2024.05.18 (토)
[CIOCISO매거진=홍상수 기자] CIOCISO매거진과 토크아이티는 최근 ‘언택트시대, 랜섬웨어가 노리는 취약해진 엔드포인트, AI로 막는다’는 주제로 프리미엄 웨비나를 개최했다. 이날 엔터프라이즈 IT 관계자 350여명이 접속해 성황을 이뤘다.
이날 올해 상반기 랜섬웨어 국내외 동향 분석 결과와 랜섬웨어 변종에 대응하기 위한 AI기반 탐지기술 등이 소개됐다.
고우성 토크아이티 PD 진행으로, 한국인터넷진흥원 침해사고분석단 임진수 단장의 ‘2021년 상반기 국내외 랜섬웨어 위협 분석’, 박정수 이사(SentinelOne)의 ‘엔드포인트 타겟 지능형 랜섬웨어 공격 AI EPP & EDR로 막는다’, 에스케어 최재우 이사의 ‘AI기반 엔드포인트 랜섬웨어 탐지 및 차단 데모 시연’ 등이 이어졌다.
임진수 한국인터넷진흥원 침해사고분석단장
“지난해 대비 기업 피해사례 3배 증가”
보안 업데이트 하지 않은 운영체제 및 소프트웨어 타켓
임진수 단장은 국내 기업 랜섬웨어 피해 현황에 대해 “2019년 39건 대비 지난해 127건으로 3배 이상 증가했다”며 “올해 6월 기준 계속 증가하는 추세”라고 말했다.
임 단장은 최근 기업 피해 사례 특징으로는 다크웹에서 구입한 직원계정으로 내부 시스템 접속해 내부 관리자 사칭 메일로 직원계정을 탈취 후 내부 시스템 접속한다고 밝혔다.
이어 스캔도구 등으로 중앙관리서버를 취약점 공격으로 거점확보한 뒤 악성코드를 전파하며 특히, 백신 탐지 우회를 위해 파일리스 악성코드(파워셸, WMI) 이용한다고 덧붙였다.
임 단장은 렘섬웨어 피해 방지를 위해선 ▲인터넷망과는 별도도 분리·운영하고, 불필요한 서비스는 삭제 ▲지정된 관리자만 접근을 허용 ▲문자 및 구글 OTP 등으로 이중 보안 접속 적용 ▲(업데이트) 운영체제 및 주요 소프트웨어, 백신은 최신으로 업데이트 등을 설명했다.
특히 중앙서버 관리에 대해선 ▲주요 소프트웨어, 백신 등의 보안업데이트를 최신 버전으로 유지 ▲관리중인 계정의 권한은 최소화하고, 비정상 계정 생성여부 모니터링 ▲관리자는 ‘관리자 그룹계정’으로 내부 서버에 접속 및 관리 금지 등을 강조했다.
박정수 SentinelOne
랜섬웨어 잡는 AI 솔루션 ‘SentinelOne’
모든 엔드포인트 위협 탐지, 감염시 복구기능까지 제공
박정수 이사는 “기업은 렌섬웨어 악성코드 이력에 대한 가시성 부족하므로 알려지지 않은 악성코드 탐지가 불가능하다”며 “자동 치료 및 복구 기능이 부재할 뿐만 아니라 DB 증가로 관리 어려움이 반복되고 있다”고 지적했다.
박 이사는 “SentinelOne은 AI 머신러닝을 통해 알려지지 않은 악성코드 특성까지 스스로 학습하여 새로운 형태의 변종 공격으로부터 사전 차단 및 복구까지 할 수 있는 차세대 EPDR 솔루션”이라며 “독자적 AI 기술로 탄생한 탐색 엔진 ActiveEDR®은 모든 엔드포인트 PC, 휴대폰, 테블릿, 네트워크단, 서버 등 정적‧동적으로 알려지지 않은 위협까지 탐지한다. SentinelOne이 탐지 시간이 매우 짧으며, 엔드포인트 자체를 분석하기 때문이며 네트워크를 차단해도 문제가 없다”고 강조했다.
아울러 “Storyline™을 통해 악성코드의 시작부터 마지막까지 모든 과정을 분석한다”며 “USB, 블루투스 등 하드웨어까지 장치 통제가 가능하며, 랜섬웨어 감염 시 원래 상태로 빠른 시간 내에 복구까지 가능하다”고 설명했다.
최재우 에스케어 이사
"MS Office 제로데이 취약점 MSHTML 입력값을 제대로 처리하지 않아 발생"
EDR 뒤 롤백을 통해 파일을 수정 및 교정, 정상상태로 복구
최재우 이사는 "2020년 초부터 “LockBit Gang” 에서 공격 피해가 늘고 있다. 내부자를 모집해 침투하는 기법을 사용한 첫 번째 랜섬웨어 공격 단체"라며 "최근 기업의 취약한 엔드포인트를 통해 LockBit 2.0 랜섬웨어 공격이 늘고 있다"고 말했다.
최 이사는 "랜섬웨어의 차단만 가능한 현 솔루션 시장에서 에스케어는 SentinelOne을 통해 탐지, 차단 및 정상 상태로 복구하는 기능까지 제공한다"며 "수천개의 파일을 복구하는데 거의 1분이면 된다"고 설명했다.
SentinelOne은 StoryLine Active Response을 통해 선제적으로 패치를 업데이트하고 취약점을 제거한다. EDR을 통해 모든 공격을 탐지하고 롤백을 통해 파일을 수정, 교정해 정상상태로 복구된다.
SentinelOne는 PoC 및 데모체험을 할 수 있다.