블로그

지란지교시큐리티의 생생한 최신 소식과 알림을 전달합니다.

[새니 이야기: 3화] 랜섬웨어에 대응하는 다양한 보안 솔루션
새니2022-09-29

안녕하세요. 랜섬웨어 예방 전문가 새니에요 ('')

 

 

 

얼마 전 다양한 주제로 선풍적인 인기를 끌었던 드라마 ‘이상한 변호사 우영우’ 재밌게 보셨나요?


자폐 스펙트럼 장애를 가진 천재 신입 변호사 우영우가 비장애인에게는 당연시되던 틀에 박힌 규칙과 문제들을 새로운 시각으로 바라보고 자신만의 방법으로 씩씩하게 해결해 나가는 성장과정을 다양한 에피소드를 통해 보여주었는데요, 결국 사랑도 이복동생의 마음도 지켜주며 정규직 변호사가 된 우영우변호사를 보며 저도 괜스레 ‘뿌듯함’을 느꼈습니다. ^o^

 

이 멋진 드라마의 대미를 장식할 마지막 에피소드는 바로 ‘개인정보 유출 사고'였는데요. 

IT 담당자의 동생으로 가장한 해커가 드라마 속 대규모 쇼핑몰인 라온의 DB 서버에 침투해 4000만 명의 개인정보 유출한 것이 사건의 배경입니다. 

취업 준비를 하는 '동생'이 보낸 '이력서' 파일이기에 IT 담당자는 아무런 의심없이 MS 워드(.doc)로 위장한 악성코드를 실행해버린 것입니다.


실행 파일 형태 악성코드(.exe)에서 첨부 파일 형태(.doc, .hwp)로 진화한 악성코드와 사회공학적 공격인 스피어피싱으로 기업 내부 고객 데이터가 유출되어 천문학적인 과징금을 부과한 방통위와 법정 공방을 다투는 이 스토리는 2016년 실제 발생한 인터파크 개인정보 유출 사건과 유사합니다.

 

 

늘 말씀드리지만보안은 선제 대응이 중요힙니다!!

 

 

지란지교시큐리티에서 200개 기업을 대상으로 분석하는 스팸메일 동향 분석 리포트에 따르면 2022년 상반기에 메일을 통한 바이러스 파일 유입 시도는 20% 이상 증가했다고 합니다. 

오늘은 가파른 속도로 증가하는 기업 대상 사회공학 형태의 랜섬웨어* 공격에 대해 알아보고 그로부터 기업을 보호하기 위한 다섯 가지 솔루션을 소개해 드릴게요!

랜섬웨어는 ‘몸값’(Ransom)과 ‘소프트웨어’(Software)의 합성어로 데이터를 인질로 경제적인 이득을 요구하는 사이버 공격을 뜻합니다.

 

 

▣ 사회공학적 공격 기법

[그림1] 세금계산서로 위장한 사회공학적 공격 이메일 예시

 

DDoS 공격과 같이 아무나 걸리면 된다고 덫을 뿌려 놨던 무차별적이고 단발성이던 이전의 공격 방법과 달리 타겟을 지정하고 오랜 관찰과 탐구를 통해 공격 대상의 허점을 지속적으로 파고들어 시스템을 파괴하거나 정보를 유출하는 사회공학적 해킹(Social Engineering Attack)과 지능형 지속 공격 (APT, Advanced Persistent Threat) 방법은 시간이 지날수록 고도화되고 있습니다. 

아무리 방화벽, 백신, 각종 보안솔루션들로 내부 정보보호시스템이 잘 갖춰진 기업이라도 이를 관리하는 주체가 사람이기에, 결국 사람의 취약성으로 인해 이러한 방어체계 가 무용지물이 될 수 있다는 점에서 사회공학적 공격 기법은 기업비밀 유출 창구로 부각되고 있습니다.  

구체적인 예로 보이스 피싱과 같은 전화사기, 전자메일을 통한 피싱 공격, 우편물 절취를 통한 개인정보 도난 등도 넓은 범위의 사회공학 공격에 해당합니다. 

