에스엠테크놀러지, 랜섬웨어 완벽차단기술 최초 개발

Printer-friendly versionPrinter-friendly versionSend by emailSend by email
공격자들의 뒤를 쫓는 방식은 한계, 공격자들이 방어자들의 뒤를 쫓게 만드는 기술기반 구축
Wednesday, April 12th, 2017
랜섬웨어1

랜섬웨어 차단 개념

[편집자 주] "S기업 R&D센터는 얼마 전 큰 곤욕을 치렀다. 수년간 막대한 비용을 들여 성과를 낸 연구자료가 랜섬웨어에 감염돼 무용지물 상태에 놓였기 때문이다. 결국 S기업은 공격자로부터 요구한 금전을 보낸 뒤에야 암호를 풀 수 있었다. 또한, K씨는 지난 5년간 찍었던 신혼사진과 아이 돌 사진과 동영상이 랜섬웨어 때문에 한 순간에 디지털 쓰레기로 변했다. 비트코인인가 하는 걸로 돈을 내야 한단다"
한국랜섬웨어침해대응센터의 설문조사에 의하면 올해 전세계 글로벌 컴퍼니 IT부서 직원들의 50%, CIO의 70%가 2017년 제1 우선순위로 해결할 목표를 랜섬웨어 방지라고 응답했다. Korea IT Times는 지난 10일 세계 최초로 개발된 랜섬웨어 완벽차단 기술, 독스토리(DocStory) 솔루션에 대해 에스엠테크놀러지(SM Technology) 김성기 부대표(CTO)와 인터뷰를 가졌다. 랜섬웨어로부터 자유로울 수 있는 IT세상이 가능할 것인가?

Korea IT Times(KIT): 랜섬웨어란 무엇인가

김성기(김): 랜섬웨어란(Ransomware) 몸값을 뜻하는 랜섬(Ransom)과 소프트웨어(Software)의 합성어로서, 파일을 인질로 잡아 금전을 요구하는 악성코드다. 이메일 또는 악의적인 링크를 통한 감염으로 일단 설치되면, PC이용자는 시스템과 파일에 접근이 불가능하게된다. 해결방법은 몸값을 지불하거나 해당파일을 영구히 날려버리거나 둘 중의 하나다.

한국랜섬웨어침해대응센터의 집계에 따르면 2016년 한해 자그마치 49%의 기업이 사이버 랜섬 공격의 대상이 되었다. 감염대상은 2015년 피해를 본 감염자 수가 5만3천명, 2016년 15만명이 감염 되 피해증가가 급증하고있다. 요구하는 비트코인의 가격도 2016년 초 400달러대에 거래되었던 것이 현재는 600달러를 넘겼다. 2015년 피해액 1,090억원, 2016년 피해액 3,000억원을 육박하는 실정이다.

KIT: 랜섬웨어 치료방법은 있는지?

김: 아쉽게도 치료방법은 없고 다만 예방이 최선이다. 정상 접근과 부정 접근을 지능적으로 구분하여, 부정접근 시 차단하고 사용자에게 알리는 '랜섬블락'이 최선이다.

KIT: 부정한 접근을 완벽하게 차단할 수 있는 안전폴더가 있는가

김: 랜섬블락으로 PC에 있는 소중한 자료를 보호하지만 한 차원 더 안전하게 보호 할 수 있는 안전폴더를 지원하는 것이 중요하다. 에스엠테크놀로지는 일반 폴더처럼 사용하기 편리함은 물론, 부정한 접근을 완벽히 차단하고 동시에 운영비용을 획기적으로 줄일 수 있는 안전폴더를 개발했다.

랜섬웨어가 침투하고 실제 암호화가 진행되기까지 전체 과정은 여러가지 조건을 충족해야 한다.
URL필더링 웹게이트웨이 - 멀웨어 시스템 안착- C&C서버접속- 암호화기능 다운로드, C&C서버 접속유지- 파일 암호화로 이어지는 과정에 탐지의 기회가 풍부히 들어있다. 그런데 왜 랜섬웨어 성공률이 높은 것인가? 자그마치 랜섬웨어로 벌어들인 금액이 1조원을 돌파했다.

KIT: 랜섬웨어 성공률이 높은 이유는?

김: 우선 3가지로 요약할 수 있다.
(1) 2016년 11월 보안 전문가들은 SVG파일에 대한 익스플로잇의 변종을 발견했다. SVG란 XML을 바탕으로 한 벡터 이미지 포맷으로 웹 브라우저 및 다양한 애플리케이션과 호환이 되고 사람들은 SNS를 통해 SVG파일을 주고 받는다.
(2) 공격자들이 SVG파일에 악성 자바스크립트 코드를 삽입하는 법을 개발했다. 이미지를 클릭해 보고 싶은 사용자들의 마음을 꿰뚫은 것이다.
(3) SVG파일의 악성코드는 난독화 처리되기 때문에 탐지가 매우 어렵다. 서명을 기반으로 한 탐지기법은 거의 100% 무용지물이 된다.

