BoB 5기 Corn Kernel 팀, 프로젝트 과제로 안티 랜섬웨어 연구결과 발표
‘새로운 공격루트로 공격하는 랜섬웨어, 어떻게 막을 수 있을까?’로 시작
일부 보안기업, Corn Kernel 팀 연구결과 바탕으로 안티 랜섬웨어 연구에 적용

[보안뉴스 원병철 기자] 최초의 랜섬웨어로 추정되는 AIDS가 1988년 등장한지 벌써 29년이 흘렀다. 긴 시간동안 수많은 랜섬웨어들이 등장하면서 이제는 악성코드를 대표하는 위치에 올랐으며, 지난해 이어 올해도 기승을 부릴 것으로 예상되고 있다.

특히, 랜섬웨어는 지난해와 올해 수많은 기관들과 보안기업, 각종 언론들이 올해 주목해야할 키워드로 꼽고 있는데, 문제는 랜섬웨어를 막는 방법에 대해서는 제대로 언급이 안 되고 있다는 사실이다. 사실 많은 보안전문가들 역시 랜섬웨어 대응으로 ‘아예 걸리지 않거나 백업’ 뿐이라고 이야기하고 있기 때문이다. 그렇다면 시중에 나와 있는 이른바 ‘안티 랜섬웨어’들은 랜섬웨어를 얼마나 막을 수 있을까?


BoB 5기 Corn Kernel 팀, 프로젝트 통해 안티 랜섬웨어 성능 점검
이런 고민을 실행에 옮긴 예비 보안전문가들이 있어 관심을 끌고 있다. 차세대 보안리더 양성 프로그램 ‘BoB 5기’의 Corn Kernel(강냉이) 팀이 바로 그 주인공들이다. 유준영(정보보호 특기병 트랙), 이동형(정보보호 특기병 트랙), 진호준(디지털 포렌식 트랙), 김희성(취약점 분석 트랙), 조철진(취약점 분석 트랙) 등 5명으로 구성된 Corn Kernel 팀은 프로젝트 ‘안티 랜섬웨어’를 통해 실제 안티 랜섬웨어들이 얼마나 잘 랜섬웨어를 막을 수 있는지 실험했다.

Corn Kernel 팀이 안티 랜섬웨어를 주제로 삼은 것은 해당 솔루션들이 과연 랜섬웨어를 얼마나 방어할 수 있을까? 하는 호기심 때문이었다. 특히, Corn Kernel 팀은 랜섬웨어의 공격루트를 알아내 어떻게 방어하는지에 초점을 맞췄고, 이를 위해 특허나 논문은 물론 안티 랜섬웨어들을 조사해서 특성별로 구분했다. 랜섬웨어의 공격루트를 알게 되면 방어할 수 있을 것이라고 생각했기 때문이다.

랜섬웨어가 공격에 성공하기 위해서는 PC에 침입하고 파일을 암호화한 후, 사용자를 협박하는 과정이 필수다. 또한, 암호화 단계에서는 원본 경로를 훼손하고, 원본 데이터를 읽은 후, 암호화 파일을 생성한다. 마지막으로 원본 데이터를 훼손하면 이후 복구가 불가능하다.

보통 안티 랜섬웨어는 접근차단 방식과 암호화 탐지 방식으로 나뉘는데, 접근차단 방식은 허가되지 않는 프로세스가 보호된 경로에 접근하려 할 때만 차단하는 방식이다. 다만 사용자에게 구체적인 경로 설정을 요구하기 때문에 일반 사용자가 사용하기는 어렵다는 문제가 있다.

암호화 탐지 방식은 확장자 기반 탐지와 데이터 기반 탐지로 나뉜다. 주로 사용되는 확장자 기반 탐지는 특정 확장자 파일을 중점적으로 보호하며, 미끼 파일이나 실시간 백업, 행위기반 등을 기반으로 진단한다. 데이터 기반 탐지는 비교적 최근에 도입된 방식으로 데이터의 엔트로피 변화를 감지해 이상 징후를 탐지한다.

4개월간의 연구 끝에 소기의 성과 거둬
Corn Kernel 팀이 랜섬웨어의 새로운 공격루트에 관심을 가진 것은 예전에 ‘파일 시스템’을 공부했던 것에서 힌트를 얻었기 때문이다. 기존 악성코드가 쓰지 않았던 방법으로 공격하면 안티 랜섬웨어가 제대로 대응할 수 있는지 궁금했던 것. 최근 다양한 랜섬웨어 변종이 등장하고 있어서다.


결과만 놓고 봤을 때, 완벽하게 랜섬웨어를 막은 제품은 없었다. Corn Kernel 팀은 국내 백신업체들에게 테스트 샘플을 제공했고, 업체들은 긍정적인 반응을 보였다. 특히, 국내 대표 기업 중 2곳은 이번 연구가 자사의 랜섬웨어 방어기술 연구에 큰 도움이 되었다며 Corn Kernel 팀에게 감사인사를 전하기도 했다.

이번 프로젝트에서 Corn Kernel 팀은 많은 것을 얻을 수 있었다. 프로젝트 매니저였던 취약점 분석 트랙의 김희성 군은 “이번 연구를 통해 내가 무엇을 알고 있는지를 되새길 수 있었고, 백신 분야에 대해 새롭게 공부할 수 있는 기회가 됐다”면서 “이번 프로젝트에서 배운 것을 바탕으로 앞으로도 정보보호 분야 진출에 매진할 것”이라고 다짐했다. 같은 트랙의 조철진 군도 “이번 프로젝트를 통해 배운 점도 많았고, 일반적으로는 할 수 없는 것을 해볼 수 있어서 특별한 경험이었다”고 소감을 밝혔다.

디지털 포렌식 트랙의 진호준 군은 “현재 랜섬웨어는 백업밖에 답이 없다”면서 평소 중요한 자료는 반드시 백업하는 습관을 가질 것을 당부했다.

또한, 정보보호 특기병 트랙의 이동형 군은 “랜섬웨어라는 최신 이슈를 다르면서 방대한 자료도 검색하고, 논문과 특허도 많이 찾아봤다”면서 “쉽지 않은 도전이었지만 팀원들이 포기하지 않았고, 멘토들이 부족한 부분을 찾아주는 등 모두의 도움에 감사한다”고 전했다. 같은 정보보호 특기병 트랙의 유준영 군도 “학생으로 협업 프로젝트를 처음 해봤는데, 신기하면서도 많이 배울 수 있었다”고 말했다.

약 4개월간의 이번 프로젝트를 통해 큰 성과를 거뒀다는 Corn Kernel 팀은 이번 프로젝트를 통해 나온 연구결과를 특허출원하고 제품화하는 데 초점을 맞출 계획이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>