최성재 지사장, ISEC 2024 첫째날 강연에서 ‘서비스형 랜섬웨어와 방어기법’ 강연
[보안뉴스 원병철 기자] 최근 등장한 RaaS(Ransomware as a Service)는 자동화된 랜섬웨어 서비스로 고객지원과 업데이트를 지원하기 때문에 누구나 손쉽게 랜섬웨어 공격을 할 수 있게 만들었다. 특히 최근 RaaS가 인공지능과 만나면서 지능형 피싱 공격이나 자동화된 취약점 탐색, 무작위 변종 생성 등 점점 강력하고 다양한 공격방법을 얻고 있다.
▲스톤플라이 최성재 지사장[사진=보안뉴스]]
실제로 한 고등학생은 자신의 아버지가 운영하는 기업을 공격할 수 있도록 RaaS를 이용했고, 자신이 알고 있는 내부정보를 이용해 쉽게 공격에 성공해 몸값을 받아낸 뒤 랜섬웨어 그룹과 수익을 나눴던 사건이 있었다.
문제는 이렇게 고도화된 랜섬웨어에 대응하는 것이 쉽지 않다는 사실이다. 특히 공격을 받은 후 기업들이 대응하는 방법이라고는 관련 보안 솔루션을 도입하는 것 외에는 특별한 것이 없다는 것이다.
때문에 스톤플라이는 안정적인 백업시스템 구축을 제안했다. 물론 공격단체들 역시 이러한 백업 시스템에 대한 공격을 우선하기 때문에 기존 시스템으로는 대응할 방법이 많지 않다.
10월 16일 개최된 ISEC 2024에서 스톤플라이 최성재 지사장은 “가장 중요한 것은 결국 기업과 기관이 갖고 있는 데이터인데, 이 데이터를 보관하는 스토리지는 여러 솔루션과 달리 크게 발전하지 못했다”면서, “스톤플라이가 주목한 것은 바로 이 스토리지가 스스로 대응할 수 있어야 한다는 것”이라고 설명했다.
전형적인 보안 사고 사례를 살펴보면, 대부분 랜섬웨어를 통해 운영자, 사무실 PC를 감염시켜서 AD(Active Directory)를 탈취하고, 여기서 얻은 내부정보를 바탕으로 시스템을 탈취한 후 백업 데이터를 삭제하고, 메인 데이터를 암호화한다. 또한 Primary Storage에 로그인한 후 스토리지의 스냅샷을 삭제하고, DR Storage 에어리어의 복제(Replica)도 삭제한 후 Primary Storage의 storage LUN을 암호화한다.
이러한 공격이 가능한 이유는 비인가자의 스토리지 접근이 매우 취약하며, 스토리지 데이터가 다양한 해킹에 대한 보관 기술이 한계가 있기 때문이다. 아울러 보안 강화를 위해 별도의 솔루션도 필요하다.
하지만 스톤플라이는 20년 이상 SDS(Storage Define Software) 개발 능력과 SAN/NSA/Object Storage 등 고객의 모든 스토리지 인프라를 지원하는 능력, 그리고 가장 강력한 Secure 아키텍처 지원 능력을 바탕으로 데이터 보안에 새로운 방향을 제시했다.
스톤플라이는 Air-Gap & Immutable Storage 기술과 볼륨 삭제 방지 기능을 바탕으로 백업 데이터를 격리하는 한편 위변조 불가 속성을 이용해 삭제 및 변조가 불가능하게 함으로써 백업 데이터의 완전무결함을 달성했다. 볼륨 특성에 WORM(Write Once Read Many) 속성을 부여함으로써 해커 혹은 실수로 인해 파일이 변조되거나 삭제되는 것을 방지했다.
이외에도 특정 시점의 데이터로 복구하는 ‘Immutable Snapshot’ 기능이나 Anti-Virus Scanner 등의 기능으로 스토리지의 데이터를 보호한다.
최성재 지사장은 “이러한 스톤플라이의 데이터 보안 능력은 대외적으로 인정받고 있다”면서, “특히 마이크로소프트와 아마존웹서비스 등 포춘500(Fortune 500) 기업과 미국 연방수사국(FBI)과 미국 국방성 등 정부 기관에서 사용하고 있다”라고 설명했다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>