Board

동일 프로이데 IT 선교연구소
Home  / Board  / IT 뉴스

백신이 못 막는 랜섬웨어, 윈도가 막나

선교연구원2017.Feb.08

백신이 못 막는 랜섬웨어, 윈도가 막나

MS, 기업용 윈도우10 OS에 새로운 보안 기능 탑재

 

최신 윈도 운영체제(OS)가 랜섬웨어 방어 기능을 품었다. 마이크로소프트(MS)가 기업용 윈도10 내장형 보안 소프트웨어(SW) 역할을 확대한 결과다. 보안 강화를 원하는 기업 시장에서 윈도10 확산 촉매로 작용할지 주목된다.

기업용 윈도10의 자체 보안 기능 강화는 차세대 OS 도입을 고려할 때 보안 문제를 우려하는 기업 시장에 긍정적으로 해석될 수 있다. 동시에 윈도10용 엔드포인트 보안 제품을 공급하는 서드파티 보안 솔루션 회사들의 역할을 빼앗을 가능성도 엿보인다.

방문자가 많은 인기 웹사이트의 배너광고에 랜섬웨어를 심어 보안에 취약한 PC나 노트북이 해당 사이트에 방문하기만해도 감염되는 사례들이 속출하고 있다.

방문자가 많은 인기 웹사이트의 배너광고에 랜섬웨어를 심어 보안에 취약한 PC나 노트북이 해당 사이트에 방문하기만해도 감염되는 사례들이 속출하고 있다.

■ 백신 담 넘은 랜섬웨어 잡는다

MS 윈도디펜더ATP 리서치팀의 멤버 토미 블리자드는 지난달말 맬웨어프로텍션센터 블로그 포스팅을 통해 윈도10용 보안SW의 랜섬웨어 방어 기능을 소개했다. 안티바이러스 제품으로 알려진 '윈도디펜더ATP'로 랜섬웨어 대응까지 할 수 있게 됐다는 설명이었다.

[☞참조링크: Averting ransomware epidemics in corporate networks with Windows Defender ATP]

블리자드는 포스팅에 이메일과 웹이 주된 랜섬웨어 전달 통로라는 점을 지적했다. 랜섬웨어 공격자는 이런 수단을 통해 광범위하게 랜섬웨어 공격을 수행한다고 진단했다. 다른 사이버공격 그룹과 달리, 일반적인 랜섬웨어 공격자의 전술은 개별 조직 맞춤형이 아니라고 평했다.

 

기업 엔드포인트 환경에 가장 많이 침입한 랜섬웨어 군집별 비율. 케르베르 랜섬웨어가 가장 높다. [자료=마이크로소프트]

기업 엔드포인트 환경에 가장 많이 침입한 랜섬웨어 군집별 비율. 케르베르 랜섬웨어가 가장 높다. [자료=마이크로소프트]

랜섬웨어 공격이 개별 조직 맞춤형보다는 불특정 다수를 겨냥하고 있다면, 그 표적의 공통분모가 되는 환경의 보안을 강화하는 걸로 잠재적 피해 규모를 줄일 수 있다. MS가 본 랜섬웨어 표적 최대 공통분모는 '윈도' 환경이므로, 윈도 보안 강화는 피해 감축으로 연결될 수 있다.

MS는 랜섬웨어 공격 방식을 여러 단계별 동작으로 나누고, 각 동작을 탐지 및 차단하는 형태로 랜섬웨어 피해를 막을 수 있다고 봤다. 랜섬웨어는 사용자 데이터 훼손 후 금품을 요구하는 걸 목표로 삼는다. 데이터를 다루는 기본 환경인 OS의 보안이 최종 방어선 성격을 띤다.

지금도 사용자 기기에 백신과 같은 엔드포인트 보안SW가 설치돼 있다면 사용자가 랜섬웨어를 내려받지 못하게 막아 준다. 하지만 MS는 OS 수준에서 이미 사용자가 내려받은 랜섬웨어의 동작을 탐지 및 차단하거나, 최소한 그걸 도울 수 있는 역할을 해야 한다는 입장이다.

