건강만 생각하는 미소편백

Category

  1. 오에스매니아


보안/해킹
스폰서링크

MS, 기업용 윈도10 OS에 새로운 보안 기능 탑재

(지디넷코리아=임민철 기자)최신 윈도 운영체제(OS)가 랜섬웨어 방어 기능을 품었다. 마이크로소프트(MS)가 기업용 윈도10 내장형 보안 소프트웨어(SW) 역할을 확대한 결과다. 보안 강화를 원하는 기업 시장에서 윈도10 확산 촉매로 작용할지 주목된다.

기업용 윈도10의 자체 보안 기능 강화는 차세대 OS 도입을 고려할 때 보안 문제를 우려하는 기업 시장에 긍정적으로 해석될 수 있다. 동시에 윈도10용 엔드포인트 보안 제품을 공급하는 서드파티 보안 솔루션 회사들의 역할을 빼앗을 가능성도 엿보인다.


 

방문자가 많은 인기 웹사이트의 배너광고에 랜섬웨어를 심어 보안에 취약한 PC나 노트북이 해당 사이트에 방문하기만해도 감염되는 사례들이 속출하고 있다.

■ 백신 담 넘은 랜섬웨어 잡는다

MS 윈도디펜더ATP 리서치팀의 멤버 토미 블리자드는 지난달말 맬웨어프로텍션센터 블로그 포스팅을 통해 윈도10용 보안SW의 랜섬웨어 방어 기능을 소개했다. 안티바이러스 제품으로 알려진 '윈도디펜더ATP'로 랜섬웨어 대응까지 할 수 있게 됐다는 설명이었다.

[☞참조링크: Averting ransomware epidemics in corporate networks with Windows Defender ATP]

블리자드는 포스팅에 이메일과 웹이 주된 랜섬웨어 전달 통로라는 점을 지적했다. 랜섬웨어 공격자는 이런 수단을 통해 광범위하게 랜섬웨어 공격을 수행한다고 진단했다. 다른 사이버공격 그룹과 달리, 일반적인 랜섬웨어 공격자의 전술은 개별 조직 맞춤형이 아니라고 평했다.



 

 기업 엔드포인트 환경에 가장 많이 침입한 랜섬웨어 군집별 비율. 케르베르 랜섬웨어가 가장 높다. [자료=마이크로소프트]

랜섬웨어 공격이 개별 조직 맞춤형보다는 불특정 다수를 겨냥하고 있다면, 그 표적의 공통분모가 되는 환경의 보안을 강화하는 걸로 잠재적 피해 규모를 줄일 수 있다. MS가 본 랜섬웨어 표적 최대 공통분모는 '윈도' 환경이므로, 윈도 보안 강화는 피해 감축으로 연결될 수 있다.

MS는 랜섬웨어 공격 방식을 여러 단계별 동작으로 나누고, 각 동작을 탐지 및 차단하는 형태로 랜섬웨어 피해를 막을 수 있다고 봤다. 랜섬웨어는 사용자 데이터 훼손 후 금품을 요구하는 걸 목표로 삼는다. 데이터를 다루는 기본 환경인 OS의 보안이 최종 방어선 성격을 띤다.

지금도 사용자 기기에 백신과 같은 엔드포인트 보안SW가 설치돼 있다면 사용자가 랜섬웨어를 내려받지 못하게 막아 준다. 하지만 MSOS 수준에서 이미 사용자가 내려받은 랜섬웨어의 동작을 탐지 및 차단하거나, 최소한 그걸 도울 수 있는 역할을 해야 한다는 입장이다.

인용된 블로그 포스팅에도 이런 MS의 구상이 담겼다. 블리자드가 작성한 영어 포스팅 일부를 한국어로 옮기면 아래와 같다.

"엔드포인트 보안SW가 랜섬웨어를 막는 데 실패한 '침입 후' 또는 '감염 후' 단계에도 기업은 포괄적인 대응수단 정보를 제공하는 '침입 후' 탐지 솔루션의 도움을 얻고, 서둘러 그런 대응수단을 활용하는 조사에 나설 수 있다. …(중략)… 윈도디펜더ATP로 기업은 이런 최초 사례를 빠르게 식별하고 조사할 수 있고, 대응수단 정보를 포착해 더 광범위한 네트워크를 선제적으로 보호할 수 있다."

