보안

“멀웨어 감염 여부 확인이 관건” 멀웨어 공격의 유형과 이에 대처하는 방법

Josh Fruhlinger | CSO 2022.02.17

멀웨어의 사례

오늘날 커지고 있는 멀웨어의 위협과 관련해서는 이번 기사에서 부분적으로 다뤘다. 하지만 멀웨어의 역사는 길고 유명하다. 1980년대 8비트 가정용 컴퓨터인 애플 II 마니아가 감염된 플로피 디스크를 바꿔치기 하던 때가 있었으며, 1988년 모리스 웜(Morris Worm)이 유닉스 기기에 걸쳐 배포됐다. 이 외에 다른 유명한 멀웨어 공격은 다음과 같다.
 
  • ILOVEYOU : 2000년에 산불처럼 퍼져 150억 달러 이상의 피해를 입힌 웜이다.
  • SQL 슬래머(SQL Slammer) : 2003년에 처음 급속도로 확산돼 인터넷 트래픽을 정지시킨 멀웨어이다.
  • 콘피커(Conficker) : 윈도우 내의 패치되지 않은 취약점을 악용했으며, 멀웨어 주입, 이메일 피싱 등 다양한 공격 경로를 활용했던 웜이다. 궁극적으로 비밀번호를 풀어 윈도우 기기를 봇넷으로 납치한다.
  • 제우스(Zeus) : 2000년대 말 뱅킹 정보를 노렸던 트로이 목마.
  • 크립토로커(CryptoLocker) : 최초의 보편적인 랜섬웨어 공격으로, 크립토로커 코드는 유사한 멀웨어 프로젝트에서 계속 개량되고 있다.
  • 스턱스넷(Stuxnet) : 전 세계의 컴퓨터를 감염시켰지만 오로지 한 장소에만 피해를 입혔던 매우 정교한 웜이다. 이란 나탄즈에 소재한 핵 시설에서 우라늄 농축 원심 분리기를 파괴했고, 미국과 이스라엘의 정보 기관이 제작했다.
 

멀웨어 공격을 피하는 방법

스팸 및 피싱 이메일은 멀웨어가 컴퓨터를 감염시키는 제1의 공격 경로이기 때문에, 멀웨어를 방지하는 최고의 방법은 이메일 시스템을 철저히 봉쇄하는 것이다. 또한, 위험을 포착하는 방법도 알아야 한다. 필자는 첨부 문서를 주의 깊게 확인하고 잠재적으로 위험한 사용자 행동을 제한하도록 권고한다. 더 나아가, 사용자는 보편적인 피싱 사기를 숙지해 즉각적으로 적합한 조치를 취할 수 있어야 한다. 

기술적인 예방 조치도 많이 있다. 예를 들어, 시스템을 패치되고 업데이트된 상태로 유지하거나 하드웨어 인벤토리를 작성해 보호해야 할 것을 파악하고, 인프라에 대해 지속적인 취약점 평가를 수행하는 것이다. 특히 랜섬웨어 공격의 경우, 항상 백업 파일을 만들어 차단할 수 있다. 그러면 하드 드라이브가 암호화되더라도 파일을 되찾기 위해 몸값을 지불할 필요가 없다.
 

멀웨어 보호

안티바이러스 소프트웨어는 멀웨어 방지 제품 중에 가장 유명하다. 이름에 ‘바이러스’가 있기는 하지만 기능 대부분 모든 형태의 멀웨어를 해결한다. 안티바이러스 소프트웨어는 유명 보안 전문가에 의해 쓸모 없는 것으로 간주되지만, 여전히 기본적인 멀웨어 방지의 중추이다. 오늘날 보안 솔루션 업체인 F-시큐어(F-Secure), 카스퍼스키 랩(Kaspersky Lab), 시큐라이트(Sequrite), 시만텍(Symantec), 트렌드 마이크로(Trend Micro) 등이 우수한 성능의 안티바이러스 소프트웨어를 출시한다.

더욱 고도화된 기업 네트워크의 경우, 엔드포인트 보안 오퍼링이 멀웨어를 심층적으로 차단한다. 안티바이러스와 동일하게 서명 기반 멀웨어를 검출하고, 뿐만 아니라 안티 스파이웨어와 개인 방화벽, 애플리케이션 제어, 기타 호스트 침입 방지를 지원한다.
 

멀웨어 감염 여부를 파악하는 방법

하지만 아무리 노력한다고 해도 시스템은 언제든지 감염될 수 있다. 그렇다면 멀웨어 감염 여부를 어떻게 확인할 수 있을까? 보안 전문가인 로저 그라임스는 해킹의 징후에 대한 훌륭한 가이드를 제공한다. 예를 들어, 갑작스러운 컴퓨터 성능 저하, 마우스 포인터의 예상치 못한 움직임 등이 있다. 또한, 그라임스는 잠재적 멀웨어 공격과 관련해 컴퓨터를 진단하는 유익한 방법을 자세히 설명했다.

기업의 IT 부서에는 네트워크 현황 파악 및 멀웨어 감염 검출에 사용할 수 있는 고급 가시성 툴이 있다. 멀웨어는 대부분 네트워크를 이용해 확산되거나 제어자에게 정보를 반출하는 형태이다. 다시 말해, 네트워크 트래픽은 다른 경우에서 놓칠 수 있는 멀웨어 감염 징후를 포함하고 있다. 다양한 네트워크 모니터링 툴이 시중에 판매되고 있으며, 가격대는 몇 달러부터 몇 천 달러에 이르기까지 다양하다. 또한, 로그 관리 프로그램에서 발전한 SIEM 툴도 있다. 이 툴은 전체 인프라에 걸쳐 다양한 컴퓨터 및 전자 기기의 로그를 분석해 멀웨어 감염과 같은 문제의 징후를 찾는다. SIEM 업체로는 IBM, HP 엔터프라이즈와 같은 대형 IT 업체 외에도 소규모 사이버 보안 업체인 스플렁크(Splunk), 에일리언 볼트(Alien Vault)가 있다.
 

멀웨어 제거

사실 이미 감염된 컴퓨터에서 멀웨어를 제거하는 방법을 묻는 것이 가장 가치 있는 질문이라고 할 수 있다. 멀웨어를 제거하는 것은 까다로운 일이다. 방법도 멀웨어의 유형에 따라 조금씩 다르다.

시스템을 정화하는 툴을 찾고 있다면 테크 레이더(Tech Radar)가 소개한 각종 무료 소프트웨어를 사용해보는 것도 좋다. 여기에는 익숙한 안티바이러스 소프트웨어를 비롯해 멀웨어바이트(Malwarebytes)와 같은 신생 업체의 제품도 있다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.