이렇듯, 우리가 갖고 있는 방어시스템은 언젠가 반드시 뚫리고, 공격자가 방어자보다 항상 빠르다. 결국 공격자들의 뒤를 쫓는 방식은 한계가 있기 때문에 공격자들이 방어자들의 뒤를 쫓게 만드는 기술 기반이 필요하다

KIT: 공격자가 방어자의 뒤를 쫓게 만드는 새로운 패러다임의 기반은 어떤 기술인가

김: 에스엠테크놀러지에서 이번에 개발한, 독스토리(DocStoryRB) 솔루션은 랜섬웨어 차단 및 데이터 백업을 지원한다. 즉 엔드포인트 구간에 침투한 랜섬웨어가 데이터에 접근하는 것을 원천 차단하고 해당 위협정보를 관제서버로 실시간 통보하는 기능을 한다. 또한 실시간으로 생성.수정되는 데이터를 서버로 백업하고 시점 별 원상복구를 활성화시킨다.

KIT: 화이트리스트 기술은 오래 전부터 나와 있었으나, 사용자 편의성을 높이는 데 한계점이 있는 것으로 알고 있다. 기존 기술과의 차별점은 어떤 것인가?

김 : 시그니쳐, 행위기반, 예방적 차원 복업 복구, 블랙리스트, 패턴, 클라우드 인증 등 다양한 보안 기술을 엔드포인트(Endpoint)에 적용해왔다. 결국! 해커가 승리했다. 해커가 선택할 옵션은 다양하다. 결국 보안을 고도화 하는데 기존으로 한계점이 많이 보이기 때문에, 이러한 한계를 극복하는 최선의 방안이 필요했다. 그래서 선택한 기술적 방안은 화이트리스트였으나 너무 불편했다. 그래서 이를 고도화할 아이디어와 생각을 기술개발 단계에서 수년간의 시행착오를 거쳐 정립하고 이를 솔루션화하였다. 화이트리스트 기반인데, 사용자 편의성은 기존의 보안 제품 수준과 동등하게 운영된다면 가장 좋은 모델일 것이라 생각했다. 우리의 조직은 이를 실현 가능하게 했다.

KIT: 독스토리(DocStory RB) 솔루션 성능에 대한 자세한 설명을 부탁한다.

랜섬웨어3

김: DocStoryRB는 새로운 패러다임의 기술로서, 랜섬웨어가 노리는 데이터 접근을 통제하는 성능이다. 화이트리스트 방식 접근 통제와 사용자 실행 허용 및 불허, 두가지 권한 조정으로 조직의 특성에 맞게 유연성을 높일 수 있다. 또한 랜섬웨어 피해를 최소화할 수 있는 최종 병기로서 실시간 데이터 변경을 추적하여 자동으로 백업한다.

랜섬웨어4

(1) DWD(Data WhiteList Defense)
랜섬블락(Ransom Block)엔진을 이용하여 문서를 편집하려는 애플리케이션 경로와 디지털 서명 등을 화이트리스트와 비교하여 신뢰성을 검증한다. 신뢰하지 않는 애플리케이션, 프로세스에 의한 파일 변경.삭제와 암호와 시도가 발생하면 해당 행위를 중지하고 해당 로그를 서버로 전송한다.

2)DRB(Data Realtime Backup)
엔드포인트에서 문서 등 작업시 생성.수정되는 주요 문서에 대하여 실시간 백업하는 기능을 한다. 또한 랜섬웨어등 악성코드로 인하여 자료가 훼손되는 경우 훼손직전, 또는 원하는 시점의 자료로 원상복구 할 수있다.

랜섬웨어4

(3)DSCM(DocStory Control manager

통합관리솔루션으로 엔드포인트에서 구동중인 DWD와 DRB에 다양한 정책을 실시간으로 내려 보낼 수있다. 엔드포인트의 상황을 실시간 모니터링 할 수있는 데쉬보드를 지원한다. 이와 동시에 엔드포인트에서 발생하는 이상 프로세스의 활동에 대한 로그가 실시간 통보되어 빠른 대응을 가능하게 한다.

KIT: DocStory솔루션의 시장 경쟁력은 어떤가

김: 독스토리 솔루션은 최소 비용으로 최고의 방어효과를 낼수있는것이 유일한 경쟁력이다.
기존 예방 시스템들은 방어효과를 높이기위해서 추가장비를 도입하여 운영하기 때문에 고비용이 발생한데 비해 독스토리는 추가장비없이 최고 수준의 방어효과를 충족시킬수 있는 솔루션이다.

지원 기능 및 구현기술의 강점은, 자동화된 실시간 데이터 보호, 실시간 동기화 및 스케쥴링 백업 지원, 윈도우 부팅시 랜섬 블락 엔진으로 자동 프로그램 구동, 네트워크 드라이브의 저장 장치 지원, 데이터 파일 확장자 필터링 기능,시점 백업으로 잘못 저장된 파일 복구 지원,파일 및 폴더의 생성, 복사, 수정, 삭제이름 변경 동기화, 윈도우(Window)7이상의 모든 MS기반 OS지원, 백업 수행시 동일 폴더내 중복제거 기능, 관리자의 정책에 따른 클라이언트 동작 제어 지원

KIT: 에스엠테크놀러지의 지적재산권 및 인증 현황은

김: (1)이동식 저장장치의 보안방법 및 그에 따른 이동식 저장장치, (2)가상호출 경로를 이용한
드라이버 보안 시스템 및 방법, (3)화이트리스트 기반 랜섬웨어 차단 장치 및 방법 등의 특허를 받았고 또한 (4) 한국정보통신기술협회(TTA)에서 인증하는 GS 1등급(DocStory v1.0)를 취득했다.

 

 

 

 

 

랜섬웨어3

Comments

 

Sorry, you need to install flash to see this content.