랜섬웨어의 암호화 작업 전 프로세스 중단시키는 ‘센서’ 기능 등 총 4단계 방식
베일리테크, 랜섬웨어 사전방지 솔루션 ‘랜섬아이(RansomEye)’ 공개

[보안뉴스 원병철 기자] 전 세계를 뒤흔들었던 워너크라이 랜섬웨어가 북한이 배후로 의심받고 있는 ‘라자루스 그룹’과 연관성이 높다는 소식이 연일 들려오고 있는 이때, 워너크라이 랜섬웨어를 기존과 다른 방식으로 효과적으로 차단했다는 국내 보안제품이 알려지면서 큰 주목을 받고 있다.


워너크라이 랜섬웨어의 무차별 공격으로 전 세계가 촉각을 곤두세우고 있던 지난 14일, 유튜브에 주목할만한 동영상이 올라왔다. 세계 최초의 랜섬웨어 사전방어 솔루션을 표방하는 ‘랜섬아이(RansomeEye)’가 워너크라이 랜섬웨어를 차단하는 과정이 담긴 동영상이 바로 그것. ‘랜섬아이’를 제작한 베일리테크(대표 정경수, www.ebailey.co.kr)가 ‘RansomEye WannaCry Pre-Defence’라는 제목으로 2종류의 동영상을 올린 것이다.

동영상은 심플했다. 워너크라이 랜섬웨어를 실행하면, 랜섬아이 프로그램이 설치된 PC에 ‘랜섬웨어 의심 프로그램을 중단했다’는 알림창이 뜨고, 프로그램을 실행시켜 보면 워너크라이 실행파일을 격리했다는 것을 확인시켜 준다. 랜섬아이가 워너크라이 랜섬웨어를 차단하는 데 성공한 것이다.

물론 일부 백신에서도 워너크라이를 차단하는 데 성공했다. 많이 알려지지 않았지만, 국내외 백신 기업들은 워너크라이 랜섬웨어에 빠르게 대응함으로써 피해를 줄이는 데 일조했다. 본지가 연초 취재했던 ‘2017 백신시장’ 기사에서도 백신 기업들은 올해 화두로 랜섬웨어를 꼽았을 정도로 랜섬웨어 예방에 초점을 맞췄다. 그러나 베일리테크가 출시한 랜섬아이는 랜섬웨어를 차단하는 방식이 여느 백신들과는 많이 다르다.

랜섬웨어의 암호화 행위 탐지해 사전에 차단한다
대부분의 백신 프로그램은 워너크라이 랜섬웨어를 사전에 ‘등록’해서 차단하는 방법을 사용한다. 이 때문에 워너크라이 등 랜섬웨어 변종이 나올 경우 이를 일일이 등록해야 하는 문제가 발생한다. 하지만 랜섬아이는 워너크라이를 등록하지 않았음에도 효과적으로 차단할 수 있었다고 강조한다. 4단계로 작동하는 랜섬아이의 기능 중 ‘센서’에 의한 프로세스 차단기능이 워너크라이를 차단할 수 있었다는 게 베일리테크 측의 설명이다.

랜섬아이의 센서는 랜섬웨어의 암호화 행위를 탐지해 암호화하기 전 프로세스를 차단한다. 랜섬아이 역시 1단계 블랙리스트(Black List) 방식과 2단계 랜섬웨어 유사도 검사로 랜섬웨어를 차단하는데, 워너크라이가 급작스레 확산된 탓에 블랙리스트 업데이트가 이루어지기 전, 센서에 의한 프로세스 차단을 통해 막을 수 있었다는 얘기다. 랜섬아이는 이렇게 차단한 랜섬웨어는 확인과정을 거친 후 15분 안에 블랙리스트에 업데이트를 하게 된다.

베일리테크 정경수 대표는 “2014년부터 랜섬웨어를 사전 방어하기 위해 노력해서 만든 결과물이 랜섬아이”라면서, “랜섬웨어를 사전에 차단하고, 이후 원본부터 자가 복제, 드롭퍼까지 모두 역추적해 삭제하는 기술은 랜섬아이 밖에 없을 것”이라고 강조했다.

한편, 랜섬아이는 소프트웨어(랜섬아이 에이전트)와 하드웨어(랜섬아이)로 구분되며, 현재 국가기관과 기업 등에서 운영되고 있다. 랜섬아이에 대한 보다 세부적인 설명과 시연은 오는 6월 19~20일 코엑스 그랜드볼룸에서 개최되는 2017 개인정보보호 페어(www.pisfair.org)에서 진행될 예정이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>