> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[랜섬웨어⑤] 랜섬웨어 프로세스 차단해 원천 방어
랜섬웨어 차단 전용 솔루션, 파일에 대한 이상 접근행위 탐지해 차단
     관련기사
  [랜섬웨어①] 랜섬웨어, 기업 데이터 표적 공격 진행
  [랜섬웨어②] 데이터 집중된 클라우드 ‘위험’
  [랜섬웨어③] 막히면 ‘돌아 들어가는’ 신종 공격
  [랜섬웨어④] 피해자 돈 줄 수록 공격 늘어
  시만텍, SMB 위한 랜섬웨어 대응 솔루션 출시
2016년 09월 27일 17:33:55 김선애 기자 iyamm@datanet.co.kr

랜섬웨어는 개인과 기업에게 모두 위협적인 사이버 공격이 되고 있다. 랜섬웨어는 APT 공격 기법을 결합하면서 지능화되고 있는데, 사회공학적 기법을 이용해 사용자를 유인하고, 방어 기술을 지능적으로 우회해 기존 방어 시스템으로 막을 수 없게 만든다. 랜섬웨어의 역사와 최근 공격기법을 알아본다. <편집자>

랜섬웨어 피해를 막기 위해 백업이 강조되지만, 근본적인 해결책은 아니다. 온라인으로 실시간 복제되는 백업은 파일이 암호화되는 순간, 암호화된 파일이 백업되기 때문에 데이터를 보호할 수 없다.

따라서 네트워크로 실시간 연결되지 않은 안전한 곳에 정기적으로 백업을 해야 하는데, 마지막 백업을 하고 난 후 부터 파일이 암호화 되는 시점까지 생성·변경된 데이터는 복구할 수 없어 데이터의 정합성을 보장할 수 없다.

랜섬웨어 차단 전용 솔루션 속속 등장

랜섬웨어 차단을 위해 국내 백신 솔루션은 ‘미끼’를 투척하고 랜섬웨어 악성코드가 파일을 암호화하는 것을 찾아내 차단한다. 악성코드가 윈도우 탐색기를 찾아 파일을 차례로 암호화하는 패턴을 이용하는 것으로, 임의의 파일을 몇 개 생성해 윈도우 탐색기에서 제일 위에 위치하도록 이름을 정한다. 임시파일이 암호화되면 해당 프로세스를 랜섬웨어로 인지하고 차단한다.

이 방식이 어느 정도 효과를 얻고 있지만, 완전한 해결책은 되지 못한다. 이보다 더 진화한 방법으로, 대량의 파일에 접근해 암호화하는 시도를 찾아 차단하는 방법이 제안된다. 랜섬웨어는 파일의 레지스트리를 바꾸고 암호화 한 후 기존 파일에 덮어쓰는데, 이 행위가 감지되면 해당 프로세스를 차단하는 방식이다. 이 방식은 구성이 까다롭고 우회가 쉽기 때문에 여러 탐지 기술과 함께 사용하는 것이 좋다.

닉스테크의 랜섬웨어 차단 전용 솔루션 ‘세이프 프로세스’는 랜섬웨어 행위를 탐지하는 솔루션으로, 블랙리스트, 화이트리스트, 임계치 기반 정책의 3단계에 걸쳐 차단한다.

블랙리스트 방식은 평판 분석 정보를 기반으로, 의심행위가 해로운 행위인지 아닌지 살펴본다. 알려진 악성코드와 악성 URL, 악성 프로세스를 차단한다. 화이트리스트는 문서에 접근하는 프로세스 중 허용되지 않은 행위를 차단한다.

블랙리스트와 화이트리스트 기반 차단 정책도 우회한 악성코드가 있다면 임계치 기반 차단 정책을 적용하는데, 랜섬웨어는 파일을의 이름을 변경하고, 이동하고, 삭제/암호화하는데, 일정한 수준 이상의 행위가 발생했을 때 차단해 오탐 없이 차단한다. DRM 등 정상적인 문서 암호화 프로세스는 예외처리를해 업무 불편을 최소화한다.

구자진 닉스테크 연구소장은 “세이프 프로세스는 랜섬웨어 차단 뿐 아니라 내부직원이나 해킹에 의한 데이터 유출·훼손도 막을 수 있다. 일시에 많은 데이터를 이동시키거나 삭제하려고 할 때 차단해 데이터를 보호할 수 있다”며 “닉스테크의 매체제어 기술을 기반으로 개발돼 기술의 안정성은 매우 높다고 자신한다”고 말했다.

   
▲랜섬웨어 프로세스와 차단 방법(자료: 닉스테크)

랜섬웨어 차단·데이터 백업으로 이중 방어

스타트업인 체크멀이 개발한 ‘앱체크프로’는 랜섬웨어 프로세스 차단과 백업을 동시에 수행해 랜섬웨어 피해를 입었다 해도 데이터를 안전하게 복구할 수 있도록 한다.

앱체크프로의 ‘CARB’ 엔진은 상황인식 기반 분석 기술을 제공해 파일이 변경될 때 나타나는 이벤트 중 비정상적인 프로세스를 차단해 시그니처 업데이트 없이 랜섬웨어 탐지가 가능하다. 파일 변경 행위가 탐지됐을 때 데이터를 즉시 단말의 안전한 저장 공간에 백업하고 해당 프로세스를 차단한다. 안전저장영역은 커널 기반 보호 기술을 제공해 허가되지 않은 사용자의 무단 암호화·삭제·변경을 원천 차단한다. 9월 중 리모트 서버 백업 기능을 추가해 데이터 보호 효과를 높일 방침이다.

체크멀은 지란지교와 MOU를 맺고 국내외 판매 채널을 확대하고 있다. 지란지교 국내 판매망은 물론이고, 일본법인과 동남아 법인을 통해 일본·동남아 시장 진출에 본격적으로 나선다.

김정훈 대표는 “지란지교와의 협력을 통해 국내외 시장에서 인지도를 높이고 판매망을 확충하는 한편, 새로운 제품 개발에도 매진해 차기 성장동력을 마련할 계획”이라며 “체크멀은 프로세스 행위를 분석해 이상행위를 탐지하는 기술을 갖고 있으므로, 이를 활용한 다양한 보안 솔루션을 선보일 수 있을 것”이라고 말했다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  랜섬웨어, APT, 공격, 사이버 공격, 사이버 보안, 인질, 데이터, 데이터 보안, 암호화

가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr