안랩의 V3 Lite와 V3 365 Clinic은 알려진 랜섬웨어는 최신 시그니처 기반으로, 알려지지 않은 신·변종 랜섬웨어는 앱 격리 검사, 클라우드·행위·평판 기반 탐지 & 진단 등의 기술을 이용해 효과적으로 방어합니다.

V3 Lite / V3 365 Clinic 랜섬웨어 대응 기능

먼저, ‘앱 격리 검사’는 웹 브라우저로부터 새로운 파일이나 실행 파일 등이 다운로드되어 실행될 때, 클라우드 기반 AhnLab Smart Defense(ASD)를 통해 파일을 진단하고 가상 환경으로 격리하여 랜섬웨어인지 여부를 안전하게 검사합니다. 이와 같은 원리로 앱 격리 검사를 사용하면 신·변종 랜섬웨어에 효과적으로 대응하고 피해를 최소화할 수 있습니다.

디코이(Decoy) 파일을 통한 랜섬웨어 진단 기법은 미끼 파일에 대해 암호화, 파일 이름 변경 등을 시도하는 프로그램을 랜섬웨어로 판단하여 차단하는 효과적인 랜섬웨어 방어법입니다. 또, 클라우드·행위·평판 기반 등의 진단 기술을 이용한 탐지 및 차단을 통해서도 사용자를 랜섬웨어로부터 보호합니다.

이와 함께 V3 Lite와 V3 365 Clinic은 주요 데이터 보호를 위한 '랜섬웨어 보안 폴더' 기능을 제공합니다. 랜섬웨어 보안 폴더는 허용하지 않은 의심 프로세스가 랜섬웨어 보안 폴더에 접근하는 경우, 해당 접근을 차단하여 폴더를 보호하는 기능입니다. 랜섬웨어 보안 폴더로 지정할 경우, 해당 폴더에는 허용된 프로세스 이외에는 접근이 불가능하며, 중요 자료들을 랜섬웨어로부터 생성, 수정 및 삭제되지 않도록 보호할 수 있습니다.

랜섬웨어 대응을 위한 V3 환경 설정 방법

V3를 활용해 랜섬웨어에 효과적으로 대응하려면, 아래와 같이 환경 설정을 해주시기 바랍니다.

안랩은 네트워크, 이메일, 엔드포인트 등 랜섬웨어가 공격 과정에서 거치는 모든 구간에서 유기적이고 자동화된 대응 체계를 제공합니다. 다음은 공격 구간 별 안랩의 보안 솔루션과 역할을 정리한 것입니다.

네트워크

네트워크 구간에서는 차세대 방화벽 AhnLab TrusGuard가 랜섬웨어 다운로드 가능성이 높은 IP나 웹사이트에 대해서 실시간으로 차단하는 기능을 제공하며, 외부에서 내부의 중요 자산에 대한 IP, 포트(Port) 접근을 차단하는 역할도 담당합니다.

침입탐지시스템 AhnLab AIPS는 외부에서 시도하는 스캔 공격을 탐지하고, 감염 PC에서 네트워크 취약점 공격을 통해 주요 서버로 확산을 시도하는 공격을 방어합니다. 이를 통해서 감염이 의심되는 PC 정보도 탐지할 수 있습니다.

APT 솔루션 AhnLab MDS는 네트워크 구간에서 웹, 파일서버, FTP를 통해 이동되는 전체 파일 중, 랜섬웨어를 식별해 분석합니다. 시그니처, 평판 엔진 외에도 샌드박스 엔진으로 알려지지 않은 신·변종 랜섬웨어도 탐지합니다. 인터넷망 백본 외에 주요 서버가 위치한 네트워크 구간도 함께 모니터링 한다면 다양한 프로토콜을 통한 위협을 실시간으로 탐지하고 차단할 수 있습니다.

이메일

AhnLab MDS는 메일 본문 링크와 첨부파일을 검사해 안전한 이메일만 수신될 수 있도록 합니다. 이메일 본문의 링크에 대해 네트워크 의심 행위, IP/도메인 평판 정보, 블랙리스트 및 화이트리스트를 기반으로 전수 분석을 진행하고, 다운로드 링크의 파일에 대해서는 직접 다운로드 후 가상환경에서 샌드박스 분석을 진행합니다.

엔드포인트

AhnLab V3는 기본적으로 알려진 랜섬웨어는 최신 시그니처 기반으로, 알려지지 않은 랜섬웨어는 클라우드·행위·평판 기반의 진단 기술을 이용해 탐지·차단합니다. 더불어 랜섬웨어 대응 특화 기능으로, 앱 격리 검사를 통해 랜섬웨어 의심 프로세스를 로컬 가상 영역 내에서 실행 및 탐지·차단이 가능하며, 랜섬웨어 보안 폴더 설정을 통해 중요 문서의 랜섬웨어 감염·암호화를 방지할 수 있습니다.

백신에서 탐지되지 않는 신·변종 랜섬웨어는 AhnLab MDS가 샌드박스와 머신러닝 엔진으로 분석해 감염 전에 차단합니다. AhnLab EDR은 랜섬웨어 공격 시 공격자가 활용한 전체적인 감염 루트와 잔여 악성코드 여부를 확인하여 최종 대응할 수 있도록 정보를 제공합니다. 확인된 공격 루트와 악성코드 정보는 다양한 솔루션의 차단리스트 기능을 활용하여 실시간 차단되도록 등록하여 관리합니다.

이 밖에, 패치 관리 솔루션 AhnLab EPP Patch Management(EPM)는 최신 보안 패치 유지를 통해 랜섬웨어 감염 가능성을 낮추고 감염 확산을 최소화합니다. 많은 랜섬웨어들이 OS 취약점을 활용해 PC 관리자 권한을 탈취하고, 감염을 확산시키는 것을 고려했을 때 패치 관리 역시 랜섬웨어 보안에 있어 중요한 역할을 합니다.

기타

안랩은 보안 컨설팅을 통해 객관적인 현황 분석을 돕고 보안 담당자의 보안 인식 개선을 위해 여러 콘텐츠와 트레이닝을 지원하고 있습니다. 또한, 안랩의 위협 인텔리전스 플랫폼 AhnLab TIP를 통해 다양한 최신 위협 정보를 제공하고 있습니다.

중소기업을 향한 랜섬웨어 공격이 날로 늘어가면서 ▲비용 ▲인력 ▲운영 복잡성으로 인한 고민도 깊어지고 있습니다. 안랩은 SaaS 기반 보안 솔루션 AhnLab Office Security를 중심으로 중소기업에 최적화된 랜섬웨어 대응 역량을 제공합니다.

AhnLab Office Security는 기업 내 다양한 기기의 보안 관리를 별도의 관리 서버 구축 없이 쉽고 간편하게 이용할 수 있습니다. 보안 관리 조직이나 담당자가 없는 중소기업에서도 보안 현황을 편리하게 파악하여 관리할 수 있도록 지원합니다. SaaS 기반 매니지먼트로 보안 운영 편의성을 향상시키면서 보안 인프라 구축 비용 부담을 줄여줍니다.

AhnLab Office Security는 중소기업을 위협하는 악성코드 대응 외에도 다양한 랜섬웨어에 대한 새로운 진단 기능을 강화했습니다. 안티 랜섬웨어 기능을 탑재한 앱 격리 검사를 통해 실시간 방역과 중요 폴더 및 파일 보호를 위한 변조/암호화 방지가 가능합니다.

AhnLab SMB Place에서 중소기업 맞춤형 랜섬웨어 대응에 관한 자세한 정보를 확인해 보세요.