클라우드 인프라 취약점을 파고드는 랜섬웨어 공격에 효과적으로 대응할 수 있는 VM웨어의 솔루션이 소개됐다.

19일 <디지털데일리> 웨비나 플랫폼 DD튜브에서 'VMware가 제시하는 랜섬웨어 방어 및 복구 전략' 웨비나가 열렸다.

이 VM웨어는 VM웨어에 내재화된 보안, 카본블랙(Carbon Black), NSX 그리고 VM웨어 클라우드 백업을 통해서 랜섬웨어 보호와 복구 관련 더 견고하고 효율적인 엔드투엔드 대응 기반을 마련할 수 있는 전략을 밝혔다.

랜섬웨어 공격 그룹들은 2019년부터 전문화되고 대형 조직 형태로 성장해 왔다. 올해 상반기 통계를 살펴보면 이미 익숙해진 락빗, 크랍, 로열 등의 이미 익숙한 공격 그룹들이 지속적으로 활동하고 있다는 것을 알 수 있다. 이들이 활용한 주요 랜섬웨어 공격 경로로는 다양한 취약점, 계정 탈취, 피싱, 악성메일 등이 꼽히고 있다.

이날 오픈베이스 박병하 부장은 카본블랙을 활용한 대응 방안에 대해 자세히 설명했다.

박 부장은 "최근 랜섬웨어 공격 특징은 단순히 금전을 요구하는 데에서 나아가 데이터 유출과 시스템 파'괴 등과 같이 부과적 공격도 함께 진행되고 있다"라며 "조직적으로 램섬웨어 공격 전략 사이클이 작동하고, 공격 대응 시스템을 우회하기 위해 공격 툴과 앱 등을 지속해서 변제하고 있다"라고 말했다.

이와 같은 상황에서 미국에서는 앞서 2014년 '사이버 보안 프레임워크'라는 대응 표준안을 발표한 바 있다. 이 프레임워크는 최근 버전 2.0까지 지속해서 업데이트 되고 있다. 식별, 보호, 탐지, 대응, 복구를 통한 통합 관리 방법론이 제시된다.

이에 VM웨어에서도 이를 활용해 랜섬에어 공격 사이클에 종합적으로 대응할 수 있는 모델을 개발했다.

대표적으로 카본 블랙은 랜섬웨어를 포함한 지능형 공격을 엔드포인트 단에서 직접 보호한다. 또 다른 모델인 NSX 보안은 비정상적이거나 악의적인 네트워크 행위로부터 제로 트러스트 보안을 구현하고, 네트워크를 통한 확산을 방지한다. 이와 함께 클라우드 재해복구 솔루션을 통해 사용자가 사용하기 비교적 편리한 온디맨드 DR 솔루션으로무중단 재해 복구 기능을 제공하고 있다.
 

그는 "카본블랙은 엔드포인트 탐지대응(EDR)뿐만 아니라 확장된 탐지대응(XDR), 관리형탐지 및 대응(MDR) 등 다양한 보안 기능을 제공하는 모듈 형태 제품"이라며 "윈도우, 맥 등과 같은 다양한 운영 환경, AWS, 애저 등과 같은 퍼블릭 클라우드, 쿠버네티스 컨테이너 등을 포함한 다양한 워크로드 환경에 적용 가능하다"라고 설명했다.

카본블랙에서는 캐너시큐리티를 활용해 취약점 평가를 제공하고 있다. 운영자나 사용자가 시스템 보안 설정을 잘못했거나 위배한 경우, 실시간으로 조회하고 조치할 수 있는 기능을 제공한다. 이는 랜섬웨어에 취약한 서비스를 사용 중이거나 조직에서 허용되지 않은 설정 등이 포함돼 있을 경우 바로 확안해 대응하기 위한 기능이다.

카본블랙에서는 이와 같은 취약점 관리 기능과 함께 엔드 포인트, 워크로드, 시스템 운영 중에 잠재하고 있는 위험 요인들을 실시간으로 조회하고 대응할 수 있는 라이브 쿼리 기능도 제공한다.

보호와 탐지 역시 카본블랙이 가지고 있는 장점이라는 게 회사 측 설명이다. 카본 블랙은 차세대 백신 기능이 포함돼 있다. 클라우드 머신러닝을 통해 다양한 랜섬웨어 공격 기법에 대해 학습하고 가공한다.

이어 VM웨어 조윤환 상무는 네트워크가상화(이하 NSX)를 활용한 랜섬웨어 대응 방안에 대해 발표했다. NSX는 소프트웨어 기반으로 만드는 가상 클라우드 네트워크 또는 소프트웨어 기반으로 만드는 보안 인프라를 의미한다.

NSX는 다계층으로 구성돼있다. 1차적으로 일시적 차단으로 방어벽 레이어에서 특화된 분산 방어벽을 제공하고 있다.

조 상무는 "NSX의 경우 하이퍼바이저의 임베디드 시키는 구성을 취할 수 있다"라며 "이는 특정 병목 구간을 만들지 않고, 트래픽이 드나들거나 변경되지 않고, 기존에 있던 하이퍼바이저 네트워크 환경을 그대로 두면서 분석을 얻는 과정을 손쉽게 만든다"라고 강조했다 .

즉 물리적인 네트워크 변경이 없어 운영 모델일 단순화된다는 게 장점이라는 설명이다.

그는 "1차적으로 감연된 웹 서버가 있을 때, 감염 경로에 있는 구간을 묶어서 다시 마이크로 세그멘테이션을 적용할 수 있다"라며 "의심되는 트래픽과 감염된 워크로드가 발생했을 때, 결국 NSX 네트워크 레벨에서 차단하고, 카본 블랙과 연동이 가능하다"라고 언급했다.

VM웨어 오익준 상무는 VCDR을 이용한 랜섬웨어 방어 및 복구 전략에 대해 발표했다.

오 상무는 "VCDR은 랜섬웨어 복구를 위한 업계 최고의 솔루션"이라며 "신속하고 자동화된 복구 프로세스를 통해 안전한 복구를 위해 필요한 시점에 온디맨드 형태로이용할 수 있다. 또 사용한 만큼, 과금되는 구조여서 가장 비용 효율적인 복구 환경을 유지할 수 있다"라고 말했다.

그에 따르면 VCDR에서는 다수 스냅샷을 기록, 관리하고 다중 복구 포인트를 통해 가장 안전한 최근 데이터로 복구를 제공한다. 이 과정에서 파일과 폴더 수준의 복구 요청도 지원한다.

또 VCDR은 카본블랙과 연동하고 있는 자동화된 위협에 대한 분석을 반복적으로 수행하고, 최종 검증된 이미지를 추출해서 최종 운영 환경에 대한 복원을 수행할 수 있다.