많은 기업들이 언론을 통해서 랜섬웨어의 심각성과 주요사례들을 많이 접해왔을 것이다. 그러나 대부분 보안 기업들의 APT 솔루션들은 원포인트 솔루션에 그치는 경우가 많았으며, 해당 솔루션을 도입했음에도 불구하고 큰 피해를 입는 사례도 많이 발생하고 있는 것이 현실이다.

특히, 환자의 중요 정보를 타깃으로 하는 헬스케어 분야에서의 피해 사례가 집중적으로 보고되고 있다. 사이버 공격자들은 IT 정보보호 전문인력의 부족과 엔터프라이즈 기업대비 상대적으로 낮은 보안시스템을 집중적으로 공격해 정보 가치가 매우 높은 환자의 정보를 대상으로 삼고 있다.

이렇듯 많은 피해가 발생하는 것은 고객사들이 랜섬웨어의 동작 방식에 대한 이해가 부족할 뿐만 아니라, 보안 기업들이 제대로 된 ATP 모델을 제시하지 못하고 있기 때문이다.

랜섬웨어는 IE, 어도비 플래시 플레이어(Adobe Flash Player), 이메일 첨부파일 등 다양한 경로를 통해 1차 실행파일이 다운로드된다. 이후 암호화를 수행하기 위한 2차 실행파일이 다운로드되고, 암호화키를 전송하기 위한 C&C 서버와 통신을 시도한다.

랜섬웨어는 미리 하드-코드(Hard-Code)된 여러 IP 리스트와 URL을 통해 C&C 서버와 HTTPS 암호화 통신을 시도해 최종 공격준비를 마친다. C&C 서버와의 통신을 차단하면 랜섬웨어를 막을 수 있다는 주장은 이를 근거로 하고 있다. 그러나 최근 C&C 서버와의 통신 없이 암호화를 진행하는 신종 랜섬웨어도 발견되고 있기 때문에 한 가지 보안 기능만으로 랜섬웨어를 원천적으로 차단하는 것은 불가능하다.

랜섬웨어 피해를 최소화 할 수 있는 가장 좋은 방법은 백업의 생활화 및 망분리이다. 그러나 원천적으로 악성실행 파일의 유입을 막을 수 없다는 점을 감안할 때, 내부에 침입한 랜섬웨어를 효과적으로 탐지하고 방어할 수 있는 방법은 ATP 프레임워크를 도입하는 것이다.

ATP 프레임워크를 구성하고 있는 주요 솔루션은 다음과 같다. 우선 외부와 맞닿아 있는 경계보안을 담당하는 방화벽이다. 전통적인 방화벽과 달리 포티넷의 포티게이트(FortiGate)는 NGFW(Next Generation Firewall) 즉, 차세대 방화벽으로써 IP, 포트(Port) 기반 제어뿐만 아니라, IPS, AV, APP, URL 필터, SSL 감시 등 다양한 멀티보안 벡터를 제공한다. 1차 랜섬웨어 실행파일을 웹으로부터 다운로드할 경우, 포티게이트(FortiGate)의 AV 기능에 의해 먼저 차단이 이뤄진다.

랜섬웨어가 알려지지 않은 공격, 즉 제로데이 공격이기 때문에 AV 솔루션으로 방어할 수 없다고 인식하고 있는 경우가 많으나, 포티넷 보안연구소인 포티가드(FortiGuard)는 전 세계의 랜섬웨어 침해사고를 실시간 분석해 즉시 AV DB 제작 및 배포를 하고 있기 때문에, 대부분의 랜섬웨어를 사전 방어할 수 있다. 물론, 알려진 대부분의 랜섬웨어는 AV에 의해 방어가 가능하다. NSS 랩 테스트를 통해 포티넷의 AV 기능은 이미 검증이 된 바 있다.

BYOD 및 무선과 같은 다른 경로를 통해 유입된 1차 실행 파일은 파일 암호화를 하기 위해 C&C 서버와의 통신을 시도하게 되는데, 이때 C&C 서버의 목적지 IP, URL을 포티게이트의 Botnet Detection, DNS 필터 기능이 차단한다. 또한, 포티게이트의 SSL 감시 기능을 통해 C&C 서버의 HTTPS 암호화 통신을 탐지할 수 있다. 알려지지 않은 공격일 경우, 동적 분석을 수행하는 포티샌드박스(FortiSandbox)로 의심 파일을 보내 가상환경에서 실행시켜(샌드박싱) 행위 분석을 실행할 수 있다.

랜섬웨어는 레지스트리 파일 변경, C&C서버 통신 등 다양한 방법으로, 암호화를 호스트 시스템에서 실행한다. 샌드박싱 수행을 통해 탐지된 악성행위 분석 결과를 토대로 랜섬웨어 파일이라고 최종 진단할 수 있는 것이다. 랜섬웨어는 변종이 많기 때문에, DB로 정적 분석을 수행하는 AV로 완전히 대응하기에는 사실상 역부족이다. 그러나 포티샌드박스는 행위를 분석하기 때문에 AV 우회공격도 탐지할 수 있다.

기존 엔드포인트 AV 솔루션과 같이 포티클라이언트(FortiClient)는 직접 호스트에 설치돼 AV 수행을 한다. 기존 AV 솔루션과의 가장 큰 차이점은 Botnet Detection, DNS 필터 기능을 직접 엔드포인트에서 수행할 뿐만 아니라, 의심파일을 포티샌드박스로 보내 동적 분석을 하고 결과 분석이 나올 때까지 파일 실행을 정지시키며 악성으로 분석될 경우, 실행파일을 격리조치 한다는 점이다. 그리고 포티클라이언트를 관리하는 포티클라이언트 EMS 솔루션은 감염된 호스트가 외부 통신을 하지 못하도록 격리 조치한다. 또한, 감염이 의심되는 호스트를 EMS에서 바이러스 검사 및 취약점 분석을 실행한다.

포티넷 ATP 프레임워크와 같이 포인트-솔루션들이 유기적으로 동작해야만 갈수록 복잡 다변화되는 악성실행 파일의 유입과 공격을 방어할 수 있다. 인터넷 접속을 통한 감염과 달리, 특정 기업을 대상으로 하는 APT 공격은 대부분 이메일을 통해서 이뤄진다. 단순히 스팸 메일 솔루션 운영만으로는 위험할 수 있다.

이에 SEG(Security Email Gateway) 솔루션 도입을 적극 검토해야 한다. 포티메일(FortiMail)은 자체 탑재된 우수한 성능의 AV, 스팸, 컨텐츠 분석을 제공하는 메일 보안뿐만 아니라, 메일에 첨부된 알려지지 않은 의심파일을 포티샌드박스로 보내 동적분석 결과에 따라 메일을 격리조치 하게 된다.

경계보안이 잘 구축되어 있는 엔터프라이즈 기업이 이메일 하나로 전체 보안이 뚫리는 사고를 겪는 것은 이렇듯 이메일 보안이 허술하게 되어 있는 경우이다. 경계부터 엔드포인트까지 각 포인트 솔루션들이 마치 하나의 솔루션처럼 유기적으로 동작해야, 보안침해 행위의 가시성과 보안성을 높일 수 있다. ATP 프레임워크의 통합 보안 시스템 구축을 통해 랜섬웨어 뿐만 아니라, 기업에 큰 손실을 끼칠 수 있는 보안침해사고에 대한 선제적인 대응이 필요한 시점이다.