삼성SDS "백신으로 랜섬웨어 방어 한계…EDR 주목하라"

2021-09-24 14:45

[사진=게티이미지뱅크]


올해 상반기 미국 송유관 운영업체 콜로니얼파이프라인, 육가공업체 JBS의 미국지사, IT보안관리 업체 카세야가 랜섬웨어 공격을 당했다. 미국 정부는 자국민의 실생활에 직접 악영향을 끼친 랜섬웨어를 '안보 위협'으로 규정하고 공식 대응에 나섰다.

지난달 초 한국 정부도 관계부처 합동 랜섬웨어 대응 강화방안을 내놨다. 과학기술정보통신부는 민관 연계 사이버위협 대응을 위해 공공과 민간 분야별로 나뉜 사이버보안 법제도를 합쳐 체계화하는 '사이버보안 기본법' 제정도 추진하기로 했다.

24일 업계에 따르면 랜섬웨어 방어를 위해 보안대책을 세우려는 기업들의 고민은 기존 보안체계에 더해 무엇을 어떻게 해야 하는지, 기술적으로 무엇을 검토해야 하는지로 요약된다. 올해 들어 보안 사업을 집중 강화하고 있는 IT서비스 기업 삼성SDS는 최근 공식 웹사이트에 '기업 내부 보안을 위협하는 랜섬웨어 대응법'이라는 제목으로 공개한 인사이트 리포트를 통해, 랜섬웨어 공격의 표적이 되는 PC와 서버 등 '엔드포인트'를 보호하는 방법을 제안하고 있어 눈길을 끈다.

삼성SDS의 이번 리포트에 따르면 위장 악성코드, 스피어피싱, 방문 웹사이트에서 자동으로 벌어지는 다운로드 등 방식으로 랜섬웨어 감염이 일어날 수 있다. 랜섬웨어에 감염되면 PC의 문서와 사진 등 파일이 암호화되고, 해커가 자신에게 비트코인 등 금전을 지불해야 암호화된 파일을 해독할 수 있다고 설명하는 '랜섬노트' 메시지가 나온다. 랜섬웨어에 감염되면 피해자 스스로 복호화할 수 없고, 운영체제(OS) 재설치 등 감염된 PC를 복구하는 데 길게는 2~3일이 걸릴 수 있다.

리포트를 작성한 삼성SDS 기술지원그룹 보안전문가인 이지영 프로는 기존 네트워크 기반 보안솔루션이나 샌드박스 기법, 시그니처 기반의 백신을 통해 랜섬웨어를 탐지하고 방어하는 덴 한계가 있다고 지적했다. 이 프로는 "우회공격이나 파일리스공격에 취약한 백신의 문제점을 보완할 수 있는 엔드포인트 보안 솔루션이 필요하다"라며 "백신이 탐지하지 못했던 악성코드 공격에 대한 탐지·차단·대응을 담당하는 EDR 솔루션이 2016년부터 주목받기 시작했다"라고 밝혔다.
 

삼성SDS EDR솔루션 주요기능 [자료=삼성SDS]


기업은 EDR 솔루션 도입 시 해당 솔루션이 PC·모바일, 서버·클라우드 가상머신(VM), 윈도·리눅스·맥OS 등 다양한 단말과 OS를 통합 지원하는지 고려해야 한다. 기존 백신과 EDR 모듈을 통합하는 등 단일 에이전트로 운영해 단말의 리소스를 최적화할 수 있는지도 봐야 한다. 인공지능(AI) 탐지·차단·대응 자동화로 운영인력과 비용을 절감할 수 있는지, 객관적인 성능 검증이 이뤄졌는지, 상시 기술지원이 가능한 국내 파트너사를 보유했는지도 짚어볼 필요가 있다.

황성우 삼성SDS 대표는 올해 초 임직원 대상 메일을 통해 미래 성장을 위한 3대 사업역량 강화 분야 중 하나로 '보안'을 꼽았다. 황 대표는 클라우드 전환 가속화로 보안 분야의 성장 가능성이 커진 만큼, 그동안 고객사 보안을 지켜온 기술력과 인적 역량을 바탕으로 사업을 더 확대해 나가자고 강조했다. 회사는 20여년간 삼성 관계사와 대외 기업 대상 보안사업 수행 노하우를 바탕으로 각 기업에 필요한 엔드포인트 보안 요건을 분석하고 관련 솔루션을 구축·운영하는 사업을 수행 중이다.

삼성SDS는 올해 한국지사를 설립한 글로벌 보안업체 센티넬원의 국내 총판 사업을 전개하고 있다. 센티넬원의 EDR 솔루션을 기존 시그니처 기반 백신으로 해결하지 못했던 랜섬웨어 보안위협의 해법으로 제시하고 있다. 삼성SDS의 설명에 따르면 센티넬원 EDR은 특허받은 AI 머신러닝 모델 기반의 신·변종 악성코드, 해킹 공격을 예방·차단하고, 감염 이전 시점으로 자동 복구를 수행하는 기능을 제공한다. 단일 에이전트로 리소스를 효율적으로 사용하고 운영 비용을 최적화한다.

삼성SDS 관계자는 "기업은 모든 자산에 대한 사이버공격을 가시화하고 공격 진행 전·중·후 등 전반적인 대응책을 마련해야 한다"라며 "센티넬원은 시작부터 끝까지 공격을 추적하고 분석하면서 진행을 차단하고 향후 발생 가능한 공격까지 대응할 수 있게 한다"라고 설명했다. 이 관계자는 또 "발생한 모든 공격 행위를 기록해 다른 공격 발생 시 먼저 탐지된 형태와 비교해 대응할 수 있는 솔루션"이라고 덧붙였다.
 

센티넬원과 경쟁사 EDR 솔루션 주요 기능 검토 결과. [자료=삼성SDS]