사이버 보안 전문 '씨큐비스타'가 최근 급증하는 랜섬웨어 공격을 네트워크 기반으로 조기경보 할 수 있는 랜섬웨어 특화 탐지엔진 상용화에 성공, 기업과 기관의 피해를 획기적으로 줄이는 대안이 될 것으로 기대된다. 

사이버 위협헌팅 보안기업 '씨큐비스타'(대표 전덕조)는 에이전트 설치 없이도 네트워크 트래픽을 분석해 랜섬웨어의 모든 단계를 추적하는 MITRE ATT&CK 기반 랜섬웨어 탐지 엔진 '헌터 랜섬'(Hunter Ransom) TTP를 개발해, 자사의 차세대 네트워크 위협탐지·대응(NDR) 보안솔루션 '패킷사이버'(PacketCYBER)에 새롭게 탑재했다고 29일 밝혔다

'랜섬웨어'(Ransomware)는 사용자의 데이터나 시스템 접근을 잠그거나 암호화해 사용하지 못하게 만들고, 이를 해결해주는 대가로 금전을 요구하는 악성 소프트웨어다. 단 몇 분 만에 기업 전체를 마비시킬 수 있는 치명적인 위협 중 하나로 손꼽힌다.

'헌터 랜섬' TTP는 랜섬웨어 공격 초기부터 내부 확산, 공격자와의 최종 협상 단계까지 모든 과정을 감시하고 선제적 차단할 수 있도록 조기경보 제공을 통해 피해를 최소화시켜 골든타임을 확보해주는 랜섬웨어 특화 탐지엔진이다. 에이전트리스(Agentless) 기반으로 별도 소프트웨어 설치 없이 네트워크 트래픽 분석만으로도 전(全) 공격 과정을 실시간 추적할 수 있고, 다계층 분석을 통해 정밀하게 포착하는게 특징이다.

◇랜섬웨어 공격 4단계로 세분화 '공격의 전체 라이프사이클' 추적

특히 랜섬웨어 공격을 4단계로 세분화해, 공격의 전체 라이프사이클을 추적한다.

△초기 침투 단계에서는 방화벽을 우회한 SMB 포트 스캔, 난수형 도메인(DGA)을 통한 외부 통신 시도를 즉시 포착한다.

△내부 확산 단계에서는 SMB 연결 급증이나 여러 호스트에서 동시 발생한 비콘(beacon) 신호를 분석해 조기 경보를 발령한다.

△암호화 준비 단계에서는 파일 서버 트래픽이 평상시보다 수십 배 증가하거나 데이터 엔트로피가 급등하는 패턴을 실시간 식별해 '암호화 공격 임박' 경보를 발동한다.

△C2 통신 및 협상 단계에서는 Tor나 프록시를 통한 암호화 키 교환, 비트코인 주소 전달 등 은밀한 통신을 주기성·일관성 지표로 분석해 C2(Command & Control) 활동으로 최종 확정한다. 이 과정에서 IoT 기기나 관리되지 않는 개인기기(BYOD)까지도 보호 범위에 자동 포함된다.

씨큐비스타는 '헌터 랜섬' TTP를 탑재한 패킷사이버를 금융, 의료, 국방, 통신 등 다양한 산업별 특성에 맞춰 최적화시켜, 위협이 탐지되면 자동으로 조기경보를 발령해 즉각적인 대응에 도움을 주고, 'EDR과 NDR을 결합한 촘촘한 통합 방어체계'를 구축해 랜섬웨어에 완벽 대응할 수 있는 강력한 보안체계를 완성할 계획이다.

전덕조 씨큐비스타 대표는 "EDR이 방문을 지키는 경비원이라면, 패킷사이버는 건물 전체 CCTV를 통합 관제하며 침입자의 동선을 예측하는 보안센터와 같다"고 비유하며 "헌터 랜섬 TTP가 탑재됨에 따라 패킷사이버가 한층 고도화돼 네트워크 한 지점에 설치하는 것만으로도 모든 기기의 움직임을 실시간 추적해 엔드포인트 보안이 놓칠 수 있는 위협까지 포착할 수 있어 차세대 NDR 보안솔루션으로 독보적인 입지를 굳히게 됐다"고 말했다.

씨큐비스타(CQVista)는 지능형 위협 탐지·대응 기술을 중심으로 NDR·FDR 원천기술을 융합한 독자 기술을 보유한 사이버 보안 전문기업이다.

주력 보안솔루션인 '패킷사이버'는 한국과 아시아의 공공기관과 금융기관, 국가기관 등에 채택돼 최고 보안솔루션 기업으로 인정받고 있으며, NDR 유형으로는 국내 최초로 보안기능확인서 인증을 획득했다.

IoT 보안 및 암호화 트래픽 기반 위협 탐지 기술로 사업 확대중이며, 정부 R&D 프로젝트에도 참여해 보안관제 및 위협헌팅기술을 개발하고 있다.