[데이터넷] 랜섬웨어가 AI 시대를 맞아 새롭게 바뀌었다. 공격자는 AI를 이용해 한층 더 정교한 기법을 사용하고 있는데, 그 방법과 목적이 APT와 크게 다르지 않게 됐다. 금전 목적이나 정치 목적의 공격자들이 모두 랜섬웨어의 공격 방식을 채택하고 있으며, 데이터 유출, 파괴, 반복 공격 등으로 더 큰 피해를 입게 하고 있다. 랜섬웨어 위협 동향을 살펴보고, 대응 방안을 알아본다. <편집자>

오픈AI “AI 이용 노코드 멀웨어, RaaS로 판매”

공격자들은 정교한 랜섬웨어를 위한 맞춤형 멀웨어를 AI로 제작하기도 한다. 오픈AI는 AI로 생성된 노코드 멀웨어가 RaaS를 통해 판매되고 있다고 설명했다. 오픈AI가 탐지한 사례는 생성형 AI 서비스 클로드를 이용해 변종 랜섬웨어를 개발하고 배포한 것이었다. 변종에는 고급 우회 기능, 암호화, 복구 방지 매커니즘이 탑재돼 있었으며, 인터넷 포럼을 통해 400달러에서 1200달러에 판매되었다.

악성코드 탐지를 위해서는 백신(안티 바이러스, AV)가 사용되는데, 전통적인 AV는 시그니처에 없는 악성코드를 탐지하지 못한다. 그래서 AI를 이용해 시그니처 없이 악성코드를 탐지·차단하는 솔루션이 경쟁적으로 등장했는데, 노이즈가 많고 운영하기가 어렵다는 문제가 있었다. 이에 EDR이 엔드포인트 보안 솔루션의 기본으로 자리 잡았는데, EDR 역시 과도한 노이즈와 전문성이 필요하다는 점에서 운영에 어려움을 주고 있다.

그 대안으로 백신과 EDR을 함께 도입하는 방법이 선택되고 있는데, 엔드포인트에 너무 많은 에이전트가 설치돼 관리 복잡성이 문제가 됐다. 엔드포인트 보안 솔루션 기업은 대부분 단일 플랫폼, 단일 경량 에이전트를 통해 백신·EDR을 통합 운영한다고 강조하지만, 여전히 높은 수준의 전문성이 필요하다는 문제를 해결하지 못하는 상황이다.

통합 엔드포인트 보안 플랫폼으로 대응

지니언스가 백신을 통합한 엔드포인트 보안 솔루션 ‘지니안 인사이츠 E 3.0’를 출시하면서 이러한 문제를 해결하고 나섰다. 이 솔루션은 ▲백신(AV) ▲EDR ▲안티 랜섬웨어 ▲매체제어를 단일 에이전트·단일 콘솔 기반으로 제공하는 통합 단말 보안 플랫폼으로, 알려진 악성코드는 신속히 차단하고, 알려지지 않은 위협은 행위 기반 분석과 머신러닝을 통해 탐지·대응하며, 랜섬웨어 발생 시에는 실시간 백업과 자동 복구 기능으로 피해를 최소화할 수 있다.

이민상 지니언스 상무는 “많은 고객들이 오래 전부터 엔드포인트 통합 플랫폼을 요구해왔으며, 그 요구를 만족할 수 있는 기술을 개발해 완성도 높은 플랫폼으로 공개하게 됐다”며 “지니안 인사이츠 E 3.0은 보안 전문성이 부족한 고객들도 강화된 엔드포인트 보안 플랫폼을 도입·운영할 수 있도록 한다. 경량·단일 플랫폼으로 제공해 엔드포인트 보안 문제를 해결한다. 또한 지니언스의 엔드포인트 MDR 서비스도 추가할 수 있어 고객의 운영 부담을 크게 줄일 수 있다”고 말했다.

