보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

V3, 랜섬웨어 대응도 한발 앞서다

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2016-09-05

랜섬웨어에 감염되어 파일이 암호화되고 나면 공격자에게 돈을 지불하지 않는 한 파일 복구가 거의 불가능하다는 것은 널리 알려진 사실이다. 결국 감염되지 않도록 예방하는 것만이 최선이지만, 전세계적으로 신•변종 랜섬웨어가 급격하게 증가하는 반면 마땅한 예방책은 없는 실정이다.

안랩은 자사 기술과 제품을 기반으로 ‘랜섬웨어 멀티레이어드 대응(Multi-Layered Detection Protection)’ 체계를 마련하고, 다양한 진단 기술과 기능 추가를 통해 랜섬웨어 대응력을 지속적으로 강화하고 있다. 특히 지난 6월 V3 제품군에 디코이(Decoy) 진단 기술을 적용한데 이어, 최근에는 ‘랜섬웨어 보안 폴더’ 기능을 추가하는 등 엔드포인트단에서의 능동적인 랜섬웨어 대응 강화를 꾀하고 있다. 

 

안랩이 자사 윈도우용 V3 제품군의 랜섬웨어 대응 강화를 위해 ‘랜섬웨어 보안 폴더’ 기능을 추가했다. 새로 추가된 랜섬웨어 보안 폴더는 V3 365 클리닉, V3 Lite를 비롯해 V3 인터넷 시큐리티 9.0(V3 Internet Security 9.0), V3 엔드포인트 시큐리티 9.0(V3 Endpoint Security 9.0), V3 넷 포 윈도우 서버 9.0(V3 Net for Windows Server 9.0) 등 개인 및 기업용 V3 제품군에서 이용할 수 있다. 

 

파일 암호화 방지의 키, ‘랜섬웨어 보안 폴더’

V3에 새롭게 추가된 ‘랜섬웨어 보안 폴더’ 기능은 사용자가 지정한 폴더에 허용하지 않은 프로세스가 접근하는 것을 차단하는 기능이다. 사용자가 중요한 파일이 저장된 폴더를 ‘랜섬웨어 보안 폴더’로 설정하면 해당 폴더 내 파일에 대한 수정이나 삭제, 또는 해당 폴더 안에 새로운 파일을 생성하는 것을 방지한다. 따라서 만일 랜섬웨어가 PC에 유입되더라도 보안 폴더로 지정된 폴더 내의 파일은 암호화하지 못 한다. 

 

USB나 외장하드 등을 이용한 번거로운 백업 작업이나 복잡한 PC 복구 설정과 달리, 간단한 설정만으로 중요한 파일이 암호화되는 것을 방지할 수 있어 랜섬웨어 피해 예방에 실질적인 효과를 발휘할 전망이다. 또 별도의 복구 솔루션 도입도 필요하지 않아 기업의 보안 비용 부담과 운영 및 관리 부담까지 해소할 수 있을 것으로 기대된다.  

 

[그림 1] V3 ‘랜섬웨어 보안 폴더 설정’

 

랜섬웨어 보안 폴더 기능은 [그림 1]과 같이 ‘환경설정’에서 사용 여부를 선택(On/Off)할 수 있으며, 마찬가지로 환경설정에서 보호할 폴더의 경로를 지정할 수 있다. ‘랜섬웨어 보안 폴더 대상 설정’에서 ‘추가’ 버튼을 통해 최대 100개까지 폴더 지정이 가능하다. 단, 운영체제 구동과 관련된 폴더 및 파일은 수시로 변경이 필요하기 때문에 해당 폴더는 랜섬웨어 보안 폴더로 설정할 수 없다.

 

랜섬웨어 보안 폴더로 지정된 폴더에 허용되지 않은 프로세스, 즉 편집 시도가 발생할 경우 [그림 2]의 왼쪽과 같은 ‘접근 차단’ 알림창이 나타난다. 또 랜섬웨어가 주로 사용하는 프로세스가 확인될 경우, 알림창([그림 2] 오른쪽)을 통해 상세한 안내를 제공한다. 랜섬웨어가 주로 사용하는 프로세스는 허용 프로세스로 추가할 수 없다. 

