Home > 전체기사
랜섬웨어 피해 더 이상 안돼! 전문 대응 솔루션 비교
  |  입력 : 2018-01-15 17:12
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
행위기반에 백업, AI와 센서 등 저마다의 장점 내세우며 시장 공략
주로 기업 사용자 중심으로 시장 형성...연간 라이선스 비용으로 가격 책정


[보안뉴스 원병철 기자] 2017년 말부터 정부기관과 정보보안 기업들이 내놓은 ‘2017년 보안이슈 결산’이나 ‘2018 보안이슈 전망’ 자료를 보면 공통적인 이슈들이 몇 가지 있다. 랜섬웨어나 IoT, 블록체인과 클라우드 서비스 등이 그 것. 그중에서도 2017년 결산과 2018년 예상에서 빠지지 않고 등장하는 것이 바로 ‘랜섬웨어’다.

▲국내 대표 랜섬웨어 전문 솔루션 7종[자료=보안뉴스, 제품명 가나다순]


랜섬웨어(Ransomware)는 몸값을 의미하는 ‘랜섬(Ransom)’과 소프트웨어(Software)가 결합한 단어로, 말 그대로 사용자 PC의 자료들을 인질로 몸값을 요구하는 악성코드 공격이다. 주로 사용자 PC의 자료들, 예를 들면 사진이나 문서를 암호화해서 사용할 수 없도록 한 후, 암호를 풀어주는 대가로 돈을 요구한다.

문제는 랜섬웨어에 감염돼 자료가 암호화되면 전문가들도 해결할 수 없기 때문에 공격자의 요구대로 몸값을 주거나, 아예 자료를 포기하는 수밖에 없다. 이 때문에 애초에 랜섬웨어에 감염되지 않는 것이 더욱 중요해졌다. 특히, 랜섬웨어가 일반 사용자를 노리던 것과 달리 이제는 기업을 대상으로 공격하는 일이 잦아지면서 사람들의 위기감이 높아지기 시작했다. 단순히 중요한 자료가 사라지는 것에서 기업의 존립을 좌우할 위협이 된 것이다.

상황이 심각해지자 사람들은 랜섬웨어 전문 솔루션을 찾기 시작했고, 발 빠른 기업들은 제품을 하나씩 선보이며 시장을 넓혀가고 있다. 물론 랜섬웨어 전문 솔루션은 아직 많진 않지만, 저마다의 방식을 통해 랜섬웨어 예방과 함께 자료 백업 및 복구를 돕고 있다.

누리 안티랜섬_누리랩
누리랩의 ‘누리 안티랜섬’ 솔루션은 패턴 기반에 의존하는 일반 백신 프로그램의 한계를 해결해 랜섬웨어의 위협으로부터 사용자의 시스템을 보호할 수 있는 효과적인 솔루션이다. 누리 안티랜섬은 행위기반의 솔루션으로 여기에 AI 기능을 접목해 랜섬웨어 진단을 보다 강화했다. 예를 들면, 랜섬웨어가 문서를 암호화하는 것과 압축 프로그램이 압축하는 행위가 같은데, AI가 이러한 차이를 구분해준다. 사용자의 불편함을 최소화할 수 있도록 상호 보완하는 것이다.

개인용과 기업용으로 구분되어 있지만 기본 솔루션을 같으며, 기업용은 전체 솔루션을 관리할 수 있는 점에서 차이가 있다. 1카피에 2만원이며 기업용의 경우 규모에 따라 가격이 달라진다.

데이터 세이프 + 안티 랜섬웨어 툴_안랩
안랩이 베타 버전으로 출시한 데이터 세이프는 중요한 파일을 PC 내부의 특정 폴더에 주기적으로 백업을 하는 프로그램으로 자체 보호 기술을 이용하여 항상 그 경로는 보호하고 있기 때문에 랜섬웨어에 걸리더라도 손상이 전혀 없는 게 특징이다. 가장 큰 장점으로는 평소 중요한 문서나 사진을 주기적으로 백업하기 때문에 언제든지 복구가 가능하다는 점이다.

특히, 안랩은 계속 다양화되고 있는 신·변종 랜섬웨어의 피해를 최소화 위해 멀티레이어드 대응(Multi-Layered Protection)을 제공하고 있다. 기존 안랩의 대표 백신인 V3와 함께 안티랜섬웨어 툴, 안랩 데이터 세이프를 사용하시면 더욱 강력한 대응이 가능해진다는 설명이다.

랜섬쉴드 엔터프라이즈_이스트시큐리티
랜섬쉴드는 사전방어와 데이터 보호를 한 번에 할 수 있는 솔루션이다. 랜섬쉴드는 랜섬웨어 방어(랜섬웨어 차단 및 훼손 파일 복구), PC백업(파일 생성/수정시 PC에 실시간 백업, 필요시 사용자가 일괄 복원), 클라우드 백업(관리자 정책에 따라 클라우드에 한 번 더 실시간 백업) 등 3단계 대응을 통해 방어한다.

국내 최초의 랜섬웨어 차단 기술특허 제품이며, 2016년 기준 397만 건의 랜섬웨어를 차단하는 성과를 거뒀다. 또한, 랜섬웨어 전문가로 구성된 ‘시큐리티 대응센터’를 운영하는 것도 특징이다. 엔터프라이즈 버전은 클라이언트가 1년에 21,600원, 중앙 서버는 하드웨어 포함 500만원과 1,000만원 두 종류(이건 영구 구입)다.

