랜섬웨어가 ‘먹히는’ 이유 제4탄: 서버를 보호하라!

게시일: 2016-10-26 l 작성자: Trend Micro

본 포스팅은 랜섬웨어가 개인과 기업을 공격하기 위해 사용하는 여러 기법과 그 영향력을 살펴보기 위한 시리즈의 마지막 게시글입니다. 랜섬웨어의 위협을 최소화하고, 공격에 대응하기 위한 최선의 방법은 기업 네트워크의 다양한 요소들(게이트웨이, 엔드포인트, 네트워크, 서버)에 다층 보안 설계를 적용하는 것입니다.





랜섬웨어 시리즈의 이전 게시글은 하단 링크를 통해 확인하실 수 있습니다.

트렌드마이크로 상반기 위협 분석 보고서에서는 랜섬웨어로 인해 암호화된 파일의 절반 이상이 기업과 직접적으로 연관된 파일이라는 것을 언급하고 있습니다. 서버상의 데이터 파일, SQL 파일, 그리고 웹페이지는 가장 쉽게 공격의 대상이 되는 파일 유형입니다. 기업 입장에서 서버를 공격하는 랜섬웨어는 반드시 대응이 필요합니다. 아래는 랜섬웨어가 서버를 공격하기 위해 어떤 방식으로 진화하는지 알아보고 이러한 위협으로부터 어떻게 방어할 것인지에 대한 솔루션을 논의합니다.

엔드포인트 랜섬웨어의 전염

서버는 랜섬웨어의 직접적인 공격을 받는 경우도 있지만, 동일 네트워크에 속한 엔드포인트에 감염된 랜섬웨어 전염으로 인한 간접 공격을 받는 것이 일반적입니다. 파일 공유 기능은 이러한 공격을 가능하게 하기 때문에 랜섬웨어 패밀리가 사용 가능한 공유 네트워크를 탐색하는 것은 흔한 패턴이 되었습니다. 랜섬웨어의 공격 방식에 따라, 결국 더 많은 서버에 직접적인 영향을 가할 수 있습니다.

익스플로잇 공격의 표적

파일 공유 기능이 아니더라도 서버는 직접 공격의 위험에 노출되어 있습니다. 랜섬웨어가 주로 사용하는 공격 벡터(피싱 캠페인, 악성광고 등)가 서버에는 적용되지 않지만, 취약점을 이용한다면 직접적으로 공격할 수 있습니다.

최근 SAMSAM 랜섬웨어의 병원 공격 사건은, 서버가 어떻게 랜섬웨어의 공격 대상이 될 수 있는지 보여주는 좋은 예시입니다. JBoss(자바 기반 웹 애플리케이션 서버)의 취약점을 통해 기관 내 서버에 침투한 뒤 웹셸을 추가하여 공격자가 시스템을 원격 제어할 수 있게 하였습니다.

그때부터, 서버에 있는 파일은 암호화의 대상이 됩니다. 공격자는 감염된 네트워크 내 이동을 시도하여 더 높은 수익을 낼 수 있는 공격 대상을 찾아낼 수도 있습니다. 결과는 동일합니다. 파일이 암호화 되어 공격자가 몸값을 요구할 수 있게 됩니다.

서버를 공격하는 랜섬웨어는 개별 시스템을 공격하는 것과 비교하여 시간과 노력이 더 투자되어야 합니다. 하지만 공격이 성공할 경우 더 높은 보수를 얻을 수 있습니다. 예를 들어, 2016년 2월 할리우드 장로병원(미국 캘리포니아)의 랜섬웨어 공격으로 40BTC의 몸값을 얻었습니다. 이는 미화 약 $17,000상당 입니다.

무차별 대입 공격

조직의 서버를 위협하는 것은 취약한 애플리케이션뿐만이 아닙니다. 최근 FAIRWARE 멀웨어 패밀리가 무차별 대입 공격을 통해 서버로 침투했다는 것이 보고되었습니다. 이 공격은 웹서버를 주로 공격하였으며, 몸값으로 2BTC를 요구하였습니다.

FAIRWARE외에도 이러한 유형의 공격을 수행할 수 있는 벡터가 있습니다. Crysis 랜섬웨어 패밀리는 자신의 원격 데스크톱 프로토콜(RDP)이 인터넷에 개방되어 있는 시스템에 무차별 대입 공격을 시도했습니다.이것은 일반 데스크탑과 서버를 모두 포함할 수 있습니다. 무차별 대입 기기를 통해 네트워크로 침투하여 추가 공격을 위한 발판을 마련할 수 있습니다.

