랜섬웨어 대응 솔루션(사전 방어 VS 사후 복구)

 

랜섬웨어란?
   몸값을 뜻 하는 '랜섬(Ransom)' 과 '소프트웨어(Software)'의 합성어로, 파일을 인질로 잡아 금전(몸값)을 요규하는 소프트웨어'라는 의미합니다.


감염증상
   ① PC 및 네트워크의 중요 파일을 풀 수 없도록 암호화 함.(→ 파일 실행이 불가능함)
   ② 감염된 파일은 확장자가 변조되고, 모든 폴더 내에 악성프로그램 파일이 생성됨
   ③ 네트워크에 연결 되어 있지 않아도 파일이 자동 변조 됨


랜섬웨어 대응 기술
랜섬웨어 대응 기술은 크게 사전방어와 백업(+복원) 기술로 나누어져 있습니다.
사전방어 솔루션은 백신 프로그램과 같이 랜섬웨어 감염시 동작을 즉시 차단시켜 금전적/시간적으로 가장 이상적이지만, 랜섬웨어의 발생으로 인해 개발되어진 솔루션으로 진화하는 랜섬웨어의 기술에 대한 사전차단이 충분히 가능한가에 대한 부분을 충분히 검토하고 검증하여 도입하는것이 중요합니다.
백업(+복원) 기술은 랜섬웨어 감염시 금전적/시간적 손실이 발생되지만 그만큼 이전과 다르게 백업/복원 기술이 많이 발달되어 현재 랜섬웨어 대응 기술로 주목 받고 있는 기술입니다.

 

랜섬웨어 대응 기술 단순비교

 

랜섬웨어 방어제품(핵심 기술 관점)
   ① 사전방어 솔루션 : intercept x, nuri anti-ransomware, ahnlab mds, trojancut ransomfree, sansomeye, docstory 등
   ② 백업(+복구) : 아크로닉스, 아크서브, 시만텍, EMC 등

 

랜섬웨어 사전방어 솔루션 주요기능 
   ① Signature 기반 담지 : 국내외 백신 등에 포함된 기능으로 플랫폼 데이터 베이스에 의한 탐지 기법
   ② Behavior 기반 탐지 : 행위 기반 탐지 기법으로 메타 정보 및 룰 DB에 의한 탐지 기법
   ③ Network 기반 탐지 : 네트워크 장비를 통한 탐지 기법으로 파일의 해쉬, IP, URL, 도메인 정보 등의 DB정보를 통한 탐지 기법
   ④ Becoy based : 미끼파일을 변조한 프로세스의 탐지
   ⑤ Exploit Detection : 어플리케이션의 취약점 발생 시점에 탐지
   ⑥ Policy Based : 보호대상을 지정하거나 어플리케이션 에 변경 권한을 등록하여 탐지하는 기법
   ⑦ 상황 인식 기반 행위 탐지 : 파일의 변조 시점에 정상적 변경과 악의적 변경을 판단하여 파일을 일시적으로 백업 후 복구하는 기법

※ 백업 솔루션 주요기능은 서버관리 -> "백업솔루션이란?" 글을 참고해주세요.

마지막으로
랜섬웨어 방어 체계는 정보자산의 중요도 평가 진행 후 분류에 따라 사전방어 솔루션과 백업 솔루션 적용을 차등 적용하는것이 바람직합니다. 사전방어 솔루션은 기능 및 유지, 관리 부분을 충분히 고려하여 도입하는것이 중요하며 백업 솔루션은 랜섬웨어 대응을 위해 1차, 2차 백업 체계를 구축하고 가능한 백업 시점을 충분히 확보하고 백업 스케쥴을 조정하여 데이터의 손실을 최소화 하는것이 좋습니다.

  
기타 문의사항은 댓글 남겨주세요^^