보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

안랩 안티랜섬웨어 툴, ‘이것’이 궁금하다

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2016-07-13
안랩은 최근 강력한 랜섬웨어 대응 및 사용자의 피해 방지를 위해 ‘안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)’을 개발, 홈페이지를 통해 무료로 배포하고 있다. 랜섬웨어의 피해는 날로 심각해지고 있는 반면, 지금까지의 랜섬웨어 대응은 보안 업데이트 적용이나 데이터 백업 등 다소 소극적이었던 터라 안랩 안티랜섬웨어 툴 베타 버전이 사용자들의 환영을 받고 있다. 안랩 안티랜섬웨어 툴은 특히 연일 등장하는 신•변종 랜섬웨어 대응에 큰 효과를 발휘할 전망이다. 
안랩 안티랜섬웨어 툴이 무엇인지, 다른 안티랜섬웨어 프로그램과 무엇이 다른지 Q&A로 알기 쉽게 정리했다.

 

 

Q1. 안랩 안티랜섬웨어 툴은 무엇인가? 

안랩 안티랜섬웨어 툴(AhnLab Anti-Ransomware Tool)은 랜섬웨어 대응 전용 프로그램으로, 안랩은 보다 신속하게 신•변종 랜섬웨어에 대응하여 사용자 피해를 최소화하기 위해 베타 버전을 무료로 제공하고 있다. 랜섬웨어로 의심되는 파일 및 프로세스를 별도의 가상 환경에 격리하여 검사 및 차단함으로써 사용자의 PC를 보호한다. 

 

Q2. 안랩 안티랜섬웨어 툴이 다른 안티랜섬웨어 프로그램들과 다른 점은 무엇인가? 

안랩 안티랜섬웨어 툴은 클라우드 진단과 가상 환경 기술을 이용해 알려진 랜섬웨어와 신•​변종 랜섬웨어를 신속하고 효율적으로 진단 및 차단한다. 

 

안랩 안티랜섬웨어 툴은 이메일(웹 메일) 및 인터넷 브라우저를 통해, 또는 취약한 웹 사이트 방문이나 광고 배너 클릭을 통해 새로운 파일이 사용자의 PC에 다운로드되어 실행될 때 의심스러운 파일을 검사한다. 이때 효율적인 랜섬웨어 진단을 위해 먼저 ASD 클라우드로 랜섬웨어 여부를 진단한다. ASD 클라우드 진단에서도 확인되지 않은 파일은 PC에 설정된 별도의 가상 환경에 격리하여 검사한다. 해당 파일이 랜섬웨어이더라도 검사하는 동안 PC의 다른 영역에 영향을 미치지 않는다.  

 

가상 환경에서는 해당 파일을 실행하여 행위 기반 모니터링 기술로 신•​변종 랜섬웨어까지 탐지한다. 안랩 안티랜섬웨어 툴이 사용하는 가상 환경은 사용자 PC의 다른 영역과는 완전히 격리된 별도의 공간이기 때문에 이 가상 환경에서 실행되는 랜섬웨어는 PC의 데이터를 손상시키지 않는다.

 

안랩 안티랜섬웨어 툴은 [표 1]과 같이 실행파일(.exe/.dll)을 비롯해 zip, js, ps1, vbs, vbe 등 최근 랜섬웨어들이 자주 이용하는 다양한 형식으로 위장한 의심스러운 파일을 검사한다. 

 

[표 1] 안랩 안티랜섬웨어 툴의 검사 대상

 

Q3. 왜 가상 환경에 랜섬웨어를 격리해야 하나? 바로 진단할 수는 없나?

안랩 안티랜섬웨어 툴이 가상 환경을 통한 격리 기능을 적용한 이유는 랜섬웨어라는 악성코드의 특성 때문이다. 랜섬웨어가 실행되면 PC 내의 파일들이 암호화되면서 피해가 발생한다. 안랩 안티랜섬웨어 툴은 사용자 PC로 유입된 새로운 파일이 실행되는 시점부터 격리된 가상 환경으로 전환해 파일을 실행한다. 따라서 가상 환경 외의 사용자 환경에 존재하는 파일들은 랜섬웨어에 영향을 받지 않는다. 랜섬웨어가 생성하는 레지스트리 런(Run) 키 설정이나 시작 프로그램 폴더에 생성하는 파일들도 가상 환경에만 생성되기 때문에 PC가 재부팅되더라도 랜섬웨어의 피해를 입지 않는다.  

