"보안 사고는 원스트라이크 아웃, 선제 방어 필요"

[아이뉴스24 성지은기자] "보안 사고는 '원스트라이크 아웃'이다. 랜섬웨어에 걸리면 손을 쓸 수 없는 거처럼 보안 사고가 발생하면 끝이다. 따라서 선제적으로 방어하고 자동화로 위협에 대응해야 한다."

글로벌 보안기업 팔로알토네트웍스(이하 팔로알토)는 20일 서울 강남구 삼성동에서 기자간담회를 열고, 랜섬웨어 대응 전략을 발표하며 이같이 강조했다.

최원식 팔로알토코리아 대표는 "보안정책을 수립하고 취약점을 찾아 미리 보완하는 등 선제 대응이 필요하다"며 "해커들의 공격 방식과 위협 정보를 담은 '플레이북'을 공유하는 노력도 필요하다"고 말했다.

이어 "악성코드 분석가가 악성코드 하나를 분석하는 데 45분가량의 시간이 소요되지만, 악성코드는 이보다 더 빠르게 증가하기 때문에 기존 방식으론 대처가 어렵다"며 "보안 자동화를 통해 취약점을 분석하고 예방하며 탐지·대응하는 전략이 필요하다"고 덧붙였다.

최근 팔로알토가 클라우드 기반 보안 솔루션 '와일드파이어'를 통해 전 세계적으로 수집된 악성코드 7천200만건을 분석한 결과, 전 세계 상위 6개 백신에서 탐지 못 하는 악성코드 파일이 62.5%에 달하는 것으로 조사됐다.

이는 시그니처(패턴) 기반으로 악성코드를 탐지하는 기존 백신이 한계에 다다랐다는 것을 의미한다. 특히 랜섬웨어는 공격 범위를 확장하며 고도화되는 추세다.

기존 랜섬웨어는 사용자들이 주로 사용하는 윈도 운영체제(OS)를 타깃으로 했지만, 최근엔 공격 범위를 확장해 안드로이드, 맥OS 등 다양한 OS 감염시키고 있다.

또 알려지지 않은 취약점을 악용해 이용자 PC, 스마트폰 등 엔드포인트 기기를 감염시키며, 변종 랜섬웨어를 만들어 보안 솔루션을 우회한다.

이에 팔로알토는 랜섬웨어 대응과 예방을 위한 시스템 관리 방안으로 ▲마이크로소프트(MS) 오피스 파일에서 매크로 스크립트 실행 금지 ▲월별 패치 관리 프로세스 점검 ▲수신 스팸 및 악성코드 보호 정책 실시 ▲차세대 방화벽을 통한 네트워크를 보호 ▲지능형 엔드포인트 보호 환경 구축 등을 제시했다.

MS의 발표에 따르면, 오피스 프로그램 타깃 공격의 98%가 매크로를 사용하고 있다. 따라서 매크로 스크립트를 허용하지 않으면 랜섬웨어도 예방도 가능하다. MS 오피스 2016의 경우, 매크로를 차단 기능을 제공한다.

랜섬웨어로부터 위협을 차단하기 위해 패치 주기적으로 업데이트하는 노력도 필요하다. MS는 30일 이내에 시스템 패치를 설치하도록 패치를 배포하고 있는데, 정기적 점검을 통해 취약점을 미리 보완해야 한다는 것.

아울러 실행 가능한 첨부파일은 미리 차단하는 식의 정책을 실시하면, 수신된 스팸과 악성코드로부터 보호할 수 있다는 게 회사 측 설명이다.

또 샌드박싱 기능을 통해 알려지지 않은 위협이 엔드포인트에 도달하기 전 차단하는 '차세대 방화벽'으로 네트워크를 보호할 수 있고, 실시간으로 위협 정보를 공유해 즉각적으로 대처하는 '지능형 엔드포인트'로 보호 환경을 구축할 수 있다.

한편, 팔로알토는 확대되는 보안 위협을 막는 차세대 엔드포인트 보안 솔루션 '트랩스 4.0'을 소개했다.

파일 해시 기반 빅데이터로 알려진 공격을 즉시 차단하며, 알려지지 않은 공격도 수 분 내에 신속히 차단한다는 게 회사 측 설명이다. 또 머신러닝을 활용해 랜섬웨어 등 악성 공격의 행위를 정책적으로 차단한다.