멀웨어 | 멀웨어란 무엇이며 멀웨어 공격으로부터 보호하는 방법은 무엇인가요?

멀웨어란?

컴퓨터의 정상적인 기능을 방해하도록 설계된 소프트웨어로서 멀웨어는 위협 행위자가 중요한 정보에 접근하기 위해 시스템과 네트워크를 감염시키는 데 사용하는 바이러스, 트로이 목마 및 기타 파괴적인 컴퓨터 프로그램을 모두 지칭하는 용어입니다.

멀웨어의 정의

멀웨어("Malicious software(악성 소프트웨어)"의 줄임말)는 일반적으로 네트워크를 통해 전달되어 감염시키거나 탐색하거나 훔치거나 공격자가 원하는 거의 모든 행동을 수행하는 파일 또는 코드입니다. 또한 멀웨어는 수많은 변종으로 유입되기 때문에 컴퓨터 시스템을 수많은 방법으로 감염시킬 수 있습니다. 멀웨어의 유형과 기능은 다양하지만, 일반적으로 다음 중 하나의 목표를 가지고 있습니다.

• 감염된 컴퓨터를 사용할 수 있도록 공격자에게 원격 제어 기능 제공
• 감염된 컴퓨터에서 무방비 상태의 표적에게 스팸 송신
• 감염된 사용자의 로컬 네트워크 조사
• 중요한 데이터 탈취

멀웨어 유형:

멀웨어는 모든 유형의 악성 소프트웨어를 지칭하는 포괄적 용어입니다. 멀웨어의 예시, 멀웨어 공격 정의 및 멀웨어 확산 방법은 다음과 같습니다.

애드웨어 – 일부 형태의 애드웨어는 합법적인 것으로 여겨질 수도 있지만, 나머지는 컴퓨터 시스템에 무단으로 액세스하여 사용자를 크게 방해합니다.

봇넷 – "로봇 네트워크"의 줄임말로, C2(Command-and-Control) 서버를 사용한 단일 공격 당사자의 제어를 받는 감염된 컴퓨터의 네트워크입니다. 봇넷은 중복 서버와 감염된 컴퓨터를 사용하여 트래픽을 릴레이함으로써 복원력을 유지할 수 있으며 다재다능하고 적응력이 뛰어납니다. 봇넷은 오늘날 DDoS(Distributed Denial-of-Service) 공격의 배후에서 군대 역할을 수행하는 경우가 많습니다.

크립토재킹 – 사이버 범죄자가 소프트웨어 설치를 위해 비즈니스 및 개인 컴퓨터, 노트북, 모바일 디바이스를 해킹할 때 발생하는 악의적인 크립토마이닝(컴퓨팅 성능을 사용하여 블록체인 네트워크에서 거래를 확인하고 해당 서비스를 제공하기 위한 암호화폐를 얻는 프로세스)입니다.

멀버타이징 – 멀버타이징은 "Malware + Advertising"의 합성어로 멀웨어를 확산시키기 위한 온라인 광고 관행을 말합니다. 일반적으로 멀웨어 코드나 멀웨어가 포함된 광고를 합법적인 온라인 광고 네트워크 및 웹페이지에 주입하는 것이 포함됩니다.

다단계 멀웨어 – 위 멀웨어 유형 중 어떤 것이든 해당되며, 정기적으로 "변형"하여 알고리즘을 유지하면서 코드의 형태를 변경할 수 있습니다. 소프트웨어의 표면 형태를 변경하면 기존 바이러스 시그니처를 통한 탐지가 훼손됩니다.

랜섬웨어 – 랜섬을 노리고 중요한 파일, 데이터 또는 정보를 보유하기 위해 악성 소프트웨어를 사용하는 범죄 비즈니스 모델입니다. 랜섬웨어 공격의 피해자는 운영이 심각한 상태로 저하되거나 완전히 중단됩니다.

원격 관리 도구(RAT) – 원격 운영자가 시스템을 제어할 수 있는 소프트웨어입니다. 원래 합법적인 용도로 구축된 도구였지만 현재는 위협 행위자가 사용하고 있습니다. RAT는 관리자 제어 기능을 활성화하여 이를 통해 공격자가 감염된 컴퓨터에서 거의 모든 작업을 수행할 수 있습니다. 실행 중인 프로그램이나 작업의 목록에 잘 나타나지 않기 때문에 탐지가 어려우며, 이들의 작업은 종종 합법적인 프로그램의 작업으로 잘못 인식됩니다.

