2018.07.27

랜섬웨어 공격의 길목을 차단하는 킬체인 전략

BrandPost Sponsored by Citrix&Synergy
Citrix | Citrix


사이버 위협은 큰 유행의 물결을 따라간다. 최근 유행의 중심은 랜섬웨어다. 2017년 워너크라이를 필두로 랜섬웨어 공포가 전 세계를 강타하면서 APT 공격의 뒤를 이어 유행을 선도하고 있다. 기업들은 부랴부랴 랜섬웨어 대응 방안 찾기에 나섰고 엔드포인트 보안 솔루션과 백업 등 데이터 보호 솔루션 각자의 시각과 기술로 ‘안전’을 보장했다. 이처럼 시장에 다양한 솔루션이 넘쳐났지만, 랜섬웨어 피해는 줄지 않았고 2018년 현재까지도 공포는 현재 진행형으로 이어지고 있다.

다른 것과 마찬가지로 랜섬웨어도 ‘완벽’ 보다는 ‘최선’을 추구해야 하는 과제다. 최근 주목 받는 접근법은 ‘킬체인 전략 기반의 대응’이다. APT가 극성을 부리면서 사이버 보안에 본격적으로 적용된 것이 바로 킬체인(Kill Chain) 접근이다. 개념은 간단하다. 여러 단계에 걸친 공격자의 위협을 공격 체인(Attack Chain)이라고 부르는데, 킬체인은 공격자가 밟아 나아가는 단계마다 맞춤형으로 대응하는 접근이다.

랜섬웨어 공격에 동원되는 도구, 기술, 절차가 세련되고 정교하게 발전함에 따라 기업 역시 킬체인이라는 더 효과적인 전략을 꺼내 들지 않을 수 없게 된 것이다.

시트릭스의 킬체인 정공법
기본 수칙만 잘 지켜도 어느 정도 랜섬웨어를 방어할 수 있지만, 그 과정이 쉽지만은 않다. 다음 요건 중 하나라도 부족하면 랜섬웨어에 대응해 안전을 보장하기 어렵다.

- 중요 비즈니스 데이터가 안전하게 격리 및 보호된다
- 이메일 링크나 첨부 파일로 인한 감염을 사전에 탐지할 수 있다
- 모바일 장치로 인한 감염도 막을 수 있다
- 모든 시스템, 애플리케이션, 웹 브라우저를 늘 최신 업데이트 상태로 유지한다

랜섬웨어에 대응하는 시트릭스의 접근 방식에서 킬체인의 메커니즘을 살펴본다. 우선 킬체인을 정찰(Recon), 감염(Infect), 명령과 제어(C&C), 확장(Expand), 갈취(Extort) 단계로 구분한다.


정찰 단계 : NetScaler Web Gateway
킬체인의 첫 단계는 정찰이다. 이 과정에서 공격자는 목표를 정하고, 정교한 공격을 위해 사회공학적 기법을 동원해 정교한 계획을 세운다. 주로 많이 이용되는 방법은 스피어 피싱 이메일을 이용하는 것이다. 무작위로 스팸 이메일 캠페인을 하는 예도 있지만, 랜섬웨어 배포의 목표가 돈일 경우 대부분 기업이나 기관을 노리기 때문에 스피어 피싱 공격이 많다.

이 단계에서 관리자가 해야 할 일은 사용자 교육이다. 의심스러운 이메일은 열어 보지 말 것, 첨부 파일은 늘 조심할 것, 이메일 본문에 있는 URL도 함부로 누르지 말 것 등의 주의 사항을 늘 사용자에게 알려야 한다. 다음으로 할 수 있는 일은 이메일 게이트웨이나 프록시 장비를 통해 이상한 URL 기반의 수신 이메일과 드라이브바이 감염 우려가 있는 사이트로의 접속을 사전에 걸러 내는 것이다.

감염 단계 : Secure Browsing & Bitdefender
어떤 식으로건 취약점을 찾아 초기 감염에 성공했다면? 랜섬웨어 피해는 초기 침투를 허용한 시스템 한 대에서 시작된다. 한 대의 피해가 순식간에 전사로 확산되는 것이다. 이메일 게이트웨이를 우회해 들어온 스피어 피싱 메일을 사용자가 클릭해 첨부 문서를 여는 경우가 여기에 해당된다. 평소 연락을 주고받는 거래처 관계자나 정부 기관의 공문을 첨부한 메일이 오면 대다수 사용자는 일단 첨부 파일을 열고 만다. 사회공학적 기법을 동원한 스피어 피싱 메일의 성공률이 높은 데에는 이유가 있다.