이러한 공격은 네트워크의 의심스러운 행동을 탐지하는 보안 솔루션을 통해 완화할 수 있습니다. 또한 초기 설정된 암호를 변경하고 원격 네트워크에서의 로그인을 허용하지 않는 방법으로 위협을 완화할 수 있습니다.

표적 공격의 유사성

서버를 표적으로 하는 정교한 랜섬웨어 공격은 다음의 유사성을 가지고 있습니다. 어떤 수단을 통해 조직에 침투하여 공격 대상에 대한 추가 정보를 얻습니다. 적합한 공격 대상이 선정되면 이에 따른 적절한 공격이 가해집니다. 표적형 공격의 경우 정보 탈취의 형태로, 랜섬웨어의 경우 암호화의 형태입니다.

이것은 표적형 공격에 대응하기 위한 솔루션이 랜섬웨어 공격 대응에도 적용될 수 있다는 것을 의미합니다. 특히 효과적인 하나의 해결책은 바로 적절한 패치 관리 전략일 것입니다.

패칭 시기를 놓치지 말아야 하는 이유

기업의 환경을 보호하는 것과 비즈니스 운영을 유지하는 것에 균형을 유지하기란 매우 까다롭습니다. IT 관리자들은 네트워크 경계를 확보하면서 일상 업무를 지원하고, 중요한 서비스의 가동 시간을 유지하는 불가능 해 보이는 과제에 직면합니다. 새로운 패치가 발표되면 실제 시스템에 배포하기 전에 테스트를 실시해야 합니다. 따라서 많은 경우 패치가 백 버너에 안착하는 경우가 발생합니다. 미션 크리티컬 시스템 및 서버를 재부팅해야 하는 경우 생산성에 부담이 될뿐더러 비즈니스 중단이 발생할 수 있기 때문입니다. 물론, 빠른 패치를 하지 않을 경우 위험에 노출되어 있는 것은 당연합니다.

이러한 문제를 해결하기 위해 가상패치를 사용할 수 있습니다. 기업에서 즉시 패치를 적용하지 않더라도, 암호화 랜섬웨어로부터 보호됩니다. 이 솔루션 기술은 IT 관리자가 다운타임 및 추가 운영비용 없이 취약한 서버와 엔드포인트를 보호할 수 있습니다.

서버 솔루션

랜섬웨어에 관해서는 묘책이 없습니다. 다층 보안 설계를 통한 대책만이 위험을 완화할 수 있는 가장 적합한 방법입니다. 이 단계는 서버에 대한 이메일과 웹 보안, 엔드포인트 보안, 네트워크 솔루션 및 보안을 포함합니다.

트렌드마이크로 Deep Security는 랜섬웨어로 인해 발생할 수 있는 서버에 대한 위협에 대응하기 위한 솔루션입니다. 물리적, 가상화, 또는 클라우드를 포함한 다양한 서버 환경에 다음 3가지 주요 기능을 활용하여 보호합니다:

  • 의심스러운 행동 탐지 및 방지: 만약 랜섬웨어가 데이터센터에 접근하기 위해 시도할 경우(예, 파일 또는 웹 서버에 접속을 시도하는 위조된 사용자 계정), Deep Security는 의심스러운 네트워크 행동을 탐지하고 추가 행위를 방지함과 동시에 문제 발생에 대한 경고를 합니다.
  • 취약점 보안: ‘가상 패칭’은 패치 또는 픽스가 적용되기 전까지 알려진 소프트웨어 취약점을 공격하는 랜섬웨어로부터 서버와 애플리케이션을 보호합니다.
  • 측면 이동 탐지: 랜섬웨어가 데이터센터에 침투한 경우 Deep Security는 다른 서버로의 확산을 탐지 및 차단하여 영향력을 최소화합니다.

앞서 말한 바와 같이, 취약점을 공격하는 멀웨어로부터 보호하기 위해 가장 중요한 것은 패치 관리입니다. 트렌드마이크로 Deep Security는 침입 탐지 및 방지가 가능한 가상 패칭 기능을 탑재하고 있습니다. 이 포괄적인 솔루션은 취약점 공격 및 기타 관련 멀웨어 페이로드로부터 기업과 조직을 보호할 수 있습니다. 취약점을 악용한 공격이 오늘날 사이버 위협 지형에 만연한 만큼, 가상 패칭은 절대 기준의 필요성이 되고 있습니다.


원문: The Last Key on The Ring – Server Solutions to Ransomware