UPDATED. 2022-12-03 19:42 (토)
[ICT광장] 랜섬웨어 전면 차단 '제로 트러스트' 보안 전략
[ICT광장] 랜섬웨어 전면 차단 '제로 트러스트' 보안 전략
  • 박광하 기자
  • 승인 2022.10.17 10:36
  • 댓글 0
이 기사를 공유합니다

마크 건트립(Mark Guntrip) 멘로시큐리티 사이버보안 전략 총괄(Sr. Director, Cybersecurity Strategy)
마크 건트립 멘로시큐리티 사이버보안 전략 총괄.
마크 건트립 멘로시큐리티 사이버보안 전략 총괄.

현재 랜섬웨어는 전 세계 사이버 보안 전문가들의 가장 큰 걱정거리다.

멘로시큐리티의 '2022 사이버엣지 사이버위협 방어 리포트(2022 CyberEdge Cyberthreat Defense Report)'에 따르면 2021년 70% 이상의 조직이 랜섬웨어 공격을 받았다. 이는 2018년 기준보다 55%에서 높게 증가한 수치다.

또 다른 보고서인 '보안 위협 대응 현황(The state of threat prevention: evasive threats take center stage)'에 따르면, 증가하는 웹 기반 사이버 위협에 대처할 준비가 돼 있는 조직이 10개 중 3개 미만인 것으로 나타났으며, IT 부서의 의사결정권자 62%가 지난 12개월 동안 브라우저 기반 공격을 받은 것으로 나타났다.

현재 조직이 가장 우려하는 보안 위협 목록은 멀웨어(47%)와 랜섬웨어(42%) 였으며, 보안 위협이 증가함에도 불구하고 오직 3분의 1 미만(27%)의 기업이 애플리케이션 및 리소스에 액세스 할 수 있는 모든 엔드포인트 기기에 고급 위협 보호 기능을 갖추고 있는 것으로 조사됐다.

이에 사이버 보안 전문가의 46%는 랜섬웨어 방어가 5대 비즈니스 우선 순위 중 하나라고 답했다.

보안 공격은 비즈니스 운영에 피해를 주고 공공인프라를 교란시키며 조직에 수십억달러의 피해를 발생시킨다. 전 세계가 대유행 공황, 점점 더 불안정해지는 지정학적 긴장, 공급망 위기에서 인플레이션 상승에 이르는 혼란 상황이 이어지는 가운데 많은 기업들이 보안공격에 제대로 대처하지 못한 채 데이터 몸값을 지불하고 있다.

이러한 보안공격의 급증은 다음과 같은 여러 요인에 기인하고 있다.

첫째, 랜섬웨어는 그 어느 때보다 표적에 치밀하게 접근하고 있다.

해커들은 더 이상 비효율적인 '분사 및 기도' 접근 방식에 의존할 필요가 없다. 대신 특정 대상에 대한 공격 계획을 세워 훨씬 더 실질적인 접근 방식을 취한다. 소셜 엔지니어링을 통해 특정 대상에 대한 대량의 데이터를 수집하고 개인화된 콘텐츠를 만들어 사용자 또는 사용자 그룹이 악성 링크를 클릭하거나 악성 첨부 파일을 다운로드하도록 유도할 수 있다.

둘째, 랜섬웨어는 눈에 잘 띄지 않게 숨길 수 있다.

오늘날의 랜섬웨어 공격은 정교하고 회피적이며 Java 통신 및 VPN과 같이 무해해 보이는 기술을 활용해 네트워크 전체에 측면으로 확산된다. 위협 행위자는 조직이 기존의 악성 URL 링크 분석 엔진을 우회하는 '회피성이 뛰어난 지능형 위협(HEAT, Highly Evasive Adaptive Threats)'라는 새로운 범주의 위협으로 웹 브라우저를 표적으로 삼고 있다. 이러한 HEAT 공격은 랜섬웨어 페이로드를 전달하고 분산된 인력, 최신 앱, SaaS(Software as a Service) 플랫폼의 확산에 의해 주로 생성된 오늘날의 확장된 공격 표면을 활용하는 데 사용할 수 있으며 기존의 공격을 우회하는 데 탁월합니다. 보이지 않는 곳에 숨어 보안 솔루션을 제공한다.

셋째, 랜섬웨어는 수익성이 매우 높다.

