통합 플랫폼·체계적인 IR로 선제방어부터 대응까지
[데이터넷] 랜섬웨어가 AI 시대를 맞아 새롭게 바뀌었다. 공격자는 AI를 이용해 한층 더 정교한 기법을 사용하고 있는데, 그 방법과 목적이 APT와 크게 다르지 않게 됐다. 금전 목적이나 정치 목적의 공격자들이 모두 랜섬웨어의 공격 방식을 채택하고 있으며, 데이터 유출, 파괴, 반복 공격 등으로 더 큰 피해를 입게 하고 있다. 랜섬웨어 위협 동향을 살펴보고, 대응 방안을 알아본다. <편집자>
통합 플랫폼으로 랜섬웨어 대응
랜섬웨어는 사이버 공격에 사용되는 모든 방식을 사용하기 때문에 특정 보안 솔루션만으로 막을 수 없다. 공격자는 유출된 자격증명, 방치된 자산, 통제 장치 없이 열려있는 RDP, 부적절한 설정과 남용된 권한 등을 이용해 침투하며, 시스템의 정상 기능을 이용하고, 추가 공격도구를 내려받으면서 공격행위를 이어간다.
따라서 다양한 보안 기술을 통합한 플랫폼으로 조기에 탐지하고 대응해야 한다. 포티넷은 시큐리티 패브릭(Security Fabric) 아키텍처를 기반으로 설계된 AI 기반 플랫폼으로 진화하는 다양한 공격을 막는다. 엔드포인트부터 네트워크, 클라우드, 이메일, 자격증명 도용, 공격표면 관리까지 통합 대응하며, 선제적인 예방부터 사고 대응과 복구까지 지원하는 침해대응(IR) 서비스와 보안인식 교육까지 지원한다.
포티넷 플랫폼을 이용해 랜섬웨어를 성공적으로 차단한 사례로, 글로벌 제조업 고객을 들 수 있다. 여러 공장의 생산라인을 겨냥한 대규모 랜섬웨어 공격이 발생했는데, 이는 자칫하면 수백만 달러의 손실로 이어질 수 있는 심각한 상황이었다. 당시 포티넷은 네트워크 세그멘테이션, 엔드포인트 보호, AI 기반 SOC 자동화를 신속히 적용했고, 그 결과 공격이 OT 시스템으로 확산되기 전에 차단했다.
포티넷은 AI를 기반으로 설계된 ‘포티NDR’을 새롭게 공개하면서 랜섬웨어를 비롯한 각종 위협에 대한 대응 능력을 강화한다. 포티NDR은 샌드박스보다 100배 빠른 속도와 정확도를 지원하며, 암호화된 트래픽도 복호화하지 않고 위협을 탐지한다.
박현희 포티넷코리아 상무는 “포티NDR은 포티가드에서 사용해 온 전용 인프라를 상용화한 것으로, 네트워크 트래픽과 파일을 모두 분해하고 분석해 악성 트래픽을 찾을 수 있다. 인라인으로 악성 여부를 판단하기 때문에 실시간 위협에 대응할 수 있다”며 “전용 어플라이언스로 구축해 폐쇄망에서도 실시간 위협을 탐지할 수 있어 강력한 보안이 요구되는 환경에서 지능형 위협에 효과적으로 대응할 수 있다”고 설명했다.
박현희 상무는 “포티넷은 진화하는 랜섬웨어 및 사이버 위협에 대응하기 위해 AI 중심 방어, 플랫폼 기반 통합 및 자동화를 제공하고 있다. 또한 글로벌 연합체와의 협력으로 고객과 사회 전반의 보안 위협을 낮추고, 공격자의 공급망을 교란시키는 활동에 참여하고 있다”고 말했다.
다계층 대응 전략으로 선제적 피해 예방
통합 플랫폼 전략은 트렌드마이크로가 ‘트렌드 비전 원(Trend Vision One)’을 통해 추구하는 전략이기도 하다. 트렌드 비전 원은 트렌드마이크로의 모든 보안 기술이 통합된 플랫폼으로 특히 탁월한 사이버위협노출관리(CREM) 기술로 외부 노출된 자산의 취약도와 우선순위를 파악해 최적의 대응을 할 수 있도록 돕는다. XDR을 중심으로 한 다계층 대응과 전문 MDR/IR 서비스로 침해 단계에서 이상중후까지 파악하고 위협 헌팅과 사고 분석·재침해 방지까지 제공한다.
