최근 10년 동안 약 6억개 이상의 악성코드가 출현했으며 이러한 속도는 점차 빨라지고 있다. 악성코드의 출현 속도가 이처럼 빨라지면서 기존 시그니처 기반 탐지 솔루션들이 한계를 드러내고 있다. 사람이 분석해 패턴을 찾아내는 속도보다 빠르게 신·변종 악성코드가 출현하고 있기 때문이다.

실제로 팔로알토네트웍스가 클라우드 기반 지능형지속위협(APT) 방어 및 대응 솔루션인 와일드파이어(WildFire)를 통해 전세계적으로 수집 된 악성코드를 분석한 결과 7200만 건의 사용된 파일 중 500만 건 이상의 파일이 악성코드를 포함하고 있었고, 이들 중 62.5%에 달하는 330만 건 정도가 상위 6개 안티바이러스 제품이 탐지하지 못하는 알려지지 않은 악성코드였다.

랜섬웨어의 주 전파 기법은 스피어피싱(Spear Phishing)과 워터링홀(Watering Hole) 등이 사용돼 왔다. 이중 스피어피싱이 약 80% 정도를 차지하는 것으로 알려졌다. 스피어피싱은 특정인을 목표로 하는 공격으로, 사회공학적 기법을 이용하는 피싱 기법이다. 워터링홀은 웹사이트를 해킹해 악성코드를 다운로드시키는 방법을 사용한다.

랜섬웨어를 비롯한 대다수의 악성코드는 약 7가지의 공격단계(정찰-무기화-전달-공격-명령 및 제어-설치-목표 행동실행)를 거친다. 기존 안티바이러스 제품의 한계는 이러한 공격단계의 끝부분인 설치·실행 단계에서만 적용된다는 점이다.

팔로알토네트웍스는 이러한 한계를 극복하기 위해 다계층 방어가 필수적이라고 언급했다. 차세대 엔드포인트 보안 솔루션은 익스플로잇 공격부터 말웨어 공격을 단계별·계층별로 방어하는 전방위적 전략을 구성해야 한다는 설명이다.

익스플로잇 공격의 경우 공격툴 준비-악성코드 실행-관리자 레벨 권한 획득이라는 단계를 거치기에 이들 각 단계별 방어 전략을 마련해야 한다는 것. 말웨어의 경우에도 기존 발견 해시를 통한 차단, 머신러닝 통한 차단, 샌드박스 통한 실행, 악성행위 유발 프로세스 차단 등 단계적 방어 전략을 마련할 수 있다.

최원식 팔로알토네트웍스코리아 대표는 “악성 코드를 대응하기 위한 시그니처 패턴이 만들어지는 속도를 추월하고 있고, 신종 악성코드가 탐지 되지 않는(Zero-day) 기간이 늘어나고 있어, 관리자들의 불안감이 날로 커지고 있는 상황이다. 이러한 위협으로부터 비즈니스를 보호하기 위해서는 적절한 관리자 및 사용자 교육, 기존 IT 환경에 적합한 조치, 그리고 엔드포인트 보안 고도화를 통해 랜섬웨어 예방 및 대응 전략을 구축해야 한다”라고 강조했다.