트렌드마이크로는 해외에서 먼저 발생한 랜섬웨어 피해 사례를 분석, 대응 가능한 추가 기능을 개발했다. 기존에 보유한 행위 분석, URL·IP 평판, 네트워크 콘텐츠 분석 기술 등에 더해 랜섬웨어 대응 솔루션을 완성했다.
이미 알려진 랜섬웨어는 샘플을 확보해 클라우드 기반 평판 기술을 이용한다. 다양한 랜섬웨어 솔루션에 반영했다. 시그니처를 매칭하는 정적 분석은 한계가 있다. 탐지를 피해가는 각종 변종이 늘어가기 때문이다.
트렌드마이크로 엔드포인트 백신 ‘오피스스캔’은 행위기반 탐지엔진인 문서 암호화 방지 기능(ADC:Access Document Control)과 프로세스 실행방지 기능(SRP:Software Restriction Policy)이 들어 있다. 시그니처 기반 기술로 탐지하지 못하는 변종 랜섬웨어까지 잡아낸다.
문서 암호화 방지 기능은 문서를 편집하려는 애플리케이션 디지털 서명과 경로 등을 확인한다. 애플리케이션 신뢰성을 확인하는 작업이다. 신뢰성이 낮은 애플리케이션이나 프로세스가 파일을 변경하거나 삭제를 시도하면 임계치를 분석한다. 랜섬웨어 의심행위로 간주하고 해당 행위를 중지한다.
프로세스 실행방지 기능은 랜섬웨어 분석으로 숙주파일이 실행될 때 보이는 공통 행위를 파악한다. 랜섬웨어가 사용하는 프로세스 생성과 실행을 거부한다. 악성코드가 외부와 통신해 명령을 받거나 파일 암호화를 시도하면 막는다.
기업용 백신뿐 아니라 개인용 백신 ‘트렌드마이크로 맥시멈시큐리티’에도 랜섬웨어 방지 기능이 들어 있다. 사용자 PC가 랜섬웨어에 감염돼도 파일이 암호화되는 후속 피해를 막는다. 백신과 별도로 혹시 잠복할지 모르는 랜섬웨어를 탐지하는 유틸리티(ATTK)도 무료 제공한다.
지능형지속위협(APT) 대응 전문 솔루션 ‘딥 디스커버리’는 샌드박스에서 랜섬웨어 실행을 분석한다. 알려진 랜섬웨어뿐 아니라 알려지지 않은 신종·변종 랜섬웨어도 탐지한다.
알려진 랜섬웨어는 특화 스마트 필터로 30종 이상 탐지 현황을 제공한다. 위협 가시성을 제공해 신속한 대응이 가능하다.
알려지지 않은 랜섬웨어는 샌드박스에서 동적 분석으로 탐지한다. ‘실행 가능한 파일 드롭과 실행’ ‘자동 실행을 위한 오토런 레지스트리 등록’ ‘암호화 대상 오피스 파일과 아웃룩 파일 접근’ 등 행위를 분석한다. 의심파일 악성 여부를 즉각 판정해 신종·변종 랜섬웨어에 즉시 대응한다. 기본적인 동적 분석과 함께 시그니처 방식을 사용해 분석 소요 시간을 줄인다.
대부분 랜섬웨어가 이메일로 기업·기관 조직에 유입된다. 트렌드마이크로는 안티스팸 제품에 더해 이메일 APT 전용 솔루션 ‘딥 디스커버리 이메일 인스펙터’ 운용이 효과적이라고 조언한다. 고급 탐지와 샌드박스 기술로 APT 공격 초기 단계인 스피어 피싱 이메일을 탐지·차단하는 제품이다. 기존 이메일 보안 제품에서 놓치기 쉬운 악성 첨부파일과 콘텐츠, URL 링크 등을 탐지한다.
박정은기자 jepark@etnews.com