Rootkit – 컴퓨터에 대한 권한(근본 수준) 액세스를 제공하는 프로그램입니다. Rootkit은 다양하며 운영 체제 안에서 스스로를 숨깁니다.

스파이웨어 – 감염된 컴퓨터의 사용에 대한 정보를 수집하고 이를 공격자에게 전달하는 멀웨어입니다. 이 용어에는 봇넷, 애드웨어, 백도어(Backdoor) 동작, 키로거(Keylogger), 데이터 탈취 및 넷웜(Net-worm)이 포함됩니다.

트로이 목마 멀웨어 - 합법적인 소프트웨어로 보이도록 위장한 멀웨어입니다. 활성화되고 나면 트로이 목마 멀웨어는 수행하도록 프로그래밍된 모든 작업을 수행합니다. 바이러스 및 웜과 달리 트로이 목마는 감염을 통해 복제하거나 번식하지 않습니다. "트로이 목마"는 목마 속에 그리스 병사들을 숨겨 적의 도시인 트로이로 잠입한 신화 속 이야기를 말합니다.

바이러스 멀웨어 – 컴퓨터 또는 네트워크를 통해 자신을 복사하는 프로그램입니다. 멀웨어 바이러스는 기존 프로그램을 교묘하게 이용하며 사용자가 프로그램을 열 때에만 활성화됩니다. 최악의 경우 바이러스가 데이터를 손상시키거나 삭제하며, 사용자의 이메일을 이용해 확산하거나 하드 디스크의 모든 것을 지웁니다.

웜 멀웨어 – 보안 취약점을 익스플로잇하여 컴퓨터와 네트워크 전체에서 자동으로 확산되는 자가 복제 바이러스입니다. 많은 바이러스와 달리 멀웨어 웜은 기존 프로그램에 첨부되거나 파일을 바꾸지 않습니다. 일반적으로 이들은 복제를 통해 엄청난 시스템 리소스나 네트워크 대역폭을 사용하는 규모에 도달하기 전까지 발견되지 않습니다.

멀웨어 공격 유형

멀웨어는 다양한 방법을 사용하여 초기 공격 벡터를 넘어 다른 컴퓨터 시스템으로 스스로 확산되기도 합니다. 멀웨어 공격 정의에는 다음이 포함될 수 있습니다.

• 이메일 첨부 파일에 포함된 악성 코드가 열리면 무방비 상태의 사용자에 의해 실행됩니다. 해당 이메일이 전달되면 멀웨어는 조직에 더 깊이 확산되어 네트워크를 침해합니다.
• 일반적인 인터넷 파일 시스템(SMB/CIFS) 및 네트워크 파일 시스템(NFS)을 기반으로 하는 파일 서버를 통해 멀웨어는 사용자가 감염된 파일에 액세스 및 다운로드하여 더 빠르게 확산될 수 있습니다.
• 파일 공유 소프트웨어를 통해 멀웨어는 이동식 미디어에 스스로를 복제한 후 컴퓨터 시스템이나 네트워크로 복제됩니다.
• P2P 파일 공유에서 음악이나 사진처럼 겉보기에는 무해한 파일을 공유함으로써 멀웨어가 유입되기도 합니다.
• 해커는 원격으로 익스플로잇할 수 있는 취약점을 통해 컴퓨터 사용자의 개입이 거의 또는 전혀 없는 상태로 지리적 위치에 관계없이 시스템에 액세스할 수 있습니다.

Palo Alto Networks의 차세대 Threat Prevention 기능과 WildFire® 클라우드 기반 위협 분석 서비스를 사용하여 알려지거나 알려지지 않은 모든 유형의 멀웨어로부터 네트워크를 보호하는 방법을 알아보세요.