최근 해커들은 대기업, 의료 기관, 심지어는 국가를 상대로 공격한다. 2022년 CyberEdge 사이버 위협 방어 보고서에 따르면 지난 2년 동안 랜섬웨어 평균 지불액은 개인에서 자금이 넉넉한 대규모 조직으로 이동하면서 1만2000달러에서 32만2000달러로 2783% 규모로 급증했다. 조직에서 더 많은 해커들의 요구비용을 지불할수록 공격은 더욱 수익성이 높아져 더 많은 범죄자를 양산할 것이다.

넷째, 랜섬웨어는 쉽게 사라지지 않는다.

랜섬웨어는 한번 감염되면 다시 악용될 위험이 크다. 해커들은 데이터나 시스템에 접근하지 못하도록 하는 데 만족하지 않는다. 또한 민감한 데이터를 대중이나 경쟁자에게 노출하겠다고 위협해 추가 지불을 요구한다. 이를 이중 갈취 공격이라고 하며, 같은 사건에 계속해서 공격을 당하는 위협은 대가 요구에 굴복하는 해 순간을 모면하는 근본적인 안전한 해결책이 아니다.

이제는 랜섬웨어 피해를 방지하기 위해 기업·기관의 보다 적극적인 관심과 투자가 필요하다.

랜섬웨어를 막으려면 조직이 기존의 탐지 및 대응 방식에서 제로 트러스트 사고 방식으로 전환해야 한다. 이 사전 예방적 접근 방식은 모바일, 분산 및 관리되지 않는 엔드포인트를 보호하고, 네트워크에 대한 공격 확산을 막아준다. 아울러, 이는 보안운영센터(SOC)팀의 부담을 줄여준다.

또한 조직은 사용자의 브라우징 활동 및 관련 사이버 위협을 네트워크 및 인프라에서 물리적으로 격리하는 '격리(Isolation)' 기술을 적용해야 한다. 모든 콘텐츠는 클라우드의 탄력적 샌드박스에서 실행되는 SWG(Secure Web Gateway)를 통해 라우팅된다. 이렇게 하면 악의적이든 아니든 모든 코드가 엔드포인트에서 실행되는 것을 방지해 악의적인 행위자가 네트워크에 액세스할 수 있는 것을 효과적으로 차단할 수 있다.

멘로시큐리티는 특허 받은 웹 격리 기술인 '아이솔레이션 코어(Isolation Core)'를 기반으로 클라우드에서 강력한 통합 웹 보안을 제공한다. 이러한 웹 격리 기술을 활용하면 기업이 조직 정보 보호를 위해 사용자와 가장 가까운 엣지에서 보안 아키텍처를 구축하는 '보안 접근 서비스 엣지(SASE, Secure Access Service Edge)' 아키텍처에 대한 활용을 높일 수 있다. 이를 통해 확장성이 뛰어난 위협 방지 및 리스크 관리를 강화할 수 있다.

대부분의 사람이 현재 일일 업무 중 중 약 4분의 3에 달하는 시간을 웹브라우저에서 웹 기반 작업을 하는 데 보내고 있다는 점을 감안할 때, 격리는 악성 페이로드를 전달하는 HEAT 공격으로부터 사용자를 보호할 수 있다. 모든 웹 통신은 즉시 인증될 수 있으므로 장치, 애플리케이션 및 사용자가 어디에 있든 보호하는 보안에 대한 제로 트러스트 접근 방식이 가능하다.

제로 트러스트 전략 기반 격리 기술은 랜섬웨어 공격을 전면 차단할 수 있다.

우선, 격리는 취약점을 자동으로 차단한다.

랜섬웨어는 개방형 RDP 포트 및 보안되지 않은 VPN과 같은 기존 네트워크 구성의 취약점을 이용하는 것을 좋아한다. 그러나 공격 표면의 확장은 보안 팀이 이러한 진입점을 완전히 차단하는 것이 사실상 불가능하다는 것을 의미한다. 그러나 격리 기술을 사용하면 의심스러운지 여부에 관계없이 모든 트래픽이 클라우드의 격리 계층을 통해 라우팅되기 때문에 이러한 포트가 닫혀 있는지 여부는 중요하지 않다. 트래픽은 엔드포인트에서 실행되지 않으므로 랜섬웨어는 네트워크에 쉽게 접근할 수 없다.

또한, 격리는 비정상적인 행동을 감지하는 데 도움이 된다.

