[이스트시큐리티 IMAS개발팀 한태원 담당]

지난 2017년 6월, 웹호스팅업체 인터넷나야나의 서버가 랜섬웨어에 감염되어 고객의 중요 자료들이 암호화된 사건이 있었다. 한국인터넷진흥원(KISA)과 사이버수사대는 조사를 통해 해당 기업 내 리눅스 서버 153 대가 에레부스 또는 에레보스(Erebus)라 불리는 랜섬웨어에 감염되었다고 밝혔다.

[그림1. 인터넷나야나 랜섬웨어 감염 공지화면 (출처 : 인터넷나야나 공식 홈페이지)]

이 웹호스팅업체를 이용하는 고객사의 1만 여 개중 절반가량인 5천개 이상이 랜섬웨어의 공격을 받은 것으로 추정하고 있으며, 랜섬웨어 공격으로 인해 큰 손실을 본 기업도 상당수로 알려졌다. 인터넷나야나는 어쩔 수 없이 해커와 최종 협상을 통해 380 비트코인(한화 약 13억원)을 지불하기로 합의해야만 했다.

 [그림2. 공격으로 인해 손실된 조직의 매출 비율 (출처 : Cisco 2017 연례 사이버 보안 보고서)]

사이버 공격은 시간이 지나면서 더욱더 고도화 되고 있으며, 어떤 기업도 공격 대상이 될 수 있다는 점이 이번 사건을 통해 드러났다. 최근 발표된 Cisco 연례 사이버 보안 보고서에 따르면, 전체 조직 중 75%가 애드웨어에 감염된 경험이 있다고 나타났다. 또한 사이버 공격으로 인해 매출 손실을 경험한 기업은 조사대상 기업 중 29%이며 이중 38%의 기업이 상당한 매출 손실을 경험한 것으로 조사되었다.

이와 같은 사이버 공격에 대비하고 피해를 최소화하기 위해 기업은 어떤 대비를 해야 할 것인가? 

- 사이버 공격 대비 첫걸음, 악성코드 분석 시스템

지난 2017년 5월, 워너크라이(WannaCry) 랜섬웨어 사태가 발생했을 때 이루어 졌던 대응 조치를 살펴보자면, 당시 한국인터넷진흥원(KISA)를 중심으로 국내 민간보안 업체들이 사이버위헙에 대응하기 위한 인텔리전스 네트워크를 구성하였다. 이는 워너크라이 공격에 대한 정보 공유를 통하여 발 빠른 대응에 나서기 위함이었다. KISA 백기승 원장은 2017 민간분야 상반기 사이버위기 대응 모의훈련 강평회에서 “다양한 산업군과 함께 모의훈련 실시는 물론, 사이버공유시스템(C-TAS) 참여기관, 사이버 위협 인텔리전스 네트워크 등과 정보 공유 및 협력을 확대할 예정”이라고 밝혔다. 사이버 공격에 대비하기 위해 민관이 협동하여 정보 수집에 신경 쓰고 있다는 것을 알 수 있다.

(관련기사 : http://www.cctvnews.co.kr/news/articleView.html?idxno=69205)

악성코드 수집 및 분석을 통하여 가장 최신 위협에 대응하기 위한 모습은 경찰청의 악성코드 포렌식 시스템과 금융보안원의 악성코드 분석 시스템에서도 그 예를 찾아볼 수 있다.

경찰청은 민원해결 및 침해사고에 대응하기 위해 악성코드 포렌식 분석 시스템을 사용한다. 악성코드 포렌식 분석 시스템은 악성 URL, 카페/블로그에 업로드 되는 다양한 샘플의 모니터링 등을 통해 다양한 형태의 악성코드를 수집하며, 수집된 악성코드는 PE, APK, URL분석을 거치게 된다. 관리자는 분석된 정보를 실시간으로 확인할 수 있고, 내용이 정리된 보고서 형태로 저장할 수 있다. 제공받은 정보는 악성코드에 대한 민원이 들어왔을 때, 어떤 악성 행위를 하는지 안내하는데 사용되며 또한 침해사고 발생 시 사건 수사 및 프로파일링을 위해 사용된다.