인용된 블로그 포스팅에도 이런 MS의 구상이 담겼다. 블리자드가 작성한 영어 포스팅 일부를 한국어로 옮기면 아래와 같다.

"엔드포인트 보안SW가 랜섬웨어를 막는 데 실패한 '침입 후' 또는 '감염 후' 단계에도 기업은 포괄적인 대응수단 정보를 제공하는 '침입 후' 탐지 솔루션의 도움을 얻고, 서둘러 그런 대응수단을 활용하는 조사에 나설 수 있다. …(중략)… 윈도디펜더ATP로 기업은 이런 최초 사례를 빠르게 식별하고 조사할 수 있고, 대응수단 정보를 포착해 더 광범위한 네트워크를 선제적으로 보호할 수 있다."

■윈도10 내장 보안툴, 침입 단계별 유해동작 탐지

블리자드는 포스팅의 이어지는 내용으로 윈도디펜더ATP에 탑재된 랜섬웨어 탐지 및 차단 기술이 어떻게 동작하는지 소개했다. 유명 랜섬웨어 군집인 '케르베르(Cerber)'의 동작을 어떻게 탐지하고 차단하는지 등을 설명한 것이다.

랜섬웨어 공격 진행 단계 중 파워셸 명령어 실행을 탐지한 윈도디펜더ATP 보안 기능. [자료=마이크로소프트]

랜섬웨어 공격 진행 단계 중 파워셸 명령어 실행을 탐지한 윈도디펜더ATP 보안 기능. [자료=마이크로소프트]

 

케르베르 랜섬웨어 감염 시나리오는 사용자 PC의 웹메일 클라이언트를 통해 '다운로드' 폴더에 문서 파일을 내려받는 것으로 시작된다. 사용자가 이 문서를 열고 삽입된 매크로 기능 실행을 허용하면, 윈도 내장 명령줄 도구 파워셸(Powershell)이 열린다.

파워셸 명령어를 통해 다른 랜섬웨어 공격 구성요소들이 PC에 추가로 전달된다. 윈도디펜더ATP는 이 파워셸 명령어를 탐지해낸다. 그리고 랜섬웨어 공격 과정에 익명 인터넷 '토르(TOR)'에 연결된 파워셸 명령어 스크립트가 내려받아 실행될 때 경고를 띄운다.

보안대응센터(SOC) 담당자가 이런 경고 표시를 통해 접속이 수행된 소스IP를 파악하고 방화벽에 이 IP주소 차단 명령을 내려서 다른 기기에 공격용 실행파일 다운로드로 이어지는 상황을 막을 수 있다.

임시저장(Temp) 디렉토리에 공격용 파일이 다운로드 되더라도, 그 실행 과정을 막을 수 있다. 실행파일은 cmd.exe 프로세스로 동작한다. 이어 자신을 '사용자(Users)' 폴더에 복사해 스스로 실행한다. 윈도디펜더ATP에 탑재된 머신러닝알고리즘이 이런 동작을 탐지해 막는다.

케르베르 랜섬웨어는 사용자 PC의 시스템복구지점과 모든 볼륨(volume, 파일 저장구획 단위)을 삭제해 사용자 스스로 파일을 되살릴 수 없게 만든다. 이 동작 역시 윈도디펜더ATP가 탐지해낸다.

 

윈도 시스템 복구 영역 데이터를 없애려는 랜섬웨어 악성코드 동작을 탐지한 윈도디펜더ATP 보안 기능. [자료=마이크로소프트]

윈도 시스템 복구 영역 데이터를 없애려는 랜섬웨어 악성코드 동작을 탐지한 윈도디펜더ATP 보안 기능. [자료=마이크로소프트]

 

■윈도디펜더ATP, 기업보안담당자 이렇게 돕는다

블리자드의 포스팅을 통해 MS가 주장한 윈도디펜더ATP의 랜섬웨어 대응 기술이 기업에 제공하는 이점은 다음 몇 가지로 요약된다.

