[보안뉴스]알약, 2분기에만 랜섬웨어 5만8000여건 차단

내용 요약

이스트시큐리티가 '알약'의 행위기반 사전 차단 기능을 통해 2025년 2분기에만 총 5만 8575건, 하루 평균 약 637건의 랜섬웨어 공격을 성공적으로 차단했다고 발표했습니다. 이는 랜섬웨어 공격이 더욱 정교하게 진화하고 있음을 시사하며, 이에 대응하기 위한 Endpoint Security 솔루션과 특히 Behavior-based Prevention 기술의 중요성을 강조합니다.

핵심 포인트

• 랜섬웨어 공격의 지속적인 증가와 정교화: 하루 평균 637건의 공격 차단은 랜섬웨어 위협이 일상적이며 고도화되고 있음을 보여줍니다.
• ️ 행위기반 사전 차단 기능의 효과성: 알약이 랜섬웨어 공격을 선제적으로 막는 데 핵심적인 역할을 한 기술로, 진화하는 위협에 대한 방어의 중요성을 부각합니다.
• Endpoint Security의 필수적인 역할: 최종 사용자 기기가 공격의 주요 표적이 되는 만큼, 이를 보호하는 솔루션의 필요성을 재확인합니다.

기술 세부 내용

1️⃣ 랜섬웨어 (Ransomware)

• 내용: 랜섬웨어는 악성 소프트웨어의 일종으로, 사용자의 컴퓨터 시스템 접근을 제한하거나 파일(문서, 사진, 비디오 등)을 암호화하여 사용할 수 없게 만든 후, 이를 복구하는 대가로 금전(주로 암호화폐)을 요구하는 사이버 공격 방식입니다. 피해자는 요구된 금액을 지불하지 않으면 데이터가 영구적으로 손실되거나 유출될 위험에 처하게 됩니다.
  • 감염 경로: 피싱(Phishing) 이메일에 첨부된 악성 파일 실행, 악성 웹사이트 방문을 통한 드라이브 바이 다운로드(Drive-by Download), 소프트웨어 취약점(Vulnerability) 악용, 원격 데스크톱 프로토콜(RDP) 무단 침입 등이 주요 감염 경로입니다.
  • 작동 방식: ⚙️ 시스템에 침투하면 중요한 파일들을 찾아내어 암호화 알고리즘을 사용하여 접근 불가능하게 만듭니다. 암호화가 완료되면 사용자에게 복호화 키를 제공하는 대가로 특정 금액을 요구하는 협박 메시지(Ransom Note)를 화면에 띄우거나 파일로 남깁니다.
  • 진화 양상: 초기에는 무차별적인 공격이 주를 이루었으나, 최근에는 특정 기업이나 기관을 표적으로 삼는 표적형 랜섬웨어(Targeted Ransomware)가 증가하고 있습니다. 또한, 데이터를 암호화하는 것을 넘어, 탈취한 데이터를 공개하겠다고 협박하여 금전을 요구하는 이중 갈취(Double Extortion) 방식도 확산되고 있어 피해가 더욱 심각해지고 있습니다.

2️⃣ Endpoint Security ️

• 내용: Endpoint Security는 네트워크에 연결된 최종 사용자 기기, 즉 Endpoint(데스크톱 컴퓨터, 노트북, 서버, 모바일 기기 등)를 사이버 위협으로부터 보호하는 솔루션 및 접근 방식을 총칭합니다. 기업 네트워크의 가장자리이자 공격자가 침투하려는 주요 지점이기 때문에, Endpoint 보호는 전체 보안 전략에서 매우 중요한 위치를 차지합니다.
  • 주요 기능: Endpoint Security 솔루션은 다양한 기능을 통합하여 Endpoint를 보호합니다.
    • 안티-멀웨어(Anti-Malware) 및 안티바이러스(Antivirus): 바이러스, 웜, 트로이 목마, 랜섬웨어 등 악성 코드의 탐지 및 제거.
    • 방화벽(Firewall): 네트워크 트래픽을 모니터링하고 제어하여 무단 접근을 차단.
    • 침입 방지 시스템(IPS, Intrusion Prevention System): 네트워크 침입 시도를 실시간으로 감지하고 차단.
    • 데이터 암호화(Data Encryption): Endpoint에 저장된 민감 데이터를 암호화하여 데이터 유출 시에도 정보 보호.
    • ️ 장치 제어(Device Control): USB 드라이브와 같은 외부 장치 사용을 제어하여 데이터 유출 및 악성 코드 유입 방지.
    • 웹 필터링(Web Filtering): 악성 웹사이트 접근을 차단하여 피싱 및 멀웨어 감염 예방.
  • 중요성: Endpoint는 사용자가 직접 업무를 수행하는 공간이자 외부 데이터와 접촉하는 통로이므로, Endpoint가 뚫리면 내부 네트워크 전체가 위험에 처할 수 있습니다. ️ 따라서 강력한 Endpoint Security는 기업의 정보 자산을 보호하고 비즈니스 연속성을 유지하는 데 필수적입니다.

3️⃣ 행위기반 사전 차단 기능 (Behavior-based Prevention/Detection) ✨

• 내용: Behavior-based Prevention/Detection은 기존의 Signature-based 방식으로는 탐지하기 어려운 신종 또는 변종 멀웨어(특히 랜섬웨어)를 탐지하고 차단하기 위해 개발된 고급 보안 기술입니다. 이 기술은 알려진 악성 코드의 Signature(고유한 특징 또는 패턴)에만 의존하는 것이 아니라, 프로그램이나 프로세스가 시스템 내에서 보이는 '행위'를 분석하여 악성 여부를 판단합니다.
  • 작동 원리: 시스템의 파일 접근, 레지스트리 변경, 네트워크 통신, 프로세스 생성 및 종료, 메모리 사용 등 다양한 시스템 활동을 실시간으로 모니터링합니다. 이러한 행위들이 정상적인 프로그램의 범주를 벗어나거나, 악성 코드가 일반적으로 보이는 특이한 패턴(예: 대량의 파일 암호화 시도, 시스템 파일 변조 시도, 외부 서버로의 비정상적인 데이터 전송)을 보이면 이를 악성 행위로 간주하고 즉시 차단합니다.
  • 장점:
    • Zero-day Attack 방어: 아직 Signature가 생성되지 않은 신종 공격이나 변종 멀웨어에 효과적으로 대응할 수 있습니다.
    • Proactive Protection: 악성 코드가 실제 피해를 입히기 전에, 그 행위를 통해 선제적으로 탐지하고 차단할 수 있습니다.
    • Evasion Technique 대응: Signature를 우회하려는 다양한 기법(난독화, 패킹 등)에도 영향을 덜 받습니다.
  • 랜섬웨어 방어에서의 역할: 특히 랜섬웨어는 파일을 암호화하는 고유한 '행위'를 보이기 때문에, Behavior-based Prevention 기술은 랜섬웨어를 탐지하고 차단하는 데 매우 강력한 효과를 발휘합니다. 파일 암호화 시도를 감지하거나, 암호화 과정에서 발생하는 비정상적인 파일 I/O(입출력) 패턴을 인식하여 랜섬웨어의 확산을 막고 파일 손상을 최소화할 수 있습니다. 이 기술은 알약과 같은 최신 Endpoint Security 솔루션의 핵심 구성 요소입니다.

 

출처: http://www.boannews.com/media/view.asp?idx=138555&kind=&sub_kind=