 

일반적인 가상화 기술은 시스템 리소스를 많이 사용하지만, 안랩 안티랜섬웨어 툴은 독자적인 가상화 기술을 적용해 시스템 리소스 사용을 최소화했다. 또한 웹 브라우저를 통해 PC로 새로 유입되는 파일 또는 프로세스만을 검사함으로써 시스템 리소스 사용을 최소화한다. 

 

Q4. 안랩 안티랜섬웨어 툴 설치 이후 PC 상에 나타나는 것이 없는데?

안랩 안티랜섬웨어 툴 설치 시 아래 [그림 1]과 같은 화면이 나타난다. 그러나 설치 후 사용자가 일반적인 작업이나 웹 서핑 등을 할 때는 오른쪽 하단에 트레이 아이콘([그림 1]의 ②)으로 존재한다. 사용자의 불편을 최소화하기 위한 조치이다. 

 

[그림 1] 안랩 안티랜섬웨어 툴 설치 화면

 

이후 인터넷 또는 이메일(웹 메일) 등을 통해 다운로드되는 파일들을 모니터링하고 있다가 사용자가 파일을 열거나 실행하는 순간 가상 환경으로 격리하여 검사를 수행한다. 이때 [그림 2]의 왼쪽과 같이 파일을 검사 중이라는 알림창이 나타난다. 해당 파일이 랜섬웨어로 진단되면 [그림 2]의 오른쪽의 이미지와 같은 알림창이 나타난다.

 



[그림 2] 안랩 안티랜섬웨어 툴 알림창

 

Q5. MBR을 파괴하는 랜섬웨어도 대응할 수 있나? 

안랩 안티랜섬웨어 툴은 의심스러운 파일이 PC에 설치되면 해당 파일을 별도의 가상 환경에 격리하기 때문에 PC에 위협이 되는 행위, 즉 MBR 파괴나 시스템 재부팅, 시스템 강제 종료 등을 차단한다. 특히 2016년 7월 출시일 기준, 무료로 제공되는 안티랜섬웨어 프로그램 중 MBR 보호 기능을 제공하는 프로그램은 안랩 안티랜섬웨어 툴이 유일하다.  

* MBR(Master Boot Record): PC 하드디스크의 첫 번째 영역으로, 운영체제(OS)를 동작하는데 필요한 정보들이 저장되어 있다. MBR 영역이 파괴되면 PC를 이용할 수 없게 되는 등 치명적인 피해가 발생한다. 

 

Q6. 안랩 안티랜섬웨어 툴은 어떻게 이용할 수 있나? 

현재 베타 버전으로 제공되고 있는 안랩 안티랜섬웨어 툴은 개인, 기업 사용자 모두 안랩 홈페이지 랜섬웨어 보안센터에서 무료로 다운로드 및 이용할 수 있다.  단,  설치 후 메인 화면에서 기능이 ‘On‘ 상태인지 반드시 확인해야 한다([그림 1]의 ①). ‘Off’로 되어 있을 경우 작동하지 않기 때문이다. 

 

Q7. 안랩 안티랜섬웨어 툴을 설치하면 V3 없이도 랜섬웨어 대응이 가능한가? 

안랩 안티랜섬웨어 툴은 랜섬웨어 대응 전용 프로그램으로, 랜섬웨어로 의심되는 파일만 검사 및 진단한다. 따라서 랜섬웨어 이외의 스파이웨어, PUP(Potentially Unwanted Program), 트로이목마 등 수많은 악성코드에 대해서는 탐지 및 대응이 불가능하다. 또한 V3는 알려진 랜섬웨어에 대해 탐지하는 즉시 치료도 가능하다. 따라서 V3와 함께 안랩 안티랜섬웨어 툴을 사용하면 급격히 증가하고 있는 신•​변종 랜섬웨어에 대한 보다 적극적이며 효율적인 멀티레이어드 대응(Multi-Layered Detect and Response)이 가능하다. 

 

현재 베타 버전으로 제공되는 안랩 안티랜섬웨어 툴은 개인, 기업 구분 없이 누구나 이용할 수 있다. 안랩은 앞으로도 안티랜섬웨어 툴의 성능을 강화하고 안정화를 위해 지속적으로 업데이트할 예정이다. 아울러 V3 및 안랩 MDS 등 자사 제품의 랜섬웨어 대응력을 지속적으로 강화하고 있다. 

 


 

  • AhnLab 로고
  • 콘텐츠기획팀 김동빈 차장
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.