5월 12일 워너크라이 랜섬웨어로 인해 전 세계적으로 피해가 발생하면서 랜섬웨어에 대한 공포가 확산되고 있다. 국내 대표 보안기업인 안랩은 랜섬웨어 ‘첫 번째 희생자(First Victim)’ 발생을 막는 예방적 보안이 랜섬웨어 피해를 막기 위해 중요하다고 지적하고 있다.

2015년 한글버전 크립토락커 유포를 기점으로 국내에서 랜섬웨어 피해가 꾸준히 증가하고 있다. 한국인터넷진흥원(KISA)이 발간한 ‘2016년 랜섬웨어 동향 및 2017년 전망’ 보고서에 따르면, 2015년 770건의 랜섬웨어 관련 민원이 접수됐으며, 2016년에는 1438건이 접수됐다. 보안업계에서는 실제 피해가 이보다 훨씬 많은 것으로 보고 있다.

랜섬웨어는 다른 사이버 공격과는 달리 한 번 감염되면 주요 데이터가 암호화 되면서 사용할 수 없게 되는 결과를 초래한다. 즉 감염 후 후속 대응이 어려운 것이 특징이다.

만약 기업의 임원 혹은 사업상 중요 내용을 취급하는 부서의 담당자가 랜섬웨어 공격을 당해 기업의 핵심적인 비즈니스 자산이 암호화 될 경우 치명적인 손실로 이어질 수 있다. 기업 내부로 최초 유입된 랜섬웨어가 네트워크를 통해 기업 전체로 확산되면 피해는 더욱 확대될 가능성이 크다.

안랩 전문가들은 이에 랜섬웨어에서 첫 번째 희생자의 발생을 막아 주요 자산을 보호하는 것이 중요 포인트이라고 지적하고 있다.

안랩에 따르면, 랜섬웨어 공격에서 첫 번째 희생자가 발생하게 되는 시나리오는 크게 세 가지로 볼 수 있다. 우선 일반 경로로 랜섬웨어가 유입됐으나 솔루션에서 분석하기 전 혹은 분석하는 도중에 실행되는 상황이다. 또 암호화 트래픽으로 다운 받거나 암호화된 압축파일 등 네트워크 레벨에서 분석이 어려운 경우, USB 등 제3의 경로로 PC에 바로 유입되는 경우 등이다.

이에 대응하기 위해 의심 파일의 실행을 중지시키는 기술이 주목받고 있다. 안랩에서는 지능형 위협 대응 솔루션인 ‘안랩 MDS’가 이같은 기능을 수행한다. 악성 여부가 확인되지 않은 의심 파일의 실행을 보류시키는 ‘실행 보류(Execution Holding)’ 기능으로 선제적인 조치를 제공하는 것이다.

안랩 MDS는 신종, 변종 랜섬웨어로 의심되는 파일이 PC에 저장된 문서, 사진, 영상 등의 파일을 암호화시키는 등 행위를 사전에 차단시킨 후 악성여부를 판단한다. 분석하는 동안 해당 파일이 PC에서 악의적인 행위를 못하도록 실행(Execution)을 잠시 보류(Holding)하기 때문에 시간차에 의한 피해 발생을 막는 것이다.

안랩 MDS의 분석 결과 해당 파일이 랜섬웨어로 판단되면 실행을 차단한 상태에서 관리자에게 분석 결과를 알려주거나 설정에 따라 자동으로 악성 파일을 삭제할 수 있다. 해당 파일이 정상 파일로 판명 날 경우에는 실행 보류를 해제해 사용자가 파일을 정상적으로 사용할 수 있도록 허용한다. 안랩 MDS는 미국 국가안보국(NSA) 산하 국가정보보증협회(NISP)로부터 공통평가기준(CC) 인증을 획득한 바 있다.

이같은 솔루션 사용 이외에도 중요 데이터를 주기적으로 백업하고 보안 패치 적용을 최신으로 유지하는 등 개인과 기업이 보안 조치를 철저히 하는 것이 랜섬웨어 피해를 줄이는데 도움이 될 수 있다는 지적이다.

[테크M = 강진규 기자(viper@techm.kr)]