금융보안원의 악성코드 분석 시스템은 주요 금융기관과 관련된 다양한 샘플을 수집하여 실시간으로 분석하는 역할을 한다. 샘플 수집에서부터 분석 결과를 제공하는 시스템을 자동화 프로세스에 적용하였기 때문에, 24시간 모니터링이 가능하다는 장점을 가지고 있다. 관리자가 실시간으로 분석결과 알람을 통하여 받을 수 있기 때문에, 사이버 공격에 대한 빠른 조치를 위해 악성코드 분석 시스템이 사용되고 있다.

이와 비슷한 행보는 한국인터넷진흥원(KISA)이 도입하는 IMAS에서도 살펴볼 수 있다. IMAS는 자동화된 악성코드 분석 기법을 이용하여 의심스러운 파일이나 URL을 분석한다. 또한 URL 분석에서는 각 사이트의 하위 페이지를 단계 제한없이 분석할 수 있다. KISA는 IMAS를 활용하여 국내 홈페이지를 통해 유포되는 악성코드 탐지와 분석을 강화하여 최신 사이버 공격에 보다 효과적으로 대응하겠다는 계획이다.

- 사이버 공격, 기업이 할 수 있는 예방 방법은?

많은 공공기관 및 보안 업체가 악성코드 정보를 이용하여 최신 사이버 위협에 대한 대응방안을 마련해가고 있는 상황이다. 그렇다면 일반 기업체에서는 사이버 공격을 방어하기 위해 악성코드 정보를 어떻게 활용할 수 있을까?

IMAS 서비스는 국내 2,000만 사용자를 가지고 있는 알약을 기반으로 최신 악성코드 정보를 수집, 분석한다. 악성코드 분석으로 나온 데이터는 사용자가 파악하기 쉬운 양질의 데이터로 도식화시킨다. 또한 분석한 악성코드에 따른 대응방안을 제시하여, 기업 보안 담당자가 어떤 조치를 취해야 하는지를 손쉽게 알 수 있도록 도와준다.

 [그림3. IMAS의 인공지능 분석]

악성코드 분석 정보와 인공지능(A.I)을 결합하여 최신 위협에 방어하는 방법도 분석 정보를 이용하는 방법이 될 수 있다. 기존 악성코드 분석 정보를 기반으로 인공지능이 학습을 시작한다면 신/변종에 대한 악성코드에 대한 탐지와 분석 능력이 더욱 강화될 수 있을 것으로 예상된다. IMAS는 알약 등 각종 보안 서비스를 통해 다년간 축적한 악성코드 분석 정보와 인공지능을 결합하여 신/변종 악성코드에 대한 탐지, 분석 능력을 향상시키기 위한 연구를 진행하고 있다.

지난 사건이 지능형지속위협(APT) 과 랜섬웨어를 이용하여 큰 이득을 취할 수 있다는 사례로 기록되면서 기업에 대한 사이버 공격이 대폭 증가할 것으로 예상된다. IMAS와 같은 악성코드 분석 시스템을 도입하여 접근 가능한 악성코드를 분석, 사전에 차단하는 것도 방법이 될 수 있을 것이다. 또한 악성코드에 대한 정보를 지속적으로 얻을 수 있는 채널을 열어 두어 악성코드에 대한 최신 패치와 서버 관리자에 대한 최신 보안 실무 교육을 병행하는 방법도 필요하다. 

사이버 공격은 앞으로도 더 진화할 것이며 기업의 입장에서는 우리 회사가 다음 공격 대상이 될 수 있다는 생각을 가지고 공격에 대비한 예방책을 미리 준비하는 노력을 취해야 할 것이다.