최근에는 모바일 인터넷 활용 증가로 인터넷에 대한 접근 범위와 채널이 급격하게 증가하며 문제도 덩달아 확대되고 있는데 특히 SNS와 이메일, 인터넷 메신저 등의 의사소통 수단이 일상화되면서 공격자로 하여금 사회공학적 해킹을 적용할 수 있는 소스가 확대되고 있습니다.

특히 사회공학 기법을 이용하는 이메일 피싱 공격은 등장 이후로 꾸준하게 애용되어 온 공격 수법입니다. 

이력서, 택배 송장, 견적서 등으로 위장하는 것은 흔한 일이며, 최근 암호화폐 가치가 다시 급등하면서 암호화폐 투자 관련 내용으로 위장한 악성 문서도 활발하게 유포되고 있습니다.

 

 

스피어 피싱

대표적인 사회공학적 공격 기법 중 하나인 스피어피싱은 불특정한 다수의 상대를 표적으로 삼는 일반적인 피싱 공격과 달리, 특정한 개인 및 회사를 대상으로 개인정보를 캐내거나 기업의 기밀 또는 데이터와 같이 특정 정보 탈취를 목적으로 하는 피싱 공격을 뜻합니다. 

공격자는 공격 대상을 안심시키기 위해 검색으로 얻은 정보를 사용해 접근하는 경우가 많습니다.

스피어피싱이 가장 많이 발생하는 스피어 피싱 메일 공격은 신뢰할 수 있는 발신자가 보낸 것으로 가장하는 표적화된 이메일 공격으로, 특정한 표적에게 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일에 악성 웹 사이트로 유도하는 URL(링크)이나 악성코드가 숨겨진 첨부 파일을 포함시켜 자연스럽게 악성코드에 감염시키는 방식의 공격입니다. 

기업의 임직원이 타겟일 경우 연말정산 기간에 국세청으로 위장하거나 협력사 담당자로 위장하여 비즈니스 파일로 둔갑한 악성코드를 발송하고 감염된 임직원의 시스템을 또 다른 랜섬웨어의 통로로 활용됩니다. 

 

 

 

 

 

▣ 랜섬웨어 대응 솔루션

[그림2] 랜섬웨어 대응 솔루션 유형

 

 

사이버 공간에서 안전하게 시스템을 사용하기 위해서는 상황에 적합한 보안 솔루션을 사용해야 합니다. 

사이버 보안을 강화하기 위해서는 과거부터 현재까지 보안의 흐름을 정확히 파악하고 미래의 다양한 위협에 대비해야 합니다.

과거의 무차별 공격과 달리 최근에는 사람의 관계와 심리를 이용한 사회공학적 공격이 급속도로 퍼지고 있지만 핵심 위협인 랜섬웨어 공격으로부터 대응할 수 있는 보안 환경이 온전하게 갖추어져 있다면 각기 다른 형태의 공격일지라도 방어할 수 있습니다. 

 

다섯 가지 대표적인 랜섬웨어 보안솔루션을 소개해 드리겠습니다.

 

