과 비유되곤 한다. 하나의 PC가 악성코드에 감염되면 해당 PC를 징검다리 삼아 조직 내 전체 PC로 전파한다. 그 기간동안은 악성 행위를 하지 않는 잠복기를 거치고, 최대한의 피해를 줄 수 있을 때 데이터 유출이나 암호화와 같은 행위에 나선다.

함 차장은 “랜섬웨어 피해가 2단계로 넘어가면 어떻게 손쓸 수가 없다. 반대로 말하면, 2단계만 막으면 조직 전체에 확산되는 것은 막을 수 있다. 2단계에서 피해를 막을 수 있도록 하는 보안 운영이 필요하다”고 강조했다.

이런 위협에 대응하는 방법으로 그는 단계별 대응 솔루션을 구축하는 것이 유효하다고 조언했다. 1단계 안티 바이러스(AV)나 침입방지시스템(IPS)과 같은 시그니처 기반 솔루션을 시작으로 2단계 지능형지속위협(APT)과 같은 샌드박스 솔루션, 3단계 엔드포인트 탐지 및 대응(EDR)이나 확장된 탐지 및 대응(XDR)과 같은 위협의 가능성이 있는 모든 행위를 모니터링하는 솔루션을 제시했다.

안랩이 갖추고 있는, 각 단계에 부합하는 솔루션도 소개했다. 안랩은 대표 제품인 안티 바이러스 솔루션 ‘V3’를 비롯해 방화벽, IPS, EDR, APT, 위협관리시스템(MTS) 등을 비롯해 이를 한데 묶어서 제공하는 XDR까지도 제공하는, 국내 보안기업 중 가장 넓은 포트폴리오를 갖춘 기업이다.

함 차장은 “랜섬웨어 피해가 발생할 경우 가장 중요한 것은 원인분석이다. 공격 경로나 범위를 살펴야 한다. 전문적인 포렌식을 수행할 수도 있지만 EDR 같은 솔루션을 활용한다면 중앙에서 상시 로그를 수집함으로써 쉽게 피해 원인을 분석할 수 있다”고 말했다.

이어서 “부족한 모든 솔루션을 도입하라는 것은 아니다. 여러 솔루션 중 무엇을 도입할지, 취약한 공격표면(Attack Surface)을 보완할지 고민하며 선별해서 선택하는 것이 가장 좋은 방안”이라고 전했다.