최영삼 한국트렌드마이크로 상무는 “앞으로 랜섬웨어는 더욱 정교한 맞춤형 공격 방식과 자동화된 우회공격을 펼칠 것으로 예상되며, 이에 대응하기 위해서는 선제적인 리스크 관리와 탐지 공백 축소, 복구 가용성 보장이 필수”라며 “트렌드마이크로는 단일 통합 플랫폼과 함께 글로벌 사이버 보안 및 파트너 생태계를 통해 위협 탐지와 대응을 개선하고, 공격 대응과 복구를 최적화할 수 있다”고 설명했다.
반복되는 공격 막을 IR 필요
랜섬웨어는 한 번 공격하는 것으로 끝나는 것이 아니라, 지속적으로 공격한다. 그래서 감염이 확인된 시스템을 격리하는 것뿐만 아니라 다른 시스템에 남아있는 악성코드를 찾아 제거하는 것이 필요하다. 더불어 조직 전반의 보안 태세를 점검해 개선하고, 공격표면을 찾아 조치하며, 정기적인 침투테스트와 보안 점검, 임직원 보안인식 교육 등을 진행하는 한편, 규제준수 요건을 점검해 위법한 활동이 있는지 찾아 개선해야 한다.
최근 이러한 활동이 침해대응(IR)에 포함되면서 IR의 영역이 넓어지고 있다. IDC의 ‘마켓스케이프: 전 세계 침해대응 공급업체 평가 2025’에서는 “국가 차원의 공격자와 다양한 사이버 범죄자들이 복합적인 침해 시도를 하고 있다. 이는 ‘만약(if)’이 아닌 ‘언제(when)’의 문제”라며 언제든 발생할 수 있는 사이버 공격에 대응하기 위해 IR에 투자해야 한다고 강조했다.
이 보고서에서 리더로 선정된 팔로알토 네트웍스는 유닛42의 전문성과 방대한 위협 데이터를 기반으로, 사고의 맥락 파악·재발 방지·플랫폼 통합 복구까지 정밀 대응을 제공하는 점이 높게 평가됐다. 유닛42는 전 세계에서 발생하는 위협을 선제적으로 탐지·대응하며, 침해당한 고객의 시스템을 점검해 피해를 최소화하는 한편, 조직 전반에 남아있는 잔존 위협까지 찾아 조치해 재공격을 막을 수 있도록 지원한다. 탐지하는 로컬 분석, 악성 활동을 탐지·차단하는 행동 기반 위협 방지(BTP) 등도 지원한다.
박상규 팔로알토 코리아 대표는 “유닛42는 정교한 우회 공격도 차단한 다수의 사례를 갖고 있다. 공격자가 팔로알토 코어텍스 XDR을 우회하는 도구를 사용했는데, 유닛42의 IR 팀은 사전에 탐지하고 대응했다. 공격자의 접근 시도를 차단하고 고객의 시스템과 데이터를 성공적으로 보호할 수 있다”고 설명했다.
유닛42는 ‘랜섬웨어 준비 상태 평가(Ransomware Readiness Assessment)’ 서비스도 제공해 인력, 프로세스, 기술 측면에서 랜섬웨어 대응을 지원한다. 이 서비스는 사전방어, 신속한 복구, 준비상태 테스트, 경영진 가이드를 제공해 조직 전반의 랜섬웨어 방어 역량을 높일 수 있게 한다.
팔로알토 네트웍스는 XDR 제품군과 네트워크 보안 솔루션을 통해 랜섬웨어 위협을 완화할 수 있게 한다. 엔드포인트, 네트워크, 클라우드에 대한 AI 기반 자동화된 위협 탐지·대응, 공격표면 관리 등을 플랫폼 수준에서 통합 대응한다.
팔로알토는 XDR 솔루션 기본 모듈만으로도 알려진 랜섬웨어 샘플을 차단할 수 있어 비용 효율성을 높일 수 있다. 윈도우, 맥OS에서 암호화 행위를 차단하는 안티 랜섬웨어, 랜섬웨어 바이너리를 차단한다.
박상규 대표는 “랜섬웨어 대응을 위해서는 단편적인 솔루션만으로는 안 되며, 보안 운영센터(SOC) 강화, 제로 트러스트(Zero Trust) 도입, 클라우드 및 애플리케이션 환경 보안이 필수다. SOC는 최종 방어선으로서, 네트워크, 엔드포인트, 애플리케이션 통제가 실패할 경우에도 위협을 신속히 탐지하고 대응할 수 있다. 제로 트러스트를 통해 위험을 줄이고 회복력을 강화하며, 클라우드·애플리케이션의 개발부터 운영까지 중단없는 보호로 공격자가 발판을 마련하기 전에 위협을 차단해야 한다”며 “팔로알토 네트웍스는 고객의 이러한 요구를 만족할 수 있는 완성도 높은 플랫폼과 서비스를 제공할 수 있다”고 말했다.