  1. 바이러스 백신 (Anti-Virus)
    대중에 가장 많이 알려진 대표적인 보안솔루션인 백신은 악성 소프트웨어를 찾아내서 제거하는 기능을 갖춘 컴퓨터 프로그램으로 파일 안의 코드 일부가 바이러스 데이터베이스에서 정의된 바이러스(시그니처)와 일치하거나 바이러스라고 정의된 의심스러운 동작을 하는 파일을 제거 또는 차단합니다. 사전에 정의된 바이러스 데이터 베이스의 시그니처 데이터의 정확도와 악성파일에 대한 업데이트가 가장 중요합니다.
  2. EDR(Endpoint Detection and Reponse) 
    엔드포인트 위협 탐지•대응 솔루션은 컴퓨터와 모바일, 서버 등 엔드포인트의 보안을 강화할 목적의 솔루션으로 발생하는 악성 행위를 실시간으로 감지하고 이를 분석 및 대응하여 피해 확산을 막는 솔루션으로 지속적인 엔드포인트 데이터 수집, 실시간 분석 및 위협 탐지, 위협 대응 자동화, 위협 격리 및 해결, 위협 추적 지원 실시간 분석 및 AI 기반 자동화를 사용하여 바이러스 백신 소프트웨어와 기존의 엔드포인트 보안 기술을 넘어서는 사이버 위협으로부터 조직을 보호합니다. 
    엔드포인트 및 서버에 대한 포괄적 가시성을 제공하고 악의적인 활동을 나타내는 비정상적인 행동을 탐지 및 검출합니다. EDR 플랫폼을 사용하고 엔드포인트에서 활동을 계속적으로 감시 및 분석함으로써 사이버 공격을 탐지합니다.
  3. CDR(Contents Disarm  CDR은 사용자가 실행하는 모든 문서의 구조 분석을 통해 문서 내 포함되어 있는 잠재적 악성 위협인 액티브 콘텐츠를 탐지하여 원천 제거 후 안전한 파일로 재조합하여 악성 위협 행위를 사전에 방지하는 기술입니다. 제로트러스트(Zero-trust) 기반의 기술인 CDR은 멀웨어 분석과 달리 악성코드의 위협 정도를 분석하지 않고 정책 내에서 허가하지 않은 모든 액티브 콘텐츠를 제거하는 강력한 보안 기술입니다. 문서를 분해하고 악성 위협을 제거 후 재조합하는 과정에서 문서 안의 내용이 깨지거나 변형되지 않고 원본 문서와 동일하게 보이는 것이 CDR의 특징입니다. 이를 통해 사용자는 안전하지만 원본과 똑같은 내용의 첨부파일을 확인할 수 있습니다.
[그림3] 새니톡스 문서 무해화 프로세스

 

  1. 샌드박스

샌드박스는 실제 환경과 동일한 조건으로 만든 가상환경에서 의심스러운 요소를 실행시킨  공격으로 의심되는 행위가 발생하면 해당 요소의 네트워크 침입을 차단하고 삭제합니다주로 APT 공격에 이용되는 악성코드는 특정 환경과 행위  랜섬웨어가 동작하는 형태로  번도 공격에 이용되지 않았거나 보안장비에 탑재되지 않아 시그니처 DB 등록되어 있지 않습니다따라서 기존 진행된 공격에서 추출한 악성코드를 DB화 한 시그니처 기반의 보안 시스템으로 탐지가 어렵기 때문에 실제 환경과 동일한 조건에서 행위를 분석하고 악성으로 판정될 경우 차단하여 실제 시스템을 보호합니다.

 

  1. 백업 솔루션 
    백업은 정보시스템의 장애, 화재와 같은 재해 또는 정보시스템 해킹으로 인한 피해에 대비하고 데이터를 보호하기 위해 파일 또는 데이터베이스를 복사해 별도 매체에 저장 또는 관리합니다. 랜섬웨어는 예방이 가장 탁월한 대응법이지만 의도치 않은 공격으로 인해 데이터가 손실되는 경우에 원래의 데이터를 보호하지 못합니다. 백업솔루션은 데이터 유실 피해로부터 업무연속성을 보장해 주는 데이터 보호를 위한 가장 최후의 보루이자 동시에 정보보호의 대안이 될 수 있습니다.

     

시그니처(signature) : 이와 동일하거나 비슷한 소프트웨어를 악성코드로 진단하고 차단하는 방식

 

 

 

전 세계적으로 COVID-19가 급속히 확산되면서 재택근무, 비대면 업무가 확대되는 추세입니다. 

이에 따라 이메일, 문서를 통한 업무가 증가하게 되었고 사회공학적 공격 기법을 통해 문서 위장 악성코드의 유입이 증가했습니다. 