 

[그림 2] V3 랜섬웨어 보안 폴더 알림창

 

신•변종 랜섬웨어에 대해 보다 강력하게 대응하기 위해 ‘랜섬웨어 보안 폴더’로 설정된 폴더 내 파일에 대한 편집이 원천적으로 제한된다. 사용자가 해당 폴더 내의 파일을 수정 등 편집하기 위해서는 환경설정에서 ‘랜섬웨어 보안 폴더 사용’을 비활성화하거나 ‘허용 프로세스 설정’ 기능을 통해 수정을 원하는 파일에 대해 예외 처리를 해야한다. 단, 이 경우 랜섬웨어 감염 시 해당 파일이 암호화될 우려가 있다. 편의를 위해서는 가급적 수정이 완료된 중요 문서나 수정이 불필요한 사진, 영상 등이 보관된 폴더를 보안 폴더로 지정하는 것이 좋다. 

 

‘미끼’를 물어버리게 하는 디코이 기술 

안랩은 지난 6월, V3 제품의 신•변종 랜섬웨어 진단 강화를 위해 ‘디코이(Decoy) 진단’ 기술을 새롭게 적용했다. 디코이 진단이란 말 그대로 랜섬웨어를 유인하는 미끼(Decoy)를 이용하는 기술로, 특정한 파일 및 폴더를 이용해 암호화 또는 파일명 변경 등을 시도하는 프로그램을 탐지 및 차단한다. 

 

안랩은 V3 제품군의 디코이 진단 기술 적용 후 2개월 여간 사용자 의견을 수집하였으며, 9월 중 패치를 통해 디코이 기능의 사용자 편의성을 강화하고 최신 랜섬웨어 동향을 반영할 예정이다. 기존에는 ‘숨김 폴더’ 속성을 이용해 루트(Root) 경로에 디코이 폴더를 생성하는 방식이었으나, 이번 업데이트를 통해 숨김 폴더 옵션을 활성화(On)하더라도 사용자에게는 디코이 폴더와 파일이 보이지 않도록 변경함으로써 불편함을 최소화했다. 

 

또 다중 문서 변조 행위를 기반으로 랜섬웨어를 탐지하는 기능도 추가된다. 최근 일부 랜섬웨어는 기존의 랜섬웨어와 달리 PC 감염 후 랜덤한 순서로 파일 및 폴더를 암호화한다. V3는 다수의 문서를 변경하는 행위를 탐지함으로써 효과적으로 대응한다. 이 밖에도 최신 랜섬웨어를 포함해 시스템 재부팅 시 함께 시작되도록 설정하는 기능을 가진 악성코드를 차단하는 기능이 추가되는 등 V3의 악성코드 대응력을 한층 강화했다. 

 

안랩은 강력한 랜섬웨어 대응을 위해 V3 제품군 및 MDS를 비롯한 다양한 자사 제품의 진단 기술과 기능을 지속적으로 개발 및 개선하고 있다. 기업 환경 및 비즈니스 특성에 따라 V3와 지능형 위협 대응 솔루션 AhnLab MDS를 따로, 또 같이 이용함으로써 더욱 강력한 멀티레이어드 대응(Multi-Layered Detection Protection)이 가능하다. 또한 안랩은 지난 7월부터 자사 홈페이지를 통해 신∙변종 랜섬웨어 탐지 및 격리 프로그램인 ‘안티 랜섬웨어 툴‘ 베타 버전을 개인 및 기업에 무료로 제공하고 있다. 

 

한편 이번 V3 제품군 업데이트와 관련해 이호웅 안랩 연구소장은 “V3 제품군은 이미 시그니처, 클라우드, 행위 기반, 디코이 진단 등 랜섬웨어를 비롯한 최신 보안 위협 대응 기술을 제공하고 있다”며, “이번 업데이트로 개인과 조직의 전반적인 보안 위협 대응 수준을 향상시킬 수 있을 것으로 기대한다”고 말했다. 

 

  • AhnLab 로고
  • 콘텐츠기획팀 김동빈 차장
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.