보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
SMB취약점으로 전파되는 랜섬웨어의 출현, 문서유실방지를 위한 방안
[이스트시큐리티 SecureCloud 기술지원팀 김형성 팀장]
랜섬웨어란? 랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 파일과 시스템을 인질로 삼고 금전을 요구하는 악성 프로그램을 의미한다. 랜섬웨어도 다른 악성코드와 마찬가지로 신뢰할 수 없는 사이트, 스팸 메일, 파일 공유 사이트, 네트워크 등을 통해 유포된다. |
지속적인 신종, 변종 랜섬웨어 출현으로 인해 큰 위협으로 다가온 랜섬웨어
지난 5월, NSA 해킹 의혹을 받고 있는 해커 조직이 Windows의 SMB 취약점을 공격할 수 있는 익스플로잇(Exploit)을 공개하였고, 이를 이용한 워너크라이(WannaCry) 랜섬웨어가 대량으로 유포되어 전세계적으로 이슈가 되었다.
다행히도 우리나라는 주말 사이에 한국인터넷진흥원(KISA)과 여러 보안 업체들이 함께 피해방지를 위한 사전 예방 및 조치 안내 활동으로 비교적 큰 피해를 입지는 않았다.
하지만 벌써 280종이 넘는 변종 랜섬웨어가 발견되었고 2차 공격도 예상되어 추가 피해에 대한 우려가 커지고 있다. 특히, 변종 랜섬웨어의 경우 기존의 공격보다 발전된 형태로 진화되는 경우가 많아 이용자들의 더 세심한 주의가 필요하다.
그렇다면 랜섬웨어 피해방지를 위해 사용자가 조치해야 할 것들은 무엇일까?
랜섬웨어나 악성코드의 피해를 최소화 하기 위한 방안
국가정보원이 ‘2017 국가정보보호백서’에서 제시한 랜섬웨어 보안 수칙 5가지를 토대로 사용자가 랜섬웨어를 예방하기 위해 취해야 할 행동에 대해서 5가지로 정리했다.
1. 모든 소프트웨어를 항상 최신 버전으로 업데이트 해야 한다.
2. 백신 설치 및 주기적 점검을 실행한다. 3. 출처를 알 수 없는 이메일을 열람하지 않는다. 4. 불법 콘텐츠 공유사이트를 방문하지 않는다. 5. 중요한 자료를 백업한다. |
랜섬웨어, 최종 목표는 문서 또는 파일
위의 다섯 가지 랜섬웨어 예방 수칙을 준수하더라도, 알려지지 않은 취약점을 노린 새로운 형태의 랜섬웨어가 발생한다면 언제라도 문서가 유실될 수 있다.
기업의 모든 문서가 랜섬웨어 감염으로 인해 암호화된다면, 기업에는 상상하기 힘들 정도의 업무 손실이 발생한다. 실제로 이번 워너크라이(WannaCry) 랜섬웨어 공격으로 인해 해외에서는 일부 병원의 진료 업무가 마비되었고, 국내 또한 일부 영화 상영관에서 광고 서버가 감염되어 광고 대신 랜섬노트가 송출되는 등의 피해가 발생하기도 했다. 그렇기 때문에 수칙의 마지막 항목에서 “중요한 자료를 백업한다.”는 사후 대응 방안도 함께 소개하고 있다.
[그림2. 2017 국가정보보호백서(국가정보원)]
‘2017 국가정보보호백서’에 따르면 회사 내의 중요 데이터를 백업하는 기업은 35.5%이며, 이 중 월 1회 가량 실시하는 기업은 63.3%인 것으로 나타났다. 즉, 기업에서는 중요 데이터에 유실에 대한 사후 대안이 필요하다. 안전한 네트워크를 통한 실시간 자동 백업 기능과 유사시 쉽고 빠르게 복구 가능한 솔루션을 운영하여 혹시 있을지 모르는 랜섬웨어 피해로 인한 업무 손실을 최소화하는 전략을 수립해야 한다.
기존 데이터 보안 솔루션의 특성과 한계
그럼 이러한 랜섬웨어 위협에 대응하고, 기업의 문서나 데이터 자산을 보호하기 위한 보안 솔루션들의 특징은 무엇일까?
DLP – 내부 정보 유출 방지 (Data Loss Protect 또는 Data Loss Prevention)
DLP는 유출 경로를 제어하는 형태로 PC에 존재하는 파일의 유출을 방지하는 매체 제어 위주의 동작 솔루션이다. 하지만 PC에 암호화되지 않은 파일이 존재하므로, 여러 경로를 통해 유출이 가능하다. 이러한 이유로 DLP 솔루션은 타 보안솔루션과 함께 도입 및 운영하는 경우가 많다.