■윈도10 내장 보안툴, 침입 단계별 유해동작 탐지

블리자드는 포스팅의 이어지는 내용으로 윈도디펜더ATP에 탑재된 랜섬웨어 탐지 및 차단 기술이 어떻게 동작하는지 소개했다. 유명 랜섬웨어 군집인 '케르베르(Cerber)'의 동작을 어떻게 탐지하고 차단하는지 등을 설명한 것이다.


 

랜섬웨어 공격 진행 단계 중 파워셸 명령어 실행을 탐지한 윈도디펜더ATP 보안 기능. [자료=마이크로소프트]

케르베르 랜섬웨어 감염 시나리오는 사용자 PC의 웹메일 클라이언트를 통해 '다운로드' 폴더에 문서 파일을 내려받는 것으로 시작된다. 사용자가 이 문서를 열고 삽입된 매크로 기능 실행을 허용하면, 윈도 내장 명령줄 도구 파워셸(Powershell)이 열린다.

파워셸 명령어를 통해 다른 랜섬웨어 공격 구성요소들이 PC에 추가로 전달된다. 윈도디펜더ATP는 이 파워셸 명령어를 탐지해낸다. 그리고 랜섬웨어 공격 과정에 익명 인터넷 '토르(TOR)'에 연결된 파워셸 명령어 스크립트가 내려받아 실행될 때 경고를 띄운다.

보안대응센터(SOC) 담당자가 이런 경고 표시를 통해 접속이 수행된 소스IP를 파악하고 방화벽에 이 IP주소 차단 명령을 내려서 다른 기기에 공격용 실행파일 다운로드로 이어지는 상황을 막을 수 있다.

임시저장(Temp) 디렉토리에 공격용 파일이 다운로드 되더라도, 그 실행 과정을 막을 수 있다. 실행파일은 cmd.exe 프로세스로 동작한다. 이어 자신을 '사용자(Users)' 폴더에 복사해 스스로 실행한다. 윈도디펜더ATP에 탑재된 머신러닝알고리즘이 이런 동작을 탐지해 막는다.

케르베르 랜섬웨어는 사용자 PC의 시스템복구지점과 모든 볼륨(volume, 파일 저장구획 단위)을 삭제해 사용자 스스로 파일을 되살릴 수 없게 만든다. 이 동작 역시 윈도디펜더ATP가 탐지해낸다.


 

 윈도 시스템 복구 영역 데이터를 없애려는 랜섬웨어 악성코드 동작을 탐지한 윈도디펜더ATP 보안 기능. [자료=마이크로소프트]

■윈도디펜더ATP, 기업보안담당자 이렇게 돕는다

블리자드의 포스팅을 통해 MS가 주장한 윈도디펜더ATP의 랜섬웨어 대응 기술이 기업에 제공하는 이점은 다음 몇 가지로 요약된다.

우선 앞서 설명한 방식으로 감염 과정에서 적어도 4번에 걸친 경고를 띄워 대응 기회를 만들어 준다. 그리고 케르베르 랜섬웨의 다양한 버전, 샘플, 감염 인스턴스의 기술 구성이 바뀌더라도 이를 찾아내는 데 도움이 된다.

SOC 담당자는 윈도디펜더ATP가 제공한 여러 번의 공격 단계별 경고와 같은 맥락형 정보를 활용해, 대상 시스템을 조사하거나 전체 조직의 엔드포인트 기기를 아우르는 상황 파악에 나설 수 있다.

또 공격 목적을 달성한 랜섬웨어가 없었더라도 윈도디펜더ATP 콘솔 안에서 파일 및 네트워크 활동 정보로 결정적인 단서를 얻을 수 있다.

