랜섬웨어 피해를 막을 수 있는 근본적인 방법은 백업이다. 그러나 백업만으로 피해를 완전히 막을 수 없다. 최종 백업 후 랜섬웨어 피해가 발생할 때 까지 생성되거나 변경된 데이터는 복구할 수 없으며, 네트워크에 연결된 실시간 동기화 방식의 백업은 백업 데이터까지 암호화 돼 복원할 수 없다. 또한 백업된 데이터를 복구한다 해도 감염된 단말에 취약점이 제거되지 않았다면 다시 또 암호화되기 때문에 근본적인 대책이 이뤄지지 않는다.
누리랩(대표 최원혁)은 백업과 차단이 동시에 이뤄지는 랜섬웨어 차단 솔루션 ‘누리 안티랜섬(NAR)’가 그 대안이 될 수 있다고 강조한다. NAR는 올해 상반기 PC, 윈도우 서버용 제품을 출시했으며, 11월 리눅스 서버용 제품과 안드로이드 모바일 용 제품, 중앙관리 솔루션 ‘NTMS’를 제품군에 추가하면서 랜섬웨어 방어를 위한 전체 보호 프로세스를 만들었다고 밝혔다.
NAR는 가장 먼저 파일에 변화가 일어나면 즉시 로컬의 암호화된 저장소에 백업한 후 해당 변경이 랜섬웨어 행위와 유사하다면 격리한다. 화이트리스트를 이용하는 클라우드 분석 엔진을 통해 탐지된 행위가 정상 프로세스인지 아닌지 확인하고, 신종 랜섬웨어까지 차단한다. 시그니처를 이용해 이미 알려진 랜섬웨어는 즉시 차단시킨다. 더불어 MBR 보호 기능과 NAR 자체 보호 기능을 탑재했다.
랜섬웨어 행위 기반 방어 솔루션이 다양하게 출시되고 있지만, NAR는 시그니처, 행위분석, 클라우드 분석의 3개 엔진을 동시에 사용해 탐지율을 높인다고 강조했다.
최원혁 누리랩 대표는 “랜섬웨어 행위만으로 차단하는 제품은 ‘파일을 열고 암호화하고 닫는다’는 프로세스가 발생했을 때 차단하는데, MBR을 암호화하는 등 기존 방식과 다른 행위가 나타날 경우 방어하지 못한다. 또한 시그니처를 이용하지 않아 리소스를 과다하게 사용한다”며 “AV, EPP, EDR 등 통합 엔드포인트 보안 솔루션도 랜섬웨어를 막지만, 랜섬웨어 행위 분석 기술을 전문적으로 사용하지 못해 신변종 공격을 막는데 한계가 있다”고 덧붙였다.
최 대표는 “NAR는 시그니처를 이용해 알려진 공격을 막고, 랜섬웨어 행위가 발생했을 때 프로세스를 차단하고 데이터를 백업하며 클라우드에서 분석하는 다단계 전략을 취하고 있다. 현재 이 제품은 백신을 보조하는 기능을 하고 있지만, 향후에는 엔드포인트 위협을 지속적으로 추가해 백신을 대체하는 제품으로 성장시켜 나갈 것”이라고 말했다.
그는 이어 “랜섬웨어는 계속 진화하고 있고 피해는 더욱 늘어나고 있으므로 랜섬웨어 차단 전용 제품의 수요는 증가하고 있다. 그러나 장기적인 관점에서 보면, 엔드포인트 보안 솔루션과 문서보안 솔루션, 문서중앙화 솔루션 등으로도 확대될 수 있을 것으로 기대한다”고 밝혔다.
케이엘테크놀로지 총판 계약 체결로 국내 영업 강화
누리랩은 하우리 창업자인 최원혁 대표를 중심으로 하우리 출신 인사들이 참여하고 있다. 범죄수사 분석 도구 개발 전문기업으로 시작했으며, 최근에는 모바일 포렌식 도구도 개발했다.
2015년 화이트리스트 기반 백신 프로그램 ‘NEP’를 출시했으며, 이를 오픈소스 커뮤니티에 공개해 분석가들이 자유롭게 시그니처를 추가할 수 있도록 하는 한편, 학생 등이 백신 엔진을 공부할 수 있도록 지원한다. 오픈소스 프로젝트는 ‘키콤(www.kicomav.com)’으로 진행되고 있으며, 11월 AMTSO에 국내 3번째 백신 엔진으로 등록됐다.
더불어 해외 IT 기업과 OEM으로 150만달러 규모의 백신 엔진 수출 계약을 체결했다.
한편 누리랩은 케이엘테크놀로지와 총판 계약을 체결하고 시장 진출 속도를 높이고 있다. 케이엘테크놀로지는 카스퍼스키랩의 엔드포인트 보안 제품을 국내에 유통하고 있으며, 지난해 보안시장 영역을 확장하기 위해 힐스톤네트웍스의 차세대 방화벽과 네트워크 보안 제품을 국내 고객에게 소개하고 있다.
조승희 케이엘테크놀로지 부장은 “누리랩과의 총판계약을 통해 엔드포인트 보안 역량을 더욱 강화할 수 있을 것”이라며 “엔드포인트부터 네트워크까지 이르는 종합보안회사로 성장하고 있다”고 밝혔다.