또한, 랜섬웨어 감염 시 문서 파일이 PC에 존재하기 때문에 피해를 볼 수 있으며 피해를 입게 되면 파일 복구 방법이 없다. 추가로 PC 백업 솔루션 등도 도입해야 할 필요가 있다.
DRM – 디지털 저작권 관리 (Digital Rights Management)
DRM 솔루션은 주로 PC에서 오피스 계열, 한글, PDF 파일, 포토샵이나 오토캐드, 3D캐드 등 전문적인 어플리케이션에 대한 미지원 영역이 많아 제조업 등에서는 유출사고 등 보안에 취약한 부분이 존재한다. 파일은 PC에 존재하지만 암호화되어 저장되기 때문에 유출되는 경우에도 DLP보다 상대적으로 안전하다. 하지만 랜섬웨어 감염으로 인한 피해를 볼 수 있기 때문에 추가 백업 솔루션이 필요하다.
또한, DRM은 소프트웨어 종속적이다. 즉, 오피스나 한글 등 프로그램 보안 패치나 업데이트 시 DRM의 지원 범위를 벗어나게 되면 해결될 때까지 프로그램의 취약점을 유지해야 하는 등 프로그램에 보안이 종속되는 상황이 발생할 수 있다.
복원 기능이 있는 PC 백업 솔루션
랜섬웨어는 종류에 따라 윈도우 볼륨 섀도우 카피(Volume Shadow Copy)를 삭제하기 때문에 윈도우 OS 자체 파일의 백업, 복원 기능을 무력화한다. 시점 복원 기능이 있는 솔루션은 PC에 보호 영역이 존재하지만, 바이러스나 악성 프로그램을 통해 해당 보호 영역 또는 MBR 영역까지 피해를 입게 되면 복구가 어려워질 수도 있다.
문서 파일을 안전하게 보관하려면 네트워크를 통해 실시간으로 자동 백업해 두었다가 유사시 쉽고 빠르게 복원할 수 있는 고도화 된 솔루션이 필요하다.
랜섬웨어의 파일 암호화 방식
PC에 침투한 랜섬웨어는 파일 암호화 시 크게 두 가지 형태로 동작한다. 이는 다른 랜섬웨어가 등장하더라도 크게 바뀌지 않을 것으로 보인다.
1. 원본 문서 열기 - 암호화하여 다른 이름으로 저장 - 원본 삭제
2. 원본 문서 열기 - 암호화하여 원본 문서 덮어쓰기 - 다른 이름으로 저장 원본 삭제
이와 같은 파일 암호화 동작 방식을 확인하고 역으로 이용한다면, 파일 버전 관리를 통해 삭제되거나 암호화 된 파일을 복원할 수 있다.
PC의 문서 파일 자동 백업과 복구가 가능한 솔루션
랜섬웨어는 원본 파일 삭제 후 암호화하여 저장하는 방식으로 동작한다. 감염된 PC뿐만 아니라 그 PC에 연결된 네트워크 드라이브까지 감염되므로 피해가 상당하다. 다음에 소개하는 솔루션은 이러한 랜섬웨어의 특징을 통해 감염되더라도 복구가 가능하도록 하는 솔루션이다.
랜섬쉴드는 관리자가 백업 정책을 설정할 수 있으며, 관리자가 지정한 확장자를 가진 파일은 PC에서 서버로 실시간 자동 백업 된다. 자동 백업된 문서들은 유사 시 원본 파일 형태로 복원이 가능하며, 일자별 시점 복원이 가능하다.
인터넷디스크는 안전한 파일 공유와 협업을 위한 클라우드 스토리지다. 윈도우 탐색기를 지원하여 사용자가 익숙한 UI에서 업무 할 수 있다. 또한, 인터넷디스크에 업로드한 파일은 버전 관리 기능을 통해 기존 파일 버전으로 돌아갈 수 있으며, 랜섬웨어 감염 시 원본 파일을 복구할 수 있다.
시큐어디스크는 로컬 PC에 파일 저장을 금지하고 안전한 네트워크 드라이브로만 작업 가능하게 하는 솔루션이다. 이를 통해 자료 유출을 원천적으로 차단한다. 마찬가지로 윈도우 UI를 제공해 익숙한 환경에서 업무가 가능하다. 중앙화된 파일에 대한 프로세스 접근 권한 관리를 통해 랜섬웨어 같이 허가 되지 않은 프로세스가 접근하는 것을 방어할 수 있으며, 만약 감염이 되더라도 파일 버전 관리 기능을 통한 복구가 가능하다.
현재의 악성코드나 랜섬웨어는 하나의 솔루션으로 해결하기 무척 어렵다. 취약점 패치를 위한 PMS 운영, 백신 최신 업데이트 유지, APT 방어 솔루션, 복구 가능한 솔루션 등을 함께 운영하는 것이 이로 인한 피해를 최소화 할 수 있는 방안이다.