MS 측이 예로 든 공격 시나리오의 케르베르 랜섬웨어는 hjtudhb67.exe 실행파일을 추가로 내려받았는데, 윈도디펜더ATP 콘솔은 이름이 같은 다른 파일을 23건 찾아냈다. 이 파일은 한순간에 모두 내려받은 게 아니었다. 대략 10일간 해당 조직의 여러 기기에 걸쳐 생성됐다.

MS는 공격용 실행파일을 제공한 소스IP를 조사해 그 IP주소에 연결된 기기 10대를 찾아냈다. 기업 방화벽에서 해당 소스IP를 차단하면 이 케르베르 랜섬웨어 공격용 실행파일이 다른 기기로 옮아 가는 시도를 막을 수 있다고 설명했다.

MS는 윈도디펜더ATP가 기업의 SOC 담당자에게 랜섬웨어 감염 후 탐지 및 차단, 피해 확산 방지를 위한 조사 등의 활동을 돕는다고 강조했다. 악성활동 신호를 탐색하고 수집하는 MS의 클라우드애널리틱스가 이런 기술을 실현해 줬다고 덧붙였다.

MS는 오는 4월 출시를 예고한 윈도10 크리에이터스업데이트를 통해 윈도디펜더ATP 보안 기능이 한층 강화될 것이라고 예고하기도 했다. 감염된 기기의 네트워크 절체(isolation), 공격용 실행파일 격리 등 역시 사이버침해 발생 이후 대응 단계가 더 추가될 예정이다.

임민철 기자(imc@zdnet.co.kr)


http://news.naver.com/main/ranking/read.nhn?mid=etc&sid1=111&rankingType=popular_day&oid=092&aid=0002111125&date=20170207&type=1&rankingSectionId=105&rankingSeq=16



profile 시간은 너무 없고 할 일도 너무 없다
엮인글 :

놀이터 인기 글


계담술 

2017.02.08 09:44:39
*.44.68.178

유용한 정보 업 하시느라 수고 하셨습니다.


Bobono 

2017.02.08 12:14:27
*.161.178.194

유용한 정보 고맙습니다.

shaula 

2017.02.08 20:39:05
*.5.194.99

여러가지 방패가 등장하는군요...ㅎ

블루라운드 

2017.02.08 22:20:27
*.229.20.120

감사합니다.

무무심 

2017.02.08 22:51:28
*.249.221.133

정보 감사합니다

profile

프리네 

2017.02.09 06:51:31
*.212.248.12

OS 차원에서 지원해주면 더욱 좋을듯 한데...

정보아주 

2017.02.09 23:38:12
*.226.130.143

감사합니다.

profile

홀로선비 

2017.02.10 09:45:20
*.212.207.187

정보 감사합니다...정말 막아줬음 좋겠네요 ㅎ


무정 

2017.02.10 17:30:38
*.229.40.158

여타백신 설치하지 않고 윈도우디펜더만을 사용중.. 아직까지는 무슨 문제점이 보인적은 없었습니다.

윈도우 디펜더만으로도 걸러주는게 귀찮을정도로 많더군요.


어줍짢은 백신 주저리주저리 깔아봤자...특히 블루, 그린 스크린 제조기 안랩은...

차라리 없는게 훨씬더 쾌적하고 효율적입니다.


바이러스 진흙탕속을 누비시는 분들이야 물론 다른 대비책을 갖추셔야 하겠지만...

일반적인 사용자의 입장에서...


가리안 

2017.02.13 21:38:44
*.234.87.122

백신이나 랜섬웨어 대응프로그램 대응업체 죽을 맛이겠어요.....

역시 모든것은 초기에 한분들만 이득보는군요....


쿨가이69 

2017.02.14 15:29:37
*.232.30.80

암튼 조심하는것밖에 답이 없네요..

짜가 

2017.02.15 08:36:19
*.33.61.18

백업만이 정답인거 같읍니다

profile

쪼쪼 

2017.02.15 15:01:22
*.232.176.56

백신에 의지하지 않고 주기적으로 백업해야겠네요

profile

동방오타 

2017.02.16 08:41:52
*.246.235.10

고맙습니다. ^^;

Oiff 

2017.02.23 09:36:17
*.205.154.84

감사합니다.