최근 공격자들은 문서, 이미지 파일이 이메일, 웹 등 기업의 업무 프로세스 과정에서 외부와의 빈번한 파일 교환이 이루어지는 특징을 이용하여 정상 파일에 악성 콘텐츠를 삽입하는 형태의 공격을 확대해나가고 있습니다. 

한 글자만 수정해도 해시(Hash) 값이 변경되는 파일의 특성으로 인해 무한대로 생성 가능하다고 볼 수 있는 문서형 악성코드는 위협적인 랜섬웨어 유포 방법이 되었습니다. 

아는 사람이 보낸 메일이고 아는 내용의 파일이라고 믿어서 실행하는 마음을 이용한 랜섬웨어 공격. 효율적인 보안 솔루션 구축과 더불어 사용자의 보안 의식 함양이 함께 이루어져야 합니다.

 

 

다음 시간에는 ‘공공기관에서 랜섬웨어를 대응하는 방법’을 소개하는 이야기를 준비해 볼 예정이니 많은 기대 부탁드려요~! ('')

 

 

새니톡스(SaniTOX)의 더 자세한 내용은 아래 링크에서 확인하세요!

▶ 랜섬웨어 대응 솔루션 새니톡스 자세히 보기

 

 

[출처]

지란지교시큐리티(2022). 스팸메일 동향 분석 리포트 

SMEC(2021). 그래서 EDR이 뭐야? (EDR 기초지식 알아보기)

오세욱(2022). Google Rapid Response 기반 랜섬웨어 공격 대응 방안

이준희(2020). 악성메일 공격에 취약한 기업의 인적요인 연구

별의수다 님의 블로그(2019). https://m.blog.naver.com/wnrjsxo/221724493248

한국인터넷진흥원(KISA). 2022년 1분기 랜섬웨어 동향 보고서

DELL Technologies. 백업솔루션

 

 

#새니톡스 #랜섬웨어 #랜섬웨어예방 #랜섬웨어대응방안 #랜섬웨어대응솔루션 #보안솔루션 #CDR #악성코드 #랜섬웨어 예방 솔루션 #스피어피싱 #사회공학적해킹 #사회공학적공격  #EDR  #백신  #샌드박스   # 백업솔루션

  • 새니
    새니톡스 콘텐츠 요정
  • 노는 게 제일 좋은! 궁금한 건 못 참아서 끝까지 알아내고! 그 지식을 다양한 시각을 가진 사람들과 나누는 것을 좋아하는 지란인

최신글

  • [새니 이야기: 4화] 공공기관이 랜섬웨어 유포지가 될 수 있다?!
  • 안녕하세요 랜섬웨어 예방 전문가 새니에요 ⸜(๑'ᵕ'๑)⸝ 여러분은 랜섬웨어가 어떻게 들어온다고 생각하시나요? 인터넷에서 파일 다운로드 하다가? 고객민원 게시글에 첨부된 링크를 클릭해서? 임직원들의 보안 인식이 높아지면서 인터넷에서 다운로드 받은 파일이 실행파일이면 의심하고, PC에 기본적으로 설치된 백신이 악성파일를 차단해버려 사용자 PC에 직접 유입되지 않습니다. 요즘 랜섬웨어는 이런 보안 기술을 우회하기 위해 실행파일(.exe)의 형태가 아닌 임직원에게 친숙한 비즈니스 문서 형태로 변화하여 접근하는 추세입니다. 엑셀, 한글, 파워포인트, PDF 같은 일반적인 문서파일 말이죠!
  • 새니2022-12-09
  • 마케터 제이스가 전하는 '클라우드 메일게이트 출시 이야기'
  • 안녕하세요, 지란지교시큐리티 마케터 제이스입니다. 바로 지난 달이죠, 클라우드 메일게이트(Cloud MailGATE)가 출시되었습니다. 클라우드 메일게이트는 클라우드 메일 플랫폼을 이용하는 기업 대상으로 수/발신메일에 대한 안전한 메일 보안 정책을 설정할 수 있는 기업용 클라우드 이메일 통합보안 서비스입니다.
  • 제이스2023-05-15