고도화되는 서비스형 랜섬웨어(RaaS) 그 특징과 대응방안
KARA는 지난 3개월 간의 랜섬웨어 트렌드 분석과 주요 랜섬웨어 별 특징과 대응방안을 담은 보고서를 발간했습니다. 특히 데이터 파괴형 랜섬웨어 'BlackCat'과 데이터베이스...
코로나로 인한 재택근무와 디지털전환에 따라 지능형 위협이 지속적으로 증가하고 있습니다. 이제 랜섬웨어는 개인을 넘어 기업으로 확대되고 있습니다. 이미 기업의 비즈니스 위협요인으로 인식되고 있으며 실제 40% 넘는 기업에서 공격을 경험하였다고 합니다. 재택/원격 근무로 인한 정보유출 사례는 증가하고 있으며 기업 내부 접속을 위한 VPN(가상사설망) 연결 계정정보 등이 버젓이 거래되고 있습니다.
이러한 지능형 위협에 대응하기 위한 솔루션으로 EDR(Endpoint Detection & Response)이 주목받고 있습니다. 이미 다수의 고객이 EDR을 도입하여 지능형 위협을 사전에 차단하고 진행중인 위협의 확산을 탐지/대응하고 있습니다.
지니언스(주)에서는 앞으로 몇 회에 걸쳐 EDR 솔루션을 도입하여 활용중인 고객의 사례를 소개할 예정입니다. 해당 내용은 인터뷰 또는 서면 질의를 통해서 확인된 내용을 재구성한 것이며 담당자 및 기관명, 스크린샷 등은 고객 및 고객사의 정보보호를 위하여 알려드릴 수 없거나 유사한 내용으로 대체되었음을 양해 부탁드립니다.
오늘 첫 번째로 소개드릴 고객사는 중앙부처/공공기관 입니다. EDR 도입 및 활용을 고민하고 계시는 분들께 많은 도움이 되기를 희망 합니다.
정책을 담당하는 관리팀 과 사이버 침해 위협 대응 및 관제 업무를 수행하는 보안팀, 2개 팀으로 구성되어 있습니다.
저는 의심/악성 이메일, 악성코드 등 사이버 침해 및 위협 등에 대한 포괄적인 대응 업무를 수행하고 있습니다. 주로 어떠한 위협이 탐지/보고되면 대응을 어떻게 할지, 추가로 무엇을 찾아볼지, 수집된 정보를 어떻게 판단해야 하는지 등을 고민하고 결정하는 업무를 주로 수행하고 있습니다.
APT 등 지능형 공격이 지속적으로 발생하는 가운데, 지금보다 능동적 대응이 필요하다고 판단했습니다. 또한 저희는 많은 지사(Branch)를 보유하고 있는데 지사에서 운용되는 인터넷 PC에 대한 정보보안을 강화하기 위한 목적으로도 도입이 검토 되었습니다.
의심스러운 행위나 어떠한 위협이 탐지되면 관련된 조사와 분석 등이 필요합니다. 특히 PC를 조사해야 하는 일이 있는데 다수의 사용자들은 저희의 요청사항이나 보안점검 등을 어렵고 귀찮다고 생각합니다. 그래서 PC의 보안 점검을 위해 PC에 직접 접속하지 않고 관련 기능을 수행할 수 있으면 좋겠다. 라고 생각했고요......
특정 PC에서 어떠한 이벤트가 발행했을 때, 전체 PC를 대상으로 동일한 이벤트를 검색하고 대응하는 것은 매우 효과적인 방법입니다. 그래서 다양한 형태나 방법을 지원하는 통합검색등이 가능한지 등을 기준으로 삼았습니다.
마지막으로 이러한 작업이 업무에 영향을 주면 안 되기 때문에 검색속도나 낮은 자원점유(CPU, MEM 등)율 등을 검토 했습니다.
저희는 별도로 백신(안티바이러스)을 사용하고 있습니다. 그리고 백신 개발사의 지원도 잘 되는 편이어서 EDR에서 핵심적인 부분은 아니라고 생각했습니다.
외산제품 2개, 국내 제품 5개를 검토 했습니다.
많은 제품을 보았는데 저희에게 필요한 기능 관점에서는 외산 제품과 비교했을 때 크게 차이가 난다고 생각하지 않았습니다. 오히려 생각보다 많은 기능을 제공하고 있어서 솔직히 놀랐습니다.
도입 이후에도 관제 및 실제 사용을 위해서 다양한 요구사항이 있었는데 다행히 개발사에서 관심을 가지고 꾸준히 커스터마이징 개발 등을 진행해 주셨습니다.
저희는 크게 세 가지 용도로 EDR을 사용하고 있다고 볼 수 있습니다.
가장 주된 용도는 PC에서 악성행위가 발생하는지 관제목적으로 사용하고 있습니다. 로그를 보거나 대시보드의 위젯을 봅니다. 업무와 관련된 특정한 이벤트를 탐지하기 위해서 다양한 위젯을 만들 수 있습니다. 위젯을 보면 한눈에 전체를 파악할 수 있어 유용합니다.