클라우드의 추상화된 계층을 통해 모든 트래픽을 라우팅하면 표면적으로는 무해해 보일 수 있는 비정상적인 동작을 식별하고 중지하는 데 필요한 가시성을 조직에 제공한다. 예를 들어, 적절한 자격 증명을 가진 사용자만 서버의 재무 정보에 액세스할 수 있어야 한다. 사용자가 보통 때 접속하지 않던 나라에서 로그인을 하거나, 전체 급여 데이터베이스를 다운로드 하려고 한다면 이상 접속일 가능성이 매우 높다. 사이버 보안에 대한 제로 트러스트 접근 방식으로, 전체 네트워크에 대한 가시성, 위치 및 실행 명령을 자동으로 실행할 수 있다.

아울러, 격리를 통해 복구 계획을 실행할 수 있다.

대부분의 랜섬웨어는 사람의 실수에 의존한다. 누군가 실수로 링크를 클릭하고, 누군가가 손상된 웹사이트를 방문한다. 누군가가 자신의 자격 증명을 거짓 웹 양식에 입력하기도 한다. 이러한 실수가 발생하면 조직이 상황을 평가하고 차선책을 결정하기 위한 복구 계획을 수립하는 것이 중요하다. "손실된 데이터를 복구할 수 있나?", "이것이 운영에 어떤 영향을 미치는가?", "다른 곳에서도 취약한가?", 그리고 가장 중요한 것은 "요구금액을 지불해야 하나?"와 같은 질문에 답해야 한다. 네트워크에 대한 컨텍스트와 가시성이 필요하다. 격리 기술은 상황을 정확히 파악해 복구 계획을 수립할 수 있도록 가시성을 제공한다.

멘로시큐리티는 보안 위협으로부터 사용자 및 비즈니스를 분리, 격리하고 근무환경을 보호해 기업들에게 가장 간단하고 확실한 해결책을 제시한다.

멘로시큐리티의 클라우드 기반 격리 플랫폼은 단말 소프트웨어가 필요하지 않으며 최종 사용자 작업 환경에 영향을 주지 않고 기업 규모에 관계없이 확장 가능한 포괄적인 보호 성능을 제공한다. 멘로시큐리티는 포춘(Fortune)이 선정한 500대 기업과 금융 서비스기관을 비롯한 세계 주요 기업에 서비스를 제공하고 있다.

멘로시큐리티는 무료보안평가 도구 'HEAT 체크(HEAT Check)'를 출시해 기업·기관의 사이버보안 강화를 지원하고 있다.

HEAT 체크는 조직이 HEAT 공격에 대한 취약성을 더 잘 이해할 수 있도록 간단한 모의 침투 테스트를 실행해, 노출 평가 분석 정보를 제공해, 랜섬웨어 탐지가 아닌 격리로 100% 근본적 보안 해결책을 제시한다. 또한, 위협 행위자가 사용하는 여러 실제 HEAT 공격을 진행해 결과치를 제공함으로써, 조직이 보안 환경을 강력하게 구축하기 위한 의사 결정을 내릴 수 있도록 지원하다. HEAT 체크는 실제 악성 콘텐츠를 전달하지는 않는다. 업계 표준으로 평가되는 EICAR(European Institute for Computer Antivirus Research)의 바이러스 테스트 파일을 사용해 조직이 기존에 HEAT에 노출됐는지 여부를 테스트한다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.

  • [인터넷 신문 등록 사항] 명칭 : ㈜한국정보통신신문사
  • 등록번호 : 서울 아04447
  • 등록일자 : 2017-04-06
  • 제호 : 정보통신신문
  • 대표이사·발행인 : 문창수
  • 편집인 : 이민규
  • 편집국장 : 박남수
  • 서울특별시 용산구 한강대로 308 (한국정보통신공사협회) 정보통신신문사
  • 발행일자 : 2022-12-03
  • 대표전화 : 02-597-8140
  • 팩스 : 02-597-8223
  • 청소년보호책임자 : 이민규
  • 사업자등록번호 : 214-86-71864
  • 통신판매업등록번호 : 제 2019-서울용산-0472호
  • 정보통신신문의 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재·복사·배포 등을 금합니다.
  • Copyright © 2011-2022 정보통신신문. All rights reserved. mail to webmaster@koit.co.kr
인터넷신문위원회 abc협회 인증 ND소프트