지니안 인사이츠 E 3.0에 추가된 AV 기능은 EDR의 공격 경로 분석과 가시화 기능을 일부 제공해 AV만 도입해도 위협에 대한 맥락을 일정 수준 확보할 수 있다. 지니언스는 리눅스 서버 지원 기능을 추가하면서 서버 백신 시장까지 공략할 계획을 밝힌다.

안티 랜섬웨어 기능은 랜섬웨어 행위를 탐지하면 즉시 데이터를 백업하고 해당 프로세스를 격리해 랜섬웨어 공격을 초반에 차단한다. 실제로 지니언스의 한 고객이 채용 관련 피싱 메일을 열람해 랜섬웨어 공격 위협에 노출되었지만, 지니언스 제품에 적용된 행위 기반 분석(XBA) 엔진을 통해 즉시 차단하고 보호할 수 있었다.

김태형 지니언스 이사는 “기존 행위 기반 랜섬웨어는 대규모 암호화 시도 시 차단하기 때문에 랜섬웨어 위협이라고 판단할 때까지 시간 동안 데이터 피해를 막지 못한다. 지니언스의 안티 랜섬웨어는 의심스러운 데이터 접근이나 암호화 시도가 발생할 때 즉시 데이터를 백업하기 때문에 데이터 피해를 최소화하면서 랜섬웨어 시도를 차단하고 성공적으로 복구할 수 있도록 지원한다”고 설명했다.

지니언스는 EDR의 이상행위 탐지 기술로 비정상적인 데이터 유출을 탐지할 수 있어 데이터를 유출한 후 협박하는 행위도 일정 수준 막을 수 있으며, 취약점 악용, LotL, 사회공학 기법의 피싱·스피어피싱도 초기에 탐지하고 차단할 수 있다.

더불어 지니언스는 위협 분석 조직 지니언스 시큐리티 센터(GSC)를 통해 위협 인텔리전스를 축적하고 이를 EDR 탐지에 활용해 새로운 위협 대응 속도와 정확도도 높일 수 있다. GSC는 최근 북한 공격자의 클릭픽스, 스테가노그래피 등의 공격을 탐지하면서 고객을 보호하고 있다.

이민상 상무는 “장기적으로 지니언스의 NAC, ZTNA까지 모두 통합하는 플랫폼 전략으로 진화시킬 계획이다. 이를 통해 보안 운영을 단순화하면서 더 정확하고 빠른 위협 탐지 및 대응을 가능하게 할 것”이라고 밝혔다.

AI 기반 이미지 기술로 악성코드 탐지

AI가 생성하는 변종 악성코드는 작동 방법을 예측하기 어렵기 때문에 기존의 백신, EDR로 탐지하지 못한다. 그래서 엔피코어는 RGB 이미지를 이용해 새로운 방식의 악성코드까지 찾을 수 있다고 설명한다. 이 기술은 엔피코어가 대규모 악성 파일을 이미지로 학습한 후, 악성 행위의 수준과 방법을 RGB 이미지로 분류했다. 새로운 의심 파일이 유입될 경우 이를 이미지와 비교 분석해 악성 여부를 판단한다. 이 기술은 지난해 NET(신기술) 인증을 획득했으며, 올해 과학기술정보통신부의 우수정보보호 기술로 지정됐다.

방효섭 엔피코어 실장은 “RGB 기반 AI 이미지 분석 기술을 사용하면 0.09초 이내에 파일의 악성 여부를 판단할 수 있어 샌드박스의 동적 이미지 분석 기술의 한계를 극복할 수 있다. KTC 공인 시험 결과, 행위분석 기술 97.2%, RGB 기반 AI 분석 기술 98.7%로 행위분석 기술보다 높은 탐지율을 기록했다”며 “엔피코어는 샌드박스 행위 분석 기술은 물론이고 AI 기반 분석도 플랫폼에 통합시켰기 때문에 다양한 환경에서 발생하는 여러 유형의 공격을 막을 수 있다”고 설명했다.