공격자가 원하는 액션을 사용자가 취했을 때 어떻게 막을 것인가? 물리적으로 개인 데스크톱을 쓰는 환경이라면 초기 감염을 막을 수 없다. 하지만 가상화 기반의 환경에서 시큐어 브라우징을 할 수 있다면 이야기가 달라진다. 랜섬웨어 다운로드를 유도하는 스크립트 파일이 실행돼도 직접적인 피해로 이어지지 않기 때문이다. XenServer와 XenApp 기반 가상화 환경을 제공하는 조직은 게스트 환경에서 스피어 피싱 메일에 첨부된 파일을 열더라도 운영체제나 첨부 파일 취약점을 이용한 후속 액션이 실제 시스템과 데이터에 영향을 끼치지 않는다.

C&C 서버 통신 단계 : NetScaler Web Gateway
스피어 피싱에 첨부된 파일에 포함된 매크로나 스크립트가 실행되었다고 가정하자. 이때부터 악성 코드는 C&C 서버와 통신하며 데이터 암호화라는 본격적인 피해를 입힌다. 피해 시스템과 C&C 서버 간의 통신은 암호화는 기본이고, Tor 네트워크를 주로 사용해 내용을 파악하기도 어렵고 추적도 쉽지 않다. 가장 효율적인 차단 방법은 결국 네트워크 단에서의 대응이다. 시트릭스 가상화 환경에서는 NetScaler Web Gateway가 이 역할을 맡는데, NetScaler Web Gateway는 평판 기반의 필터를 통해 C&C 서버로 향하는 외부 연결 요청을 효과적으로 차단할 수 있다.

확장 단계 : XenApp, XenDesktop, Secure Zones
랜섬웨어는 초기 침투에 성공하면 빠르게 주변 시스템으로 퍼진다. 랜섬웨어가 무서운 이유이기도 하다. 1차 저지선을 통과해 감염된 시스템이 있다면, 2차 저지선에서는 확장을 막아야 한다. XenApp, XenDesktop 환경에서는 시큐어 존을 설정해 민감한 데이터 영역에는 랜섬웨어가 접근조차 못하게 막는 방식으로 내부 확산을 막을 수 있다.


갈취 단계 : ShareFile
지금까지 알려지지 않은 도구, 기법, 절차를 사용하는 위협으로 특정 파일이 랜섬웨어 피해를 입었다면? 랜섬웨어 킬체인의 마지노선은 데이터 탈취를 원천적으로 막는 것이다. 악의적인 공격자는 암호화폐를 대가로 받은 후에도 암호화된 파일을 풀어 주지 않기도 한다. 따라서 기업이 할 수 있는 최선은 랜섬웨어에 걸리기 전 시점의 데이터로 복원하는 것이다. 이때 백업과 복구는 기본이다. 시스템은 파일이 업로드되는 시점부터 악성 코드나 매크로 포함 여부를 살필 수 있어야 하고, 맬웨어가 업로드된 파일의 확장자를 바꾸는 시도를 할 때 차단할 수 있어야 한다. 여기에 DRM, 워터마크 등 중요 자료에 대한 보안 수단을 통해 민감한 자료 유출에 대비할 수 있다면 금상첨화다. 이것이 바로 시트릭스 킬체인의 마지막 구간을 지키는 수문장인 ShareFile의 존재 이유이자, 주요 특징이다.


이렇게 랜섬웨어 탐지와 대응을 위한 킬체인 전략을 수립하려면, 엔드포인트 보안, 네트워크 보안, 웹 브라우저 보안 등 다양한 요소를 면밀히 고려해야 한다. 작은 틈 하나만 보여도 비집고 들어오는 것이 공격자의 생리다. 따라서 기본 수칙을 잘 따르면서 동시에 정확한 킬체인 전략을 수립하고 최선의 탐지와 대응에 나서는 것이 가장 중요하다. 


