팔로알토네트웍스가 윈도와 맥OS 뿐 아니라 리눅스용 랜섬웨어 예방 수단을 개발 중이다. 내년 상반기중 엔트포인트 보안솔루션 '트랩스' 새버전을 통해 주요 리눅스 환경을 지원할 계획이다.
이는 기업들이 올 상반기 악명을 떨친 리눅스 기반 '에레보스(Erebus)' 변종 같은 랜섬웨어 공격을 막아 줄 전망이다. 리눅스 기반 에레보스를 동원한 해커는 국내 한 호스팅업체의 리눅스 서버를 감염시킨 다음 데이터 복호화 비용으로 13억원을 갈취한 바 있다.
팔로알토네트웍스코리아는 20일 간담회를 통해 트랩스 최신 버전을 소개하고 기업을 위한 랜섬웨어 예방전략을 제시했다. 트랩스는 엔드포인트 보안솔루션이다. 악성코드와 익스플로잇 차단 기능을 갖췄다. 최신 버전인 트랩스4.0은 윈도뿐아니라 맥OS와 안드로이드 운영체제도 지원한다. 기존 안티바이러스 제품이 막지 못하는 알려지지 않은 랜섬웨어 및 지능형 공격도 차단한다는 게 회사측 설명이다.
회사측은 이날 2016년 1월 와일드파이어 및 멀티스캐너 플랫폼의 월간 보안위협 데이터를 근거로 "세계 상위 6개 안티바이러스 제품에서 탐지하지 못하는 악성코드 파일이 전체의 62.5%에 달하는 것으로 조사됐다"고 지적했다. 매달 등록되는 신규 파일 7천190만건 가운데 530만건의 악성 파일이 발생하는데, 백신은 그중 200만건밖에 탐지하지 못하고 있다는 얘기였다.
최원식 팔로알토네트웍스코리아 대표는 이날 "최근 랜섬웨어는 기존 보안시스템을 회피하는 형태로 진화했고, 사이버 공격 조직은 전문화돼 수백만달러 규모의 범죄모델을 갖췄다"고 말했다.
이어 "지난 10년간 악성코드가 6억개 이상 출현했는데, 이제 (악성코드 개발 속도가 그에) 대응하기 위한 '시그니처' 패턴 제작 속도를 추월하고, 새 악성코드가 탐지되지 않는 기간이 늘고 있다"면서 "직원 교육, 적절한 IT환경 조치, 엔드포인트 보안 고도화로 랜섬웨어 예방 및 대응 전략을 구축해야 한다"고 주장했다.
트랩스4.0은 랜섬웨어와 지능형 공격에 흔히 쓰이는 악성매크로 기능을 차단한다. 마이크로소프트(MS) 오피스나 어도비 PDF 문서에 삽입된 매크로 동작을 막는다. 브라우저나 오피스 애플리케이션의 취약점을 악용하는 스크립트기반 공격도 막는다. 악성코드가 취약한 단말 환경을 식별하는 '익스플로잇킷 핑거프린트' 동작도 방어한다. 운영체제 자체를 노리는 지능형 공격 기법의 일부분인 '커널권한상승' 동작도 제한한다.
트랩스4.0은 맥OS와 안드로이드를 베타 단계로 지원한다. 내년 업그레이드 출시될 새버전에선 리눅스 버전으로도 출시될 전망이다. 팔로알토네트웍스코리아 시스템엔지니어 조현석 부장은 "내년 상반기중 트랩스 새 업그레이드 버전 출시에 맞춰 리눅스 지원이 추가될 것"이라며 "구체적인 지원 배포판 범위나 제공 형태는 아직 확인해줄 수 없다"고 언급했다.
팔로알토네트웍스가 트랩스로 여러 OS를 지원하려는 이유는 랜섬웨어 공격 범위가 확대 추세기 때문이다. 이전의 공격자들은 주로 MS 윈도를 주로 노렸지만 랜섬웨어 공격은 안드로이드, 리눅스, 맥OS까지 아우른다는 설명이다.
회사 측은 "인터넷 연결이 가능한 모든 컴퓨터와 디바이스는 잠재적인 랜섬웨어 표적이 되며 사물인터넷(IoT) 확대에 따라 보안위협 상황이 더 빈번해질 여지가 있다"고 경고했다.
팔로알토네트웍스 측은 트랩스가 기존 안티바이러스로 대응하지 못하는 보안위협까지 방어할 수 있다고 주장했다. 기존 안티바이러스는 알려지지 않은 취약점기반 공격, 시그니처가 만들어지지 않은 맬웨어 공격, 표적공격 위협을 막아내지 못하고 있다. 이와 별개로 패턴기반 및 행위기반 탐지 및 대응 솔루션은 엔드포인트 보호를 위해 CPU, 메모리, 디스크 등 시스템 자원을 다량 요구한다는 평가다.
관련기사
- 국내 출몰 악성코드 58.5%가 랜섬웨어2017.07.20
- "게임을 시작해 볼까요"…직소 랜섬웨어 변종 발견2017.07.20
- 백기승 원장 “사이버 침해 급증, 새 대응법 필요”2017.07.20
- 인터넷나야나, 랜섬웨어 피해 1차 복호화 마무리2017.07.20
팔로알토네트웍스는 트랩스가 이런 문제를 극복한 차세대 엔드포인트 보안솔루션이라고 주장했다. 몇 분 이내의 랜섬웨어 공격 피해를 완화하거나 예방할 수 있을만큼 빠르게 동작하면서 엔드포인트에 요구하는 자원 부담이 적다고 강조했다. 파일 해시 기반으로 알려진 맬웨어 공격을 차단하고, 알려지지 않은 여러 취약점 공격을 보호하고, 관련 동작을 조직의 다중 보안 정책과 연계할 수 있으며, 관리자 개입 없는 자동화 샌드박싱 기능도 제공한다고 설명했다.
트랩스의 방어기능은 팔로알토네트웍스의 클라우드기반 지능형지속위협(APT) 방어 및 대응솔루션 '와일드파이어'에 연동해 돌아간다. 또 수집된 악성코드 파일, 네트워크보안관리플랫폼 '파노라마'의 위협인텔리전스를 통해 엔드포인트뿐아니라 방화벽, 클라우드, 서비스형소프트웨어 애플리케이션 전체의 보안을 연계할 수 있다.