멀웨어를 차단하는 방법:

멀웨어를 탐지하고 차단하는 데 다양한 보안 솔루션이 사용됩니다. 여기에는 방화벽, 차세대 방화벽, 네트워크 침입 예방 시스템(IPS), 심층 패킷 검사(DPI) 기능, 통합 위협 관리 시스템, 안티바이러스 및 스팸 방지 게이트웨이, 가상 사설망, 콘텐츠 필터링 및 데이터 유출 방지 시스템이 있습니다. 멀웨어를 차단하려면 모든 보안 솔루션이 제대로 작동하는지 확인하기 위해 광범위한 멀웨어 기반 공격을 사용하여 테스트해야 합니다. 최신 공격에 대한 테스트를 완료하려면 멀웨어 시그니처의 강력한 최신 라이브러리를 반드시 사용해야 합니다.

Cortex XDR 에이전트는 운영 체제, 엔드포인트의 온라인 또는 오프라인 상태, 기업 네트워크에 연결되어 있는지 여부에 관계없이, 악성 프로그램의 실행을 중지시키고 합법적인 애플리케이션의 악용을 차단하기 위해 공격 수명 주기 내의 중요한 단계에서 여러 예방 방법을 결합하고 있습니다. Cortex XDR 에이전트는 시그니처에 의존하지 않기 때문에 차단 방법의 조합을 통해 제로데이 멀웨어와 알려지지 않은 익스플로잇을 차단할 수 있습니다.

멀웨어 탐지:

고급 멀웨어 분석 및 탐지 도구는 방화벽, 침입 예방 시스템(IPS), 샌드박싱 솔루션으로 존재합니다. 파일을 암호화하면 즉시 알 수 있는 랜섬웨어와 같은 일부 멀웨어 유형은 탐지가 더 쉽습니다. 스파이웨어와 같은 다른 멀웨어는 표적 시스템에 조용히 남아 공격자가 시스템에 대한 액세스를 유지할 수 있습니다. 멀웨어 유형이나 멀웨어의 의미, 탐지 가능성이나 구축한 사람에 관계없이, 멀웨어 사용의 의도는 언제나 악의적입니다.

엔드포인트 보안 정책에서 동작 위협 보호를 활성화하면 Cortex XDR 에이전트 또한 엔드포인트 활동을 지속적으로 모니터링하며 Palo Alto Networks에서 식별한 악성 이벤트 체인을 찾습니다.

멀웨어 제거:

안티바이러스 소프트웨어는 대부분의 표준 감염 유형을 제거할 수 있으며 상용 솔루션에는 많은 옵션이 존재합니다. Cortex XDR은 알림 또는 조사 후 엔드포인트에서 복구 업데이트를 활성화하여 관리자에게 Cortex XDR에 대한 트래픽을 제외하고 침해된 엔드포인트에서 모든 네트워크 액세스를 비활성화하여 엔드포인트를 격리하는 것으로 시작하여 다양한 완화 단계를 시작할 수 있는 옵션을 제공함으로써, 실행 중인 멀웨어가 엔드포인트에서 악의적인 활동을 계속 수행하는 것을 중단하고 추가 실행을 차단하는 프로세스를 종료한 후 악성 파일을 격리하고 Cortex XDR 에이전트가 아직 수행하지 않은 경우 작업 디렉터리에서 악성 파일을 제거합니다.

멀웨어 방어:

멀웨어로부터 조직을 보호하기 위해서는 전체적이고 전사적인 멀웨어 보호 전략이 필요합니다. 상용 위협은 정교함이 떨어지며 안티바이러스, 안티-스파이웨어, 취약점 보호 기능과 함께 URL Filtering 및 방화벽의 애플리케이션 식별 기능의 조합을 사용하여 더 쉽게 탐지 및 차단할 수 있습니다.

멀웨어와 그 변종, 그리고 그로부터 조직을 보호하는 방법에 대한 자세한 내용을 확인하려면 다음 리소스 중 하나를 다운로드하세요.

• 멀웨어 보호란?
• 파일리스 멀웨어 공격과 "LotL(Living off the Land)"이란?
• 랜섬웨어 위협 보고서
• 랜섬웨어란?
• 랜섬웨어: 일반적인 공격 방법
• 멀웨어와 익스플로잇의 비교
• 페이로드 기반 시그니처란?
• 탐지 및 대응을 위한 Cortex XDR
• Threat Prevention
• WildFire 멀웨어 분석 엔진