랜섬아이 v3.0_베일리테크
베일리테크의 랜섬아이는 2017년 4월 전 세계를 떠들썩하게 했던 워너크라이 랜섬웨어를 차단한 것으로 유명세를 떨친 제품이다. 랜섬아이는 워너크라이를 등록하지 않았음에도 효과적으로 차단할 수 있었는데, 이는 4단계로 작동하는 랜섬아이의 기능 중 ‘센서’에 의한 프로세스 차단기능이 워너크라이를 차단했기 때문이다.

랜섬아이의 센서는 랜섬웨어의 암호화 행위를 탐지해 암호화하기 전 프로세스를 차단한다. 랜섬아이 역시 1단계 블랙리스트(Black List) 방식과 2단계 랜섬웨어 유사도 검사로 랜섬웨어를 차단하는데, 워너크라이가 급작스레 확산된 탓에 블랙리스트 업데이트가 이루어지기 전, 센서에 의한 프로세스 차단을 통해 막을 수 있었다는 얘기다. 랜섬아이는 이렇게 차단한 랜섬웨어는 확인과정을 거친 후 15분 안에 블랙리스트에 업데이트를 하게 된다. 랜섬아이는 일반인용 클라우드 서비스의 경우 2년 라이선스에 2만 4,000원이다.

리자드 랜섬크런처_이노티움
이노티움의 EDR 기반 4단계 랜섬웨어 방어플랫폼 ‘리자드 랜섬크런처’는 실시간 소프트웨어 인증기술과 행위분석 기술을 개발해 실시간 암호화 보안백업 기술과 융합한 솔루션이다. 이노티움은 랜섬크런처 플랫폼을 자사의 리자드 클라우드, 발자국, 리자드 백업 제품에 탑재했다. 이 기술은 PC와 DB서버를 모두 지원하고 있고, 지능적으로 진화하는 랜섬웨어 방어 수준을 획기적으로 끌어 올린 것으로 평가되고 있다.

리자드 랜섬크런처는 4단계로 작동된다. 1단계는 디지털 서명을 포함한 소프트웨어 인증 단계이고, 2단계는 실시간 이상행위 감시차단 및 확산방지, 랜섬웨어 침해시 순간 백업 및 자동 롤백하는 단계이고, 3단계는 DB와 문서를 로컬 및 원격지 저장소로 동시에 실시간 암호화 보안 및 백업하는 단계이다. 4단계는 악성코드의 작동부터 데이터 접근까지의 단계별로 모니터링하고 실시간 로그분석에 의해 이를 제어하고 확산을 방지한다. 만약 강력한 신종 악성코드에 의해 차단에 실패할 경우에도 사전에 보안 백업한 데이터를 즉시 복구해 업무 연속성을 보장하는 매우 강력하면서도 안정적인 아키텍처의 랜섬웨어 방어플랫폼이다.

세이퍼존 안티 랜섬웨어_세이퍼존
세이퍼존 안티랜섬웨어 솔루션은 실시간으로 랜섬웨어 위협을 원천 차단하는 솔루션으로 주요파일의 변조 차단, 접근제어, 그리고 보호 대상 백업으로 이루어진 3단계 랜섬웨어 방지 메커니즘을 제공한다.

또한 ‘RSA 콘퍼런스 2017’에서 첫 선을 보인 ‘안티 랜섬웨어 보안SSD’는 대전정보문화산업진흥원이 지원하는 정부 기준사이트 구축지원 사업 선정 및 GS인증 1등급을 획득한 제품이다. 지난 3월 국내 출시 이후, 5월 워너크라이 랜섬웨어 사태 시 ‘랜섬웨어 원천 차단’ 기능으로 인기를 끌었다. 안티 랜섬웨어 보안SSD는 운용체계(OS)에서 랜섬웨어 암호화 변조를 자동 탐지·차단한다. 화이트리스트 기반 접근제어와 소프트웨어(SW) 기반 접근제어 방화벽 기능을 탑재한 보안 SSD로 백업이 이루어져 랜섬웨어에서 PC를 안전하게 보호해 준다.

앱체크_체크멀
앱체크는 상황인식기반 행위탐지 방식으로 신·변종의 랜섬웨어를 모두 탐지할 수 있다. 특히, 사전방어와 랜섬웨어 대피소, 자동 백업 등 3단계의 방어 솔루션을 갖춰서 만에 하나 랜섬웨어 방어에 실패하더라도 피해를 복구할 수 있다. 또한, 이메일이나 피싱, 웜이나 익스플로잇 등 감염 방식에 상관없는 전 방위적 방어가 가능하며, 랜섬웨어에 감염된 PC가 네트워크 공유폴더를 암호화하는 것도 탐지 및 접근을 차단한다.

전 세계 약 35만 명의 사용자가 있으며, 22개국에 유료 사용자가 존재하는 것도 앱체크의 장점이다. 또한 애드온(Add-on) 방식의 간편한 설치와 가볍고 안정적인 CARB 엔진, 별도의 관리가 필요 없다.

좀비제로 EDR for Ransomware_엔피코어
국내 CC 인증 및 GS 인증을 획득한 좀비제로 EDR for Ransomware는 랜섬웨어 전용 제품으로 PC에 설치되어 신/변종 랜섬웨어에 행위기반으로 사전대응하고 PC의 데이터를 중앙 스토리지 서버에 백업한다.

랜섬웨어 대응방법은 임계치 이상의 악성 엔트로피 발생 시, 랜섬웨어 프로세스라 판단해 격리 후 해당 프로세스의 패턴 정보를 ZombieZERO Manager에 업로드해, 해당 패턴정보를 EDR이 설치된 다른 PC와 공유해 확산을 방지하는 것이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 5
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)