멀웨어 보호는 어떻게 작동하나요?
멀웨어의 변종이 다양하기 때문에 멀웨어 방어 시스템은 파일이나 코드의 합법성을 평가할 때 여러 가지 관점을 고려해야 합니다.
이를 위해 최신 소프트웨어는 5가지 축에서 파일 동작을 평가합니다.
#1. 위협 인텔리전스
위협 인텔리전스는 전 세계 멀웨어 트렌드에 대한 데이터를 수집하여 공격에 더 빠르게 대응할 수 있도록 합니다.
이 인텔리전스를 글로벌 멀웨어 보호 플랫폼과 공유하면 조직이 최신 위협에 대한 최신 정보를 파악할 수 있습니다. 전술 기법 및 절차(TTP)가 인식 가능한 시그니처로 패키지화되어 위협 인텔리전스 기반 도구로 식별할 수 있으므로 전체 산업이 공격자보다 앞서 나갈 수 있습니다.
이 서명 기반 접근 방식은 인포스틸러 및 기본 랜섬웨어와 같이 더 일반적이고 복제 가능한 멀웨어 변종을 방어합니다.
#2. 네트워크 보호
멀웨어가 민감한 네트워크를 침해하는 데 의존한다는 점을 고려할 때 멀웨어 방어는 악성 트래픽을 식별하고 소스에서 차단할 수 있어야 합니다.
많은 멀웨어 유형은 표적으로 삼는 네트워크 전체에 눈에 띄는 흔적을 남깁니다.
- 트로이 목마와 제작자 간의 지속적인 통신으로 인해 네트워크 활동이 눈에 띄게 급증할 수 있습니다.
- 랜섬웨어 공격과 스파이웨어는 조직의 자체 네트워크에서 데이터를 유출하고 각각의 명령 및 제어(C2) 서버와 반복적으로 연결을 설정합니다.
네트워크 트래픽 모니터링으로 악의적인 행동을 발견할 수 있는 유일한 방법은 아닙니다.
초기 단계의 공격은 네트워크 내부에서 포트 스캔의 형태를 취할 수 있으며, 이는 공격자가 공격하기에 이상적인 데이터베이스나 취약점을 찾는 동안 측면으로 이동하는 한 가지 방법입니다. 또한 공격자가 백도어 계정을 만들어 나중에 다시 돌아올 수 있도록 하는 경우도 드물지 않습니다.
이는 네트워크 내에서 새로운 권한이 부여된 계정을 생성하는 것으로 나타납니다.
이러한 의심스러운 네트워크 활동을 모니터링할 때 멀웨어 보호는 멀웨어가 배포되기 전에 방화벽과의 긴밀한 상호 의존성을 통해 의심스러운 동작을 차단하는 즉각적인 조치를 취해야 합니다.
#3. 엔드포인트 보호
네트워크 관점도 중요하지만, 엔드포인트 디바이스가 공격의 초기 감염 경로가 되는 경우가 많다는 점에 주목할 필요가 있습니다. 따라서 멀웨어 보호는 엔드포인트에서 멀웨어 및 의심스러운 활동을 정기적으로 검사해야 하며 엔드포인트 탐지 및 대응 도구의 기초를 형성합니다.
리소스를 많이 사용하는 멀웨어의 경우 감염이 매우 명백할 수 있습니다:
- 시스템 속도가 갑자기 감소하는 경우
- 시작 시간 지연
- 느린 파일 액세스
- 애플리케이션 성능 저하
이 모든 것은 멀웨어 감염이 진행 중임을 나타낼 수 있습니다. 웜은 특히 욕심이 많아서 자신을 반복적으로 복제할 때 상당한 컴퓨팅 성능을 소모하는 경우가 많습니다.
#4. 파일 분석
샌드박싱은 멀웨어 차단이 파일의 합법성을 확인하는 한 가지 방법입니다. 작동 방식은 다음과 같습니다:
- 새 파일을 기업용 디바이스에 다운로드하기 전에 실제 엔드포인트의 운영 체제와 하드웨어를 모방한 안전하고 격리된 공간인 샌드박스로 파일을 전송합니다. 여기서는 파일이 정상적으로 실행됩니다.
- 그런 다음 이 도구는 파일의 동작을 모니터링하여 시스템 파일 수정, 네트워크 연결 생성 또는 악성 코드 삽입 시도와 같은 의심스러운 작업을 확인합니다.
