랜섬웨어를 막는 최선은 예방이다. 중요 데이터를 여러 차례 백업하고, 신·변종 랜섬웨어를 탐지하는 보안 솔루션이 지금까지 나온 대응책이다.
트렌드마이크로는 `CTD(Connected Threat Defense)` 솔루션으로 랜섬웨어 탐지·대응을 지원한다. 엔드포인트 구간부터 네트워크, 이메일, 서버까지 각 솔루션을 연결하고 위협 