우선 앞서 설명한 방식으로 감염 과정에서 적어도 4번에 걸친 경고를 띄워 대응 기회를 만들어 준다. 그리고 케르베르 랜섬웨의 다양한 버전, 샘플, 감염 인스턴스의 기술 구성이 바뀌더라도 이를 찾아내는 데 도움이 된다.

SOC 담당자는 윈도디펜더ATP가 제공한 여러 번의 공격 단계별 경고와 같은 맥락형 정보를 활용해, 대상 시스템을 조사하거나 전체 조직의 엔드포인트 기기를 아우르는 상황 파악에 나설 수 있다.

또 공격 목적을 달성한 랜섬웨어가 없었더라도 윈도디펜더ATP 콘솔 안에서 파일 및 네트워크 활동 정보로 결정적인 단서를 얻을 수 있다.

MS 측이 예로 든 공격 시나리오의 케르베르 랜섬웨어는 hjtudhb67.exe 실행파일을 추가로 내려받았는데, 윈도디펜더ATP 콘솔은 이름이 같은 다른 파일을 23건 찾아냈다. 이 파일은 한순간에 모두 내려받은 게 아니었다. 대략 10일간 해당 조직의 여러 기기에 걸쳐 생성됐다.

MS는 공격용 실행파일을 제공한 소스IP를 조사해 그 IP주소에 연결된 기기 10대를 찾아냈다. 기업 방화벽에서 해당 소스IP를 차단하면 이 케르베르 랜섬웨어 공격용 실행파일이 다른 기기로 옮아 가는 시도를 막을 수 있다고 설명했다.

MS는 윈도디펜더ATP가 기업의 SOC 담당자에게 랜섬웨어 감염 후 탐지 및 차단, 피해 확산 방지를 위한 조사 등의 활동을 돕는다고 강조했다. 악성활동 신호를 탐색하고 수집하는 MS의 클라우드애널리틱스가 이런 기술을 실현해 줬다고 덧붙였다.

MS는 오는 4월 출시를 예고한 윈도10 크리에이터스업데이트를 통해 윈도디펜더ATP 보안 기능이 한층 강화될 것이라고 예고하기도 했다. 감염된 기기의 네트워크 절체(isolation), 공격용 실행파일 격리 등 역시 사이버침해 발생 이후 대응 단계가 더 추가될 예정이다.


임민철 기자 (imc@zdnet.co.kr)
원문보기: 
http://www.zdnet.co.kr/news/news_view.asp?artice_id=20170207105129#csidxb3388bed8f3751296a5db72b1ece088 

댓글(0)