- 비정상적인 시스템 호출이 있으면 해당 파일은 멀웨어로 플래그가 지정되고 격리됩니다.
기존의 샌드박싱은 리소스를 많이 사용했지만, 최근의 접근 방식은 제공업체의 분석 엔진의 높은 컴퓨팅 성능 덕분에 소규모 조직에서 더 쉽게 사용할 수 있게 되었습니다.
이제 우려되는 코드가 포함된 파일은 콘텐츠 무장 해제 및 재구성을 통해 악성 코드 덩어리를 제거할 수 있습니다.
#5. 행동 분석
파일 분석은 멀웨어의 악의적인 동작을 파악하는 것이 목표인 반면, 행동 분석은 신뢰할 수 있는 네트워크, 디바이스, 사용자 전반에서 정상적인 행동의 기준선을 설정하는 것을 목표로 합니다. 계정 동작은 공격의 가장 명확한 지표 중 하나이므로 멀웨어 방지 퍼즐의 중요한 조각입니다.
머신 러닝 알고리즘은 일반적인 사용자 여정에 대한 그림을 구축함으로써 계정 동작이 불규칙해지거나 일상적인 사용에서는 볼 수 없는 리소스 및 데이터베이스에 액세스하기 시작하는 시점을 파악할 수 있습니다.
행동 분석은 광범위한 멀웨어 보호 도구 제품군과 통합되어 새로운 제로 데이 및 계정 탈취 공격을 발견할 수 있으며, 이는 시그니처 기반 식별을 한 단계 뛰어넘는 수준 입니다.
멀웨어의 종류
악성 소프트웨어는 사이버 보안의 세 가지 요소 중 하나를 위반하도록 설계되었습니다:
- 기밀성
- 무결성
- 가용성
공격의 동기는 금전적 탐욕, 정치적 의견 차이, 법에 대한 일반적인 무시 등 다양합니다. 이 섹션에서는 멀웨어의 가장 큰 위협과 멀웨어를 차단하기 위해 멀웨어 보호가 취하는 접근 방식에 대해 설명합니다.
바이러스
바이러스는 가장 오래된 형태의 멀웨어 중 하나로, 사용자가 파일을 다운로드하거나 다른 방식으로 상호작용할 때 스스로를 디바이스에 복사할 수 있는 코드 조각입니다.
이는 일반적으로 바이러스가 합법적인 파일이나 프로그램에 자신을 첨부하여 이루어집니다. 바이러스도 마찬가지입니다:
- 손상된 파일
- 시스템 속도 저하
- 시스템 기능을 수정하여 광범위한 손상 유발
바이러스와 멀웨어는 미묘한 차이가 있습니다. '바이러스'는 특히 복제 메커니즘을 가리키는 반면, 멀웨어는 단순히 해를 입히려는 모든 소프트웨어를 포괄적으로 지칭합니다.
따라서 바이러스는 멀웨어의 한 형태이지만 모든 멀웨어가 바이러스인 것은 아닙니다.
웜
바이러스와 달리 웜은 확산을 위해 사용자 상호작용이 필요하지 않습니다.
이들은 네트워크 전반에 걸쳐 자신을 복제하고 파일을 변경하거나 삭제하는 기능을 악용하여 네트워크와 리소스 사용량에 혼란을 야기합니다.
Trojans
트로이 목마는 합법적인 소프트웨어로 위장하지만 유해한 코드를 포함하고 있습니다. 트로이 목마 공격의 두 부분을 구분하기 위해 트로이 목마는 드롭퍼와 트로이 목마 자체로 나뉩니다.
- 드롭퍼는 악성 코드를 둘러싼 보호 '껍질'입니다.
- 트로이 목마는 피해자의 디바이스를 능동적으로 감염시켜 피해를 입히는 멀웨어입니다.
랜섬웨어
랜섬웨어는 피해자의 데이터베이스와 민감한 디바이스에 다운로드되는 암호화 메커니즘에 의존합니다.
일단 스크램블링이 완료되면 범죄자들은 대가를 받고 암호 해독 키를 제공합니다. 더 이상 조직만 몸값을 요구하는 것이 아니라, 이중 또는 삼중으로 몸값을 요구하는 시도가 발생하고 있으며, 고객들은 추가적인 몸값 요구에 시달리고 있습니다.
스파이웨어 & 애드웨어
인포스틸러라고도 불리는 스파이웨어는 가능한 한 많은 데이터를 훔치는 것을 목표로 합니다.