2018.07.27

랜섬웨어 공격의 길목을 차단하는 킬체인 전략

BrandPost Sponsored by Citrix&Synergy
Citrix | Citrix


사이버 위협은 큰 유행의 물결을 따라간다. 최근 유행의 중심은 랜섬웨어다. 2017년 워너크라이를 필두로 랜섬웨어 공포가 전 세계를 강타하면서 APT 공격의 뒤를 이어 유행을 선도하고 있다. 기업들은 부랴부랴 랜섬웨어 대응 방안 찾기에 나섰고 엔드포인트 보안 솔루션과 백업 등 데이터 보호 솔루션 각자의 시각과 기술로 ‘안전’을 보장했다. 이처럼 시장에 다양한 솔루션이 넘쳐났지만, 랜섬웨어 피해는 줄지 않았고 2018년 현재까지도 공포는 현재 진행형으로 이어지고 있다.

다른 것과 마찬가지로 랜섬웨어도 ‘완벽’ 보다는 ‘최선’을 추구해야 하는 과제다. 최근 주목 받는 접근법은 ‘킬체인 전략 기반의 대응’이다. APT가 극성을 부리면서 사이버 보안에 본격적으로 적용된 것이 바로 킬체인(Kill Chain) 접근이다. 개념은 간단하다. 여러 단계에 걸친 공격자의 위협을 공격 체인(Attack Chain)이라고 부르는데, 킬체인은 공격자가 밟아 나아가는 단계마다 맞춤형으로 대응하는 접근이다.

랜섬웨어 공격에 동원되는 도구, 기술, 절차가 세련되고 정교하게 발전함에 따라 기업 역시 킬체인이라는 더 효과적인 전략을 꺼내 들지 않을 수 없게 된 것이다.

시트릭스의 킬체인 정공법
기본 수칙만 잘 지켜도 어느 정도 랜섬웨어를 방어할 수 있지만, 그 과정이 쉽지만은 않다. 다음 요건 중 하나라도 부족하면 랜섬웨어에 대응해 안전을 보장하기 어렵다.

- 중요 비즈니스 데이터가 안전하게 격리 및 보호된다
- 이메일 링크나 첨부 파일로 인한 감염을 사전에 탐지할 수 있다
- 모바일 장치로 인한 감염도 막을 수 있다
- 모든 시스템, 애플리케이션, 웹 브라우저를 늘 최신 업데이트 상태로 유지한다

랜섬웨어에 대응하는 시트릭스의 접근 방식에서 킬체인의 메커니즘을 살펴본다. 우선 킬체인을 정찰(Recon), 감염(Infect), 명령과 제어(C&C), 확장(Expand), 갈취(Extort) 단계로 구분한다.


정찰 단계 : NetScaler Web Gateway
킬체인의 첫 단계는 정찰이다. 이 과정에서 공격자는 목표를 정하고, 정교한 공격을 위해 사회공학적 기법을 동원해 정교한 계획을 세운다. 주로 많이 이용되는 방법은 스피어 피싱 이메일을 이용하는 것이다. 무작위로 스팸 이메일 캠페인을 하는 예도 있지만, 랜섬웨어 배포의 목표가 돈일 경우 대부분 기업이나 기관을 노리기 때문에 스피어 피싱 공격이 많다.

이 단계에서 관리자가 해야 할 일은 사용자 교육이다. 의심스러운 이메일은 열어 보지 말 것, 첨부 파일은 늘 조심할 것, 이메일 본문에 있는 URL도 함부로 누르지 말 것 등의 주의 사항을 늘 사용자에게 알려야 한다. 다음으로 할 수 있는 일은 이메일 게이트웨이나 프록시 장비를 통해 이상한 URL 기반의 수신 이메일과 드라이브바이 감염 우려가 있는 사이트로의 접속을 사전에 걸러 내는 것이다.

감염 단계 : Secure Browsing & Bitdefender
어떤 식으로건 취약점을 찾아 초기 감염에 성공했다면? 랜섬웨어 피해는 초기 침투를 허용한 시스템 한 대에서 시작된다. 한 대의 피해가 순식간에 전사로 확산되는 것이다. 이메일 게이트웨이를 우회해 들어온 스피어 피싱 메일을 사용자가 클릭해 첨부 문서를 여는 경우가 여기에 해당된다. 평소 연락을 주고받는 거래처 관계자나 정부 기관의 공문을 첨부한 메일이 오면 대다수 사용자는 일단 첨부 파일을 열고 만다. 사회공학적 기법을 동원한 스피어 피싱 메일의 성공률이 높은 데에는 이유가 있다.