멘소레담 

2017.03.03 21:32:17
*.106.9.150

정보 감사합니다~~

sonagisky 

2017.03.07 17:02:40
*.81.72.135

유익한 정보 감사합니다. ^^*

발자국 

2017.03.27 06:58:00
*.92.4.88

유용한 정보 고맙습니다.

막아두었는데  다시풀어 주어야 겠습니다.

hallasan 

2017.04.09 20:49:51
*.43.217.138

감사합니다.

pavkim 

2017.04.26 01:19:53
*.223.124.69

일주일에 한번씩 백업해야겠네요

남자의공간 

2017.05.16 18:24:53
*.34.241.190

불안해서 컴 켜기도 무섭군요

웃기는놈 

2017.05.26 23:45:36
*.205.200.134

좋은 정보 감사합니다

concentric 

2017.07.03 08:34:44
*.141.240.171

소식 감사합니다


나울PC 정치 베스트
건강만 생각하는 미소편백
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file [7] Op 16.10.16 74
158 보안 소식 '안전'표시 믿었는데…HTTPS 허점 악용한 피싱 사이트 주의 [4] j1159 17.2.25 82
157 백신 자료 영국 소포스 홈 안티바이러스 무료 [4] j1159 17.2.25 65
156 일반 KISA, "SW 업데이트만 잘해도 악성코드 방지" [7] j1159 17.2.24 88
155 일반 [CIO서밋 2017]시만텍 "클라우드 환경에 맞는 통합 보안 필요" [5] j1159 17.2.24 57
154 보안 소식 유명 단체 사칭에 한국어 상담까지’… 한국 맞춤형 랜섬웨어 피해 확산 중 [7] 크로커스 17.2.24 83
153 보안 소식 미국 대통령 ‘트럼프’ 랜섬웨어 등장 [8] 크로커스 17.2.24 64
152 일반 Daum 비번알아내려고 하는 메일을 받았네요. [6] j1159 17.2.23 97
151 일반 [소식] 바다이야기, 오픈소스로 공개된 사회 암덩어리 [5] j1159 17.2.23 49
150 일반 광고를 통해 유포되는 Cerber 랜섬웨어 [8] j1159 17.2.23 68
149 보안 소식 ESET, Flash Player 업데이트로 가장한 안드로이드 다운로더 발견 [출처] ESET, Flash Player 업데이트로 가장한 안드로이드 다운로더 발견 [5] j1159 17.2.22 113
148 보안 소식 10만원만 줘! 저가형 랜섬웨어 ‘에레보스’ 등장 [7] j1159 17.2.21 162
147 보안 소식 `AI 해커` 대비 해킹방어훈련 플랫폼 개발한다 [6] j1159 17.2.21 73
146 백신 자료 알약,V3 이후 10년여 만에 국내 백신 출시 MAX Anti-Virus (공개 베타테스트) [6] j1159 17.2.20 196
145 보안 소식 진화하는 '한국 맞춤형' 랜섬웨어.. 교육 일정표 위장한 '비너스락커' 변종 국내서 발견 [6] j1159 17.2.20 94
144 보안 소식 암호화 랜섬웨어 75%, 러시아권 범죄조직서 배포 [10] 쪼쪼 17.2.17 134
143 보안 소식 자연스런 '한글 이메일'…신종 랜섬웨어 '비너스락커' 주의보 [12] 크로커스 17.2.14 174
» 보안 소식 백신이 못 막는 랜섬웨어, 윈도가 막나 [23] 크로커스 17.2.8 670
141 보안 소식 원조 해커는 전기기차 속도를 높이려는 모범생이었다 [11] 구름 17.2.3 314
140 보안 소식 일반 사용자들이 꼭 실천해야 할 보안 관련 팁 9가지 [16] 구름 17.2.1 315
139 보안 자료 20개 넘는 랜섬웨어 변종 잡아내는 무료 툴 6개 [22] 크로커스 17.1.31 524