발견 뒤엔 이미 늦어
탐지 보단 원천 봉쇄하는 차단형 보안 중요
[아시아경제 이민우 기자] 랜섬웨어를 포함한 사이버공격의 평균 잠복기간이 206일이라는 조사 결과가 나왔다. 탐지가 어려운 만큼 원천적인 차단이 중요하다는 지적이다.
25일 한승수 체크포인트 보안컨설턴트(부장)은 서울 서초구 엘타워에서 열린 시큐리티 월드(Security World) 2016에서 랜섬웨어의 최신 동향에 대해 설명했다.
한 부장은 "랜섬웨어 등 최근 사이버 공격이 무서운 점은 공격을 알아채기까지 시간이 오래 걸린다는 점"이라며 "오랫동안 잠복한 악성코드일 경우 사후 대처에 더 많은 시간이 걸린다"고 설명했다.
포네몬 인스티튜트(Ponemon Institute)의 2015년 조사 결과에 따르면 랜섬웨어를 포함한 최근 사이버공격의 경우 평균 잠복기간이 206일에 달했다. 오랜 기간 잠복할수록 피해와 그에 대한 대처기간도 비례해 늘어났다. 공격이 더욱 은밀하고 치밀하게 진행되기 때문이다.
한 부장은 "이런 방식의 공격을 막기 위해선 탐지 보단 차단 중심의 원천 봉쇄형 방어가 중요하다"고 강조했다. 악성코드가 공격대상에 접근하기 전에 샌드박스(sandbox)라는 공간에서 미리 검증하고 차단하는 것이다.
예를 들어 엑셀 파일이 첨부된 이메일이 오면 샌드박스에서 먼저 파일을 실행해 악성코드가 담겼는지 탐지한다. 악성코드가 확인되면 시스템에 접근이 차단된다.
다만 한 부장은 "샌드박스 기능을 설치하고도 속도가 저하된다고 차단이 아닌 탐지모드로 두는 경우가 많다"며 "탐지 모드로 두면 샌드박스로 방어하는 의미가 없기 때문에 반드시 차단 기능을 활성화해야 한다"고 강조했다.
이민우 기자 letzwin@asiae.co.kr
<ⓒ투자가를 위한 경제콘텐츠 플랫폼, 아시아경제(www.asiae.co.kr) 무단전재 배포금지>