다양한 위젯 및 통합 대시보드 지원
의심스럽거나 모니터링이 필요하다고 생각되는 단위 행위/이벤트를 위젯으로 만들어서 빠른 확인이 가능합니다. 통합 대시보드를 통해 단말(PC)의 가시성을 최대화 할 수 있습니다.
[다양한 단말행위 및 이벤트를 위한 위젯, 전체현황과 예외상황의 빠른 확인이 가능]
둘째는 악성 이벤트가 탐지되면 조사 및 분석툴로 사용합니다. EDR 자체의 탐지 기능을 활용하기도 하지만 방화벽이나 IPS등 타 보안제품에서 탐지된 이벤트를 바탕으로 EDR에서 추가 또는 교차로 조사를 하는 경우가 있는데 의미 있는 정보를 찾는 경우가 꽤 있습니다. 이를 통해서 종전 대비 분석 및 대응능력이 향상되었다고 내부에서 평가하고 있습니다.
통합검색 및 분석
탐지된 위협의 세부정보 및 연관정보를 확인할 수 있으며 동시에 프로세스 킬, 덤프(dump) 등의 즉시 대응이 가능합니다. 이상행위(Fileless)의 경우 MITRE ATT&CK 정보를 확인할 수 있습니다.
[ 탐지된 위협에 대한 세부정보 및 연관정보 확인]
마지막으로 전체 PC를 대상으로 악성코드 감염 및 보유 여부 등을 확인하기 위해 사용합니다. 사용자 정보나 부서, 위치 등을 확인할 수 있는데 이를 통해서 피해 확산에 대한 여부를 가늠할 수 있습니다. 기존에는 확인이 불가능 했던 부분입니다.
지사에서 주기적으로 문서파일을 인터넷에 업로드 하는 PC를 탐지한 경우가 있었습니다. 해당 PC를 조사해 보니 악성코드가 설치되어 2019년부터 활동하고 있어 조치한 경우가 있습니다.
C&C로 추정되는 서버에 접속하는 PC를 탐지하여 차단한 경우도 있습니다. 관계기관에서 악성 URL을 받았는데 IP가 아니다 보니 보유하고 있는 방화벽이나 침입차단시스템(IPS)에서는 조사가 불가능 했습니다. EDR에서 전체PC를 대상으로 접속여부를 검색하여 몇 대의 PC를 찾아서 조치했습니다.
공격스토리라인 (EDR 위협탐지의 꽃)
위협이 탐지되면 관련된 파일/프로세스 등의 실행 관계 표시하여 위협의 전체를 빠르게 확인할 수 있으며, 프로세스제어 및 파일수집 등의 제어 기능을 수행할 수 있습니다.
[유입경로 및 활동을 한눈에 파악할 수 있는 공격 스토리라인]
앞에서 말씀 드린 것 같이 이벤트를 검색하고 교차로 분석할 수 있는 기능이 가장 만족스럽습니다.
악성코드 감염 시, 유입경로를 찾아 원인분석 및 대응을 해야 하는데 일부 동작 방식에 따라 최초 유입경로를 확인할 수가 없는 경우가 있습니다. 이 경우 종전과 같이 PC를 직접 점검하는 방식을 계속 사용하고 있습니다. 기술적인 어려움이 있는 부분이지만 개발사도 인지하고 있는 내용이고 해결의 의지도 있어서 개선 될 것이라고 기대하고 있습니다.
머신러닝 탐지 기능이 악성코드 탐지에만 국한되어 있는 점도 아쉽습니다. 저는 오히려 발생하는 이벤트에 머신러닝이 적용되면 실제 사용에 매우 도움이 될 수 있을 것이라고 생각합니다. 이 부분 역시 개발사에 적극 요청해 둔 상태입니다.
특별히 불만이나 불편함이 접수된 경우는 없는 것 같습니다. EDR 설치에 대해서 공지/공문 등은 발송한 상태입니다. 그런데 다수의 직원들은 인지하지 못하고 있는 것 같습니다.
현재는 재택이나 원격 근무자에게는 EDR을 적용하지 않고 있습니다. 저희는 별도의 시스템으로 해결해야 한다고 생각하고 있습니다. 이를 위한 보안정책 등은 향후에 준비할 예정입니다. EDR을 적용할지 여부는 추후에 검토할 예정입니다.
목적을 명확하게 하시는 게 중요하다고 생각합니다. 저희는 단말에서 발생하는 이벤트를 검사하고 타 보안 솔루션과의 교차조사를 통해서 위협을 탐지하고 대응하기 위한 목적으로 EDR을 도입했고요 현재 만족하면서 사용하고 있습니다.
KARA는 지난 3개월 간의 랜섬웨어 트렌드 분석과 주요 랜섬웨어 별 특징과 대응방안을 담은 보고서를 발간했습니다. 특히 데이터 파괴형 랜섬웨어 'BlackCat'과 데이터베이스...
- 정교한 PC 행위분석으로 지능형 공격 방어 - 랜섬웨어·APT 차단해 안전한 행정 서비스 보장 - 공격 시작되는 엔드포인트 보호해 공공서비스 안정성 강화