랜섬웨어 공격방식이 지능화되자 방어 진영에서도 지능화된 탐지·차단 기술을 속속 발표하고 있다. 안티바이러스 업계에서는 랜섬웨어도 악성코드를 통해 진행된다는 사실을 강조하며 신변종 악성코드 탐지 기술을 강화하고 있으며, 샌드박스를 이용한 악성코드 탐지 분야에서는 샌드박스 우회기술을 인지·차단하는 기능과 단계별 샌드박스 및 기타 엔드포인트 보안 솔루션과의 연계를 통해 신변종 악성코드를 차단한다.
랜섬웨어 공격이 진행될 때 사용하는 특정 행위를 이용하는 방식도 눈에 띈다. 국내 백신 기업들이 주로 사용하는 ‘미끼 방식’은 미끼로 활용되는 가짜 파일을 만들고 이 파일이 암호화되면 랜섬웨어로 간주하고 차단한다.
이는 랜섬웨어가 사용자 드라이브의 파일에 접근해 무단으로 암호화하는 특성을 이용한 것으로, 백신 솔루션들은 윈도우 드라이브 상단에 위치하도록 임의의 폴더와 파일을 만들고 이 파일을 암호화하는 시도가 나타나면 해당 프로세스를 중단시키는 방식이다.
그러나 이같은 방식으로는 지능형 랜섬웨어를 막지 못한다. 우리나라 사용자를 노리는 랜섬웨어 공격은 국내 백신 솔루션의 탐지 방식을 인식하고, 해당 백신이 만드는 폴더·파일의 이름과 패턴을 파악해 해당 폴더는 암호화하지 않거나 순간적으로 대량의 파일을 암호화한다.
이외에도 안티바이러스 솔루션이 사용하는 랜섬웨어 탐지방식을 분석하고 시그니처에 등록되지 않은 새로운 악성코드로 공격하는가 하면, 샌드박스 환경을 인지해 샌드박스에서 동작하지 않도록 하는 방법도 사용한다.
랜섬웨어의 효과적인 방어 방법은 허가되지 않은 프로세스가 파일을 무단으로 암호화할 때 이를 차단하는 것이다. 그러나 이 방법은 오탐이 많고, 미탐시 암호화된 파일을 복구할 수 있는 방법이 없다는 문제가 있다.
스타트업인 체크멀이 제안하는 랜섬웨어 탐지 전용 솔루션 ‘앱체크프로’는 랜섬웨어 프로세스를 지능적으로 탐지하는 한편, 자동 백업 기능을 제공해 데이터를 보호한다.
김정훈 체크멀 대표는 “백신이나 샌드박스만으로 랜섬웨어를 막을 수 없으며, 사전방어와 백업을 통해 데이터를 안전하게 보호하는 방법이 필요하다”며 “앱체크프로는 랜섬웨어 프로세스를 인지해 차단하는 한편, 랜섬웨어가 접근을 시도하는 파일을 백업한다”고 설명했다.
랜섬웨어는 윈도우 백업 이미지를 먼저 삭제한 후 데이터를 암호화해 백업을 무용지물로 만든다. 앱체크프로는 백업 데이터를 단말의 안전한 영역에 저장하며, 9월 중 리모트 서버에 백업하는 기능을 추가해 데이터 보호 효과를 높일 방침이다. 백업 데이터가 저장되는 영역은 커널 기반 보호 기술을 제공해 허가되지 않은 사용자의 무단 암호화·삭제·변경을 원천 차단한다.
앱체크프로는 지난해 12월 출시됐으며, 2월부터 유료버전이 출시됐고, 경희의료원을 비롯해 대규모 기업/기관에서 사용하고 있으며, 공공·통신기관 등에서도 검토중이다. 개인 사용자에게는 무료로 제공하고 있으며, 홈페이지 다운로드 기준 12만명을 넘었다.
한편 체크멀은 지란지교와 MOU를 맺고 국내외 판매 채널을 확대하고 있다. 지란지교 국내 판매망은 물론이고, 일본법인과 동남아 법인을 통해 일본·동남아 시장 진출에 본격적으로 나선다.
김정훈 대표는 “지란지교와의 협력을 통해 국내외 시장에서 인지도를 높이고 판매망을 확충하는 한편, 새로운 제품 개발에도 매진해 차기 성장동력을 마련할 계획”이라며 “체크멀은 프로세스 행위를 분석해 이상행위를 탐지하는 기술을 갖고 있으므로, 이를 활용한 다양한 보안 솔루션을 선보일 수 있을 것”이라고 말했다.