이 기술이 적용된 엔피코어 솔루션은 국내 여러 공공기관과 베트남 국영통신사에 공급되면서 성과를 입증하고 있다. 또한 다양한 엔트로피 기반 분석 기술로 신·변종 랜섬웨어도 탐지할 수 있다는 사실을 입증했는데, 최신 랜섬웨어인 건라 랜섬웨어도 엔피코어 제품이 학습하지 않은 상태에서 정확하게 탐지하는 것을 입증했다.

한편 엔피코어는 엣지 데이터센터(EDC)를 준비, B2C 시장까지 진출할 계획이다. EDC를 통해 엔피코어의 다양한 보안 솔루션을 서비스하는 것은 물론이고, 국내 IT·보안 기업의 서비스도 제공해 비용 효율적이면서도 안전한 IT·보안을 제공할 계획이다. 나아가 선박보안, 국방보안, 로봇 보안 등 OT/ICS 보안 사업에도 참여해 광범위하게 전개되는 랜섬웨어, APT, 국가 배후 공격에 대응할 계획이다.

김경동 엔피코어 이사는 “랜섬웨어가 APT 방식과 결합되면서 이전과 다른 대응 방법이 필요해졌다. 그래서 엔피코어는 기존 보안 기술을 고도화하면서 RGB 기반 AI 이미지 분석과 같은 새로운 탐지·대응 기법까지 결합하고 있다. 또한 EDC를 통해 국내 보안 기업의 서비스를 고객에게 효과적으로 전달하는 한편, 국내 보안 기업과 협력해 시장 확장에 나서고 있다”고 말했다.

랜섬웨어 행위 분석 기술 ‘진화’

랜섬웨어 피해를 확실하게 막는 방법은 랜섬웨어 특유의 행위를 탐지해 차단하는 것이다. 랜섬웨어는 중요 데이터에 접근하고 유출하며 암호화·파괴하는 것이 근본적인 공격 방식이기 때문에 이 행위를 차단하면 피해를 최소화 할 수 있다. 그래서 기존 랜섬웨어 공격은 미끼 파일의 암호화 시도를 탐지하고, 시스템 파일을 백업해 피해 시 복원할 수 있도록 하며, 중요한 폴더와 데이터는 허용한 프로세스만 작동하도록 했다.

이스트시큐리티는 이러한 방식 외에 공격자의 최근 활동을 분석하고 대응책을 적용하는 방법으로 고도화되는 공격에 대응한다. 이스트시큐리티 시큐리티 대응센터(ESRC)에서 수집·분석하는 공격자 정보를 위협 인텔리전스로 축적하고, 이를 AV ‘알약’과 EDR ‘알약 EDR’에 적용하면서 탐지율을 높인다. 또한 문서중앙화 시스템 ‘시큐어디스크’를 이용해 중요 데이터를 랜섬웨어 감염 위협으로부터 격리한다.

이스트시큐리티 알약은 가장 많은 사용자에게 배포된 AV로, 가장 많은 위협 정보와 랜섬웨어 시도를 수집할 수 있다. 이 정보를 분석하고, 학습하기 때문에 이스트시큐리티 랜섬웨어 대응 역량은 매우 빠르고 정확하다. 최근 공격자들이 악용하는 취약점, 자격증명 유출, 스피어피싱 등의 시도를 파악하고 대응할 수 있다.

이지한 이스트시큐리티 제품개발본부장은 “이스트시큐리티는 엔드포인트 보안을 넘어선 XDR 플랫폼으로 진화하고 있다. 사이시큐랩, 시큐어링크, 옥타코, 시큐어시스템즈 등과 함께 XDR 플랫폼을 완성, 공개했다. 이 제품은 이미 국내 대기업에 공급해 성공적으로 운영되고 있다”고 말했다.

그는 “특히 이스트시큐리티는 북한 배후 공격 그룹의 행위를 정확하게 파악하고 있기 때문에 새로운 공격 시도를 즉시 탐지하고 조치하는데 탁월한 역량을 제공한다”고 밝혔다.