[디지털투데이 박근모 기자] 지난 10년 동안 약 6억개 이상의 악성코드가 출현했으며, 최근 랜섬웨어 등 사이버공격이 제로데이 취약점이나 알려지지 않은 형태로 진화되고 있는 것으로 확인됐다. 특히 제로데이 취약점이나 지금껏 알려지지 않은 형태의 공격으로 인해 기존 보안 시스템에서 탐지가 불가능해 피해 역시 크게 늘고 있다.

기존 보안 솔루션을 통해서는 제로데이 취약점과 같은 공격을 방어하기가 불가능하고, 설사 탐지가 되더라도 해당 시스템은 이미 랜섬웨어 등에 감염된 상태로 '선제방어', '자동화' 기능이 없는 보안 솔루션일 경우 이러한 형태의 사이버공격에 보안 대응이 불가능하다고 팔로알토 네트웍스 측은 주장했다.

조현석 팔로알토 네트웍스 시스템 엔지니어 부장이 사이버공격 대응 방법에 대해서 설명 중이다.

조현석 팔로알토 네트웍스 시스템 엔지니어 부장은 20일 서울 삼성동 우고스에서 기자간담회를 통해 "최근 랜섬웨어 공격은 제로데이 취약점과 알려지지 않은 형태로 진행돼 기존 보안 시스템에서는 탐지가 불가능해 이들로 인한 피해가 커질 가능성이 크다"고 설명했다.

최근 제로데이 취약점이나 알려지지 않은 형태의 사이버 공격이 급속도로 늘고 있다.

팔로알토 네트웍스에 따르면 지난 10년동안 약 6억개 이상의 악성코드가 출현했으며, 제로데이 취약점 공격 및 알려지지 않은 멀웨어 형태로 진화하며 기존의 보안 시스템을 회피 가능한 것으로 알려졌다. 특히 최근에는 단순한 해킹 유형의 범주를 벗어나 사이버공격자들이 전문화 조직화 돼 금전적 수익을 목적으로 수백만달러 규모의 사이버범죄 모델로 진화한 것으로 확인됐다.

조현석 부장은 "악성코드가 빠른 속도로 제작·유포됨에 따라 악성코드를 대응하기 위한 시그니처 패던이 만들어지는 속도를 이미 추월한 상태"라며 "신종 악성코드가 탐지되지 않는 제로데이 기간이 늘어나고 있어 보안 관리자들의 불안감이 날로 커지고 있다"고 현 상황을 전했다.

빨라진 악성코드를 탐지·방어하기 위해서는 적절한 관리자 및 사용자 교육, IT 환경에 최적화된 조치, 엔드포인트 보안 고도화 등 대응 전략을 구축해야한다. 하지만 이뿐만으로는 날로 진화되고 있는 랜섬웨어 등 사이버공격을 효과적으로 막을 수 없다는 것이 팔로알토 네트웍스의 주장이다.

조현석 부장은 "기존 엔드포인트 보안 솔루션의 경우 시그니처 패턴을 기반으로 랜섬웨어와 악성코드 등 멀웨어를 탐지하게 된다"라며 "엔드포인트 보안 솔루션이 해당 랜섬웨어를 탐지했다는 것인 이미 해당 PC에 침투한 후 시스템 내부에 영향을 줘 이를 바탕으로 보안 솔루션이 탐지 했다는 것을 의미한다"고 설명했다.

이어 "이미 랜섬웨어에 감염된 이후 조치를 취하는 것은 포렌식 솔루션처럼 공격 원인이나 방법을 찾는 부분에서나 유용할 뿐 해당 시스템의 피해는 피할 수 없다"라며 "이러한 피해를 막기 위해 중요한 것이 선제방어와 보안 솔루션의 자동화이다"고 강조했다.

팔로알토네트웍스 조사결과 전세계 상위6개 안티바이러스 솔루션이 탐지 못하는 악성코드가 62.5%에 달하는 것으로 나타났다.

팔로알토 네트웍스가 클라우드 기반 지능형지속위협(APT) 방어 및 대응 솔루션인 와일드파이어를 통해 수집된 악성코드를 분석한 결과 전세계 상위 6개의 엔드포인트 안티바이러스 제품에서 탐지하지 못하는 악성코드 파일이 62.5%에 달하는 것으로 조사됐다.

이처럼 기존의 엔드포인트 보안 솔루션의 경우 ▲제로데이 등 취약점 기반 공격 ▲시그니처 기반의 한계 ▲특정 타깃형 표적공격 방어 불가 ▲알려지지 않은 형태의 악성코드 방어 취약 ▲패턴 기반 및 행위기반 솔루션의 경우 과도한 시스템 리소스 요구 등 다양한 한계에 직면한 것으로 나타났다.

특히 시그니처 기반 보안 솔루션의 경우 알려진 공격 대부분을 빠르고 확실하게 차단 가능해 빠른 속도로 도입됐지만, 이를 회피하기 위해 지능형 멀웨어로 해킹기술이 빠르게 진화하면서 기존의 시그니처 기반의 보안 대응 전략은 한계에 이른 상태라고 팔로알토 네트웍스는 설명했다.

조현석 부장은 "실행파일 뿐만 아니라 문서나 스크립트 파일을 통한 감염은 범위가 광범위해 보안 관리에 어려움이 많다"라며 "뿐만 아니라 동적 액션트리거, 원격 데이터 검색, 내장형 스크립트 등 대규모 사이버공격은 사람이 직접 확인하고 막는 것은 물리적 시간상 한계가 있는 상태"라고 전했다.

이어 "효과적인 보안 대책은 랜섬웨어 등 사이버공격이 시스템 내에서 실행되기 이전에 탐지·제거를 하는 '선제방어'와 대규모 동시 다발적인 사이버공격에 빠르게 대응할 수 있는 '자동화(오토매틱)' 기능이 갖춰야만 가능하다"고 덧붙였다.

한편, 팔로알토 네트웍크는 선제방어와 자동화, 여기에 샌드박스 기능 등을 탑재해 최근 빠르게 유포되고 있는 사이버공격을 효과적으로 방어 가능한 차세대 엔드포인트 보안 솔루션 '트랩스'를 공개했다.

키워드

#팔로알토네트웍스 #선제방어 #자동화 #랜섬웨어 #멀웨어 #악성코드 #워너크라이 #페트야 #에레버스
저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지