공격자가 원하는 액션을 사용자가 취했을 때 어떻게 막을 것인가? 물리적으로 개인 데스크톱을 쓰는 환경이라면 초기 감염을 막을 수 없다. 하지만 가상화 기반의 환경에서 시큐어 브라우징을 할 수 있다면 이야기가 달라진다. 랜섬웨어 다운로드를 유도하는 스크립트 파일이 실행돼도 직접적인 피해로 이어지지 않기 때문이다. XenServer와 XenApp 기반 가상화 환경을 제공하는 조직은 게스트 환경에서 스피어 피싱 메일에 첨부된 파일을 열더라도 운영체제나 첨부 파일 취약점을 이용한 후속 액션이 실제 시스템과 데이터에 영향을 끼치지 않는다.

C&C 서버 통신 단계 : NetScaler Web Gateway
스피어 피싱에 첨부된 파일에 포함된 매크로나 스크립트가 실행되었다고 가정하자. 이때부터 악성 코드는 C&C 서버와 통신하며 데이터 암호화라는 본격적인 피해를 입힌다. 피해 시스템과 C&C 서버 간의 통신은 암호화는 기본이고, Tor 네트워크를 주로 사용해 내용을 파악하기도 어렵고 추적도 쉽지 않다. 가장 효율적인 차단 방법은 결국 네트워크 단에서의 대응이다. 시트릭스 가상화 환경에서는 NetScaler Web Gateway가 이 역할을 맡는데, NetScaler Web Gateway는 평판 기반의 필터를 통해 C&C 서버로 향하는 외부 연결 요청을 효과적으로 차단할 수 있다.

확장 단계 : XenApp, XenDesktop, Secure Zones
랜섬웨어는 초기 침투에 성공하면 빠르게 주변 시스템으로 퍼진다. 랜섬웨어가 무서운 이유이기도 하다. 1차 저지선을 통과해 감염된 시스템이 있다면, 2차 저지선에서는 확장을 막아야 한다. XenApp, XenDesktop 환경에서는 시큐어 존을 설정해 민감한 데이터 영역에는 랜섬웨어가 접근조차 못하게 막는 방식으로 내부 확산을 막을 수 있다.


갈취 단계 : ShareFile
지금까지 알려지지 않은 도구, 기법, 절차를 사용하는 위협으로 특정 파일이 랜섬웨어 피해를 입었다면? 랜섬웨어 킬체인의 마지노선은 데이터 탈취를 원천적으로 막는 것이다. 악의적인 공격자는 암호화폐를 대가로 받은 후에도 암호화된 파일을 풀어 주지 않기도 한다. 따라서 기업이 할 수 있는 최선은 랜섬웨어에 걸리기 전 시점의 데이터로 복원하는 것이다. 이때 백업과 복구는 기본이다. 시스템은 파일이 업로드되는 시점부터 악성 코드나 매크로 포함 여부를 살필 수 있어야 하고, 맬웨어가 업로드된 파일의 확장자를 바꾸는 시도를 할 때 차단할 수 있어야 한다. 여기에 DRM, 워터마크 등 중요 자료에 대한 보안 수단을 통해 민감한 자료 유출에 대비할 수 있다면 금상첨화다. 이것이 바로 시트릭스 킬체인의 마지막 구간을 지키는 수문장인 ShareFile의 존재 이유이자, 주요 특징이다.


이렇게 랜섬웨어 탐지와 대응을 위한 킬체인 전략을 수립하려면, 엔드포인트 보안, 네트워크 보안, 웹 브라우저 보안 등 다양한 요소를 면밀히 고려해야 한다. 작은 틈 하나만 보여도 비집고 들어오는 것이 공격자의 생리다. 따라서 기본 수칙을 잘 따르면서 동시에 정확한 킬체인 전략을 수립하고 최선의 탐지와 대응에 나서는 것이 가장 중요하다. 


X