꾸준한 백업 통한 예방이 최선책... 이메일 관리도 철저히
광고 통한 랜섬웨어 오염 늘어 광고 전면차단 정책도 효과 높아

[보안뉴스 문가용] 랜섬웨어 공격이 일반인과 사업체, 정부기관에까지 퍼지고 있다. 그 속도와 범위가 걷잡을 수 없는 수준에까지 이르렀기 때문에 이에 대한 조직적인 대응이 필요하다는 목소리도 커지고 있는 실정이다. 하지만 아직까지 ‘백업을 미리미리 해두라’는 개인 위생 캠페인 수준의 조치 말고는 제대로 된 것이 나오고 있진 않다. 랜섬웨어가 기승을 부릴 가능성이 높은 연휴를 맞아 그보다 조금 더 나은 대처법이 없을지 알아보았다.



1. 일단 최선책은 예방이다
“랜섬웨어는 악마예요, 악마. 제대로 심겨지면 제대로 복구가 불가능하죠.” 보안 벤더인 라스트라인(Lastline)의 공동창립자인 엔긴 커다(Engin Kirda)의 설명이다. “랜섬웨어가 기존의 다른 멀웨어들과 가장 크게 다른 점은 스스로의 존재를 피해자에게 드러낸다는 점입니다. 멀웨어들은 비밀스럽게 활동하는 게 일반적인데 말이죠. 얼마나 자신 있으면 그렇겠어요.”

그러므로 널리 알려진 대로 백업을 주기적으로 해놓는 것만큼 좋은 대처법은 존재하지 않는다. 범인들에게 비싼 돈을 내고 싶지 않으면 최소 중요한 정보만이라도 백업을 해두어야 한다. 그것이 사실 가장 쉽고 안전하며 확실한 방법이다.

2. 이메일 확인을 철저히
랜섬웨어는 이메일로 전염되는 게 대부분이다. 공격자는 표적으로 정한 사람에게 정교하도록 진짜처럼 보이는 메일을 발송한다. 이 이메일에는 악성 첨부파일이 포함돼 있어 의심을 버린 피해자가 클릭할 경우 랜섬웨어가 다운로드 된다.

직원들 한 사람 한 사람의 모니터를 확인하지 않는 한 회사가 이를 완벽히 막을 수는 없다. 표적이 된 당사자에게 메일이 당도하기 전에 출처를 확인하는 것이 전부다. 온라인 트러스트 얼라이언스(Online Trust Alliance, OTA)의 총책임자인 크레이그 스피즐(Craig Apiezle)은 “SPF(Sender Policy Framework), DMARC(Domain Message Authentication Reporting and Conformance), DKIM(DomainKeys Identified Mail) 등의 기술을 활용하면 메시지를 발송한 자를 확인하는 게 가능해진다”며 “실제 피싱 및 스피어피싱 공격을 상당히 높은 확률로 방어할 수 있다”고 한다.

“하지만 대부분 기업들은 인바운드 메일을 제대로 확인하지 않아요. 한다 하더라도 정책을 강력하게 적용하지 않죠. 예를 들어 수상한 메일이라고 해봤자 정크메일 폴더로 보내는 게 전부에요. 아예 정크폴더로도 들이지 않도록 정책을 짜는 게 더 안전합니다.”

3. 이메일 서버도 보안
위에서처럼 발송자를 확인하면 이메일을 통해 번지는 랜섬웨어를 어느 정도 줄일 수 있다. 하지만 그것만으로는 충분치 않다고 보안업체 트립와이어(Tripwire)의 크레이그 영(Craig Young)은 말한다. “메일 서버부터 안전하게 만들어야죠. 서버에 저장되어 있고 서버를 통해 나가고 들어오는 모든 것들을 스캐닝해야 합니다. 서버 스캐닝 툴이 시중에 이미 여럿 나와 있죠. 사용하세요. 랜섬웨어에 걸리는 것보다 훨씬 저렴합니다.”

“이메일의 출처를 확인하는 건 중요합니다. 그러나 요즘 해커들이 ‘나 수상해요’라고 대놓고 광고하지 않죠. 출처를 숨기려면 얼마든지 숨길 수 있습니다. 그러니 좀 더 근본 단계인 서버단에서도 보안 조치를 취해야 합니다.”

4. 광고 블록도 중요해
이메일 다음으로 랜섬웨어 배포의 통로가 되는 건 악성 광고다. 특정 사이트의 광고 등을 오염시켜놓고 그 광고를 클릭할 사람을 기다렸다가 덮친다. 멀버타이징이라고 하기도 한다. 표적이 된 인물을 관찰해 어떤 사이트에 많이 접속하는지를 알아냈다가 그 사이트의 광고 파일을 오염시키는 방법으로 표적 공격을 할 수도 있다. 이를 응용해 워터링홀 공격과 접목시키는 것도 가능하다.

그러므로 아예 온라인 광고를 전면차단하는 것도 나쁘지 않은 방법이다. 광고업계에겐 미안한 말이지만 사실 일반 사용자들은 온라인 광고를 클릭하지 않아도 크게 불편을 느끼지 않는다. 불가능한 경우 네트워크를 분리시켜 광고가 블록되지 않은 네트워크와 광고가 전면차단 된 네트워크를 따로 관리하는 것도 나쁘지 않은 방법이다.

5. 파일의 사용내역을 관찰하라
보안 전문업체인 임퍼바(Imperva)의 CTO인 아미차이 슐만(Amichai Shulman)은 “랜섬웨어는 개인이나 조직을 가리지 않는다”며 “그렇기에 현대의 랜섬웨어 대부분은 하드드라이브의 암호화 뿐만 아니라 네트워크를 통해 공유된 파일까지도 암호화시킬 수 있다”고 경고한다.

이런 때 가장 흔히 나타나는 패턴은 ‘오버라이트’, 즉 덮어쓰기다. 파일이 갑자기 빠르게 덮어쓰기 되고 있다면 랜섬웨어가 네트워크 내에 존재하고 있을 가능성이 대단히 높다는 거다. 그러므로 이런 파일의 이상한 사용내역이나 상태를 확인하면 랜섬웨어를 빠르게 탐지할 수 있게 된다. “파일 서버로의 접근을 계속해서 관찰하다보면 분명히 수상한 패턴이 눈에 띌 겁니다. 그때를 캐치해야 합니다.”

6. 대응 계획은 언제나 구체적이어야
랜섬웨어에 걸린 조직들에게 있어 시간은 정말로 중요한 변수다. 랜섬웨어 공격자들은 ‘언제언제까지 얼마를 입금하라’고 시간제한을 두는 게 보통이기 때문이다. 이 시간 안에 복구하거나 조건을 지키지 않을 경우 더 많은 파일들이 암호화되거나 내야 할 금액이 올라간다. “요즘 랜섬웨어 공격자들은 ‘이 기업이면 이 정도 금액을 낼 수 있다’고 조사를 철저하게 합니다. 걸려들기 딱 좋은, 고민이 심각하게 될 수밖에 없는 조건을 제시하죠.”

범인들이 이렇게 철저하게 사전계획을 한다면, 이쪽에서도 그렇게 해야 한다. “랜섬웨어에 감염되었을 경우 어떻게 대처해야 할까, 미리 시나리오를 마련해서 그에 대한 대처를 훈련해야 합니다. 그런 준비 없이 마감기한을 알게 되면 마음만 촉박해지고 제대로 된 대응을 할 수 없게 됩니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>