피해 디바이스에 침입한 이 멀웨어는 사용자 이름과 비밀번호, 쿠키, 검색 기록, 금융 정보를 탈취하여 공격자의 데이터베이스에 저장합니다. 기업 환경에서는 원격 근무자가 재택 디바이스의 인포스틸러로 인해 업무용 계정 로그인을 도용당하는 경우가 종종 있습니다.
애드웨어는 그 반대입니다. 피해자에게 원치 않는 광고를 넘쳐나게 하여 사용자를 악성 사이트로 리디렉션하거나 공격자의 사기성 광고 수익을 부풀리는 데 사용합니다.
루트킷
루트킷은 시스템에 악성 소프트웨어의 존재를 숨기는 데 사용되어 공격자가 탐지되지 않고 지속적으로 액세스할 수 있도록 합니다. 루트킷은 탐지 및 제거가 어려운 것으로 악명이 높습니다.
5가지 멀웨어 보호 모범 사례
멀웨어로부터 시스템을 보호하려면 지속적인 노력이 필요합니다.
다행히도 비교적 적은 양의 예방 조치로도 공격자를 막는 데 큰 도움이 될 수 있습니다. 최상의 멀웨어 보호는 위협 차단과 지속적인 경계를 다층적으로 조합하는 것입니다.
#1: 강력한 기준선 설정
모든 엔드포인트 디바이스에 평판이 좋은 바이러스 백신 및 멀웨어 방지 소프트웨어를 설치하고, 이러한 도구가 최신 위협을 인식할 수 있도록 정기적으로 업데이트하는 것부터 시작하세요.
#2: 패치 관리의 최신 상태 유지
운영 체제 및 애플리케이션의 취약성을 제거하려면 소프트웨어 패치를 즉시 적용하는 것이 핵심이며, 그렇지 않으면 멀웨어의 일반적인 진입 지점이 됩니다.
#3: 최종 사용자 교육에 투자하세요
교육 세션을 통해 직원들은 일상적인 검색 습관 및 활동과 관련된 위험을 이해할 수 있습니다. 피싱, 의심스러운 링크, 알 수 없는 다운로드는 사용자가 이를 성공적으로 인식하면 네트워크 경계에서 모두 차단할 수 있습니다.
#4: 네트워크 세분화 및 강력한 액세스 제어 구현
네트워크 세분화는 네트워크 내에 내부 장벽을 만들어 멀웨어가 침투하더라도 확산되기 어렵게 만듭니다. 이러한 액세스 제어는 사용자가 일상적으로 필요로 하는 특정 리소스로 사용자를 유도하며, 더 넓은 네트워크에서 구현할 수 있는 일종의 세분화입니다.
다중 인증으로 강화된 엄격한 사용자 액세스 제어를 통해 사용자 권한을 정품 사용자로만 제한하는 등 보다 광범위한 멀웨어 방지 프로세스를 지원해야 합니다.
#5: 지속적인 모니터링 및 정기 백업 생성
정기적으로 데이터를 백업하고 주 네트워크와 별도로 저장하면 공격이 발생하더라도 중요한 정보를 복원할 수 있습니다.
또한 지속적인 모니터링을 통해 비정상적인 활동을 빠르게 감지하고 대응할 수 있습니다.
체크 포인트로 효과적인 멀웨어 보호 확보
엔드포인트가 직면한 위험은 그 규모와 복잡성이 점점 더 커지고 있습니다. 이 페이지를 열고 이 문장을 읽는 동안 12개의 회사가 랜섬웨어 공격의 희생양이 되었을 것입니다.
하지만 이 가이드에서 한 가지 분명한 것은 모든 일반적인 공격에 대한 해독제가 있다는 것입니다.
체크 포인트(Harmony )는 이러한 접근 방식을 잘 보여주는 엔드포인트 보안 솔루션으로,AI 미래의 복잡한 위협 환경으로부터 원격 인력을 보호하기 위한 고급 교차 채널 분석 및 행동( )을 제공합니다. 제로데이 위협까지 차단하는 업계 최고의 위협 인텔리전스 및 위협 AI를 통해 온프레미스, 하이브리드 및 원격 아키텍처에 쉽게 배포할 수 있습니다.
데모를 요청하여 체크 포인트 Harmony의 차세대 엔드포인트 명확성을 확인하세요.
피드백