위기일까 기회일까, 로봇·AI 시대 일자리
선교연구원 | 16
위기일까 기회일까, 로봇·AI 시대 일자리 미래부, '미래 일자리 전문가 간담회'열고 대응 방안 등 논의 [아이뉴스24 민혜정기자] 로봇이나 인공지능(AI)이 인간의 일자리를 뺏을 수 있다는 우려가 나...
Read More
내년부터 초·중 SW교육 의무화 …준비는 됐나?
선교연구원 | 16
내년부터 초·중 SW교육 의무화 …준비는 됐나? 전문교원·시설확충·정보공유 시급 …송희경 의원 토론회 [아이뉴스24 성지은기자] 우리나라에서도 내년부터 초·중등 SW교육이...
Read More
안드로이드 '누가' 버전, '마시멜로' 사용 때보다 배터리 사용 시간 8~9% 줄어
선교연구원 | 15
안드로이드 '누가' 버전, '마시멜로' 사용 때보다 배터리 사용 시간 8~9% 줄어 갤럭시S7시리즈에 구글의 최신 모바일 운영체제(OS)인 안드로이드 7.0 '누가(Nougat)'를 업데이트해 사용하면 ...
Read More
구글 “모든 웹페이지 HTTPS 적용해야” 네이버·다음에 던지는 경고
선교연구원 | 14
구글 “모든 웹페이지 HTTPS 적용해야” 네이버·다음에 던지는 경고 [디지털데일리 최민지기자] “왜 네이버닷컴(네이버 첫 화면)에서 HTTPS를 적용하지 않는지 이유를 모르겠다. HTTP 기반 사...
Read More
LG? 화웨이? 소니?…삼성·애플 추격자는 누구
선교연구원 | 14
LG? 화웨이? 소니?…삼성·애플 추격자는 누구 - LG전자 ‘G6’ 등 업계 신제품 MWC2017서 공개 [디지털데일리 윤상호기자] LG전자 스마트폰 ‘G6’ 공개가 2주 앞으로 다가왔다. G6...
Read More
韓∙中∙印度 온라인 구매, 생활용품과 식품이 최고 인기, 그 비결은?
선교연구원 | 10
韓∙中∙印度 온라인 구매, 생활용품과 식품이 최고 인기, 그 비결은? 소비자들의 물건 구매가 오프라인보다는 온라인으로 옮겨지면서 각 나라마다 구매 성향도 조금씩 다르게 나타나고 있다. 글로벌 정보분석기업 닐슨...
Read More
AL, 흐릿한 사진도 선명하게 만든다.
선교연구원 | 09
AL, 흐릿한 사진도 선명하게 만든다. 미국 인기 드라마 CSI에선 CCTV에 흐릿하게 찍힌 용의자 얼굴도 ‘선명화’ 작업을 통해 곧잘 알아낸다. 제아무리 흐릿한 영상이라도 CSI 수사관 손에 들어오기만 하면...
Read More
드론의 변신은 무죄···분야, 용도별로 형태 다양해진다
선교연구원 | 08
드론의 변신은 무죄···분야, 용도별로 형태 다양해진다 비행·제어 기술이 향상되면서 드론의 활용 범위가 대폭 넓어졌다. 공중에 이어 지상, 수중 운용 드론이 등장하면서 드론의 형태도...
Read More
백신이 못 막는 랜섬웨어, 윈도가 막나
선교연구원 | 08
백신이 못 막는 랜섬웨어, 윈도가 막나 MS, 기업용 윈도우10 OS에 새로운 보안 기능 탑재 최신 윈도 운영체제(OS)가 랜섬웨어 방어 기능을 품었다. 마이크로소프트(MS)가 기업용 윈도10 내장형 보안 소프트웨어(SW) ...
Read More
“클라우드에도 빈익빈 부익부”…‘빅4’ 점유율만 커져
선교연구원 | 07
“클라우드에도 빈익빈 부익부”…‘빅4’ 점유율만 커져 -시너지리서치그룹 조사, AWS 점유율 주춤한 사이…MS·IBM·구글 격차 줄어 [디지털데일리 백지영기자] 아마...
Read More
AK몰 모바일 앱 리뉴얼, 신규 O2O 서비스 오픈
선교연구원 | 07
AK몰 모바일 앱 리뉴얼, 신규 O2O 서비스 오픈 AK온(On), 실제 백화점 매장 사진 및 실시간 쇼핑정보 제공 [아이뉴스24 유재형기자] 온라인쇼핑몰 AK몰이 모바일 앱 리뉴얼을 통해 AK온, 리얼룩 등 한층 강화된 O2O(O...
Read More
통신 3사, 저ARPU '고민 되네'
선교연구원 | 04
[아이뉴스24 조석근기자] KT와 LG유플러스가 지난해 각각 2011년, 2010년 이후 최대 실적으로 거둔 것으로 나타났다. SK텔레콤은 자회사의 부진으로 영업이익이 전년 대비 10%가량 줄었다. 지난해 실적을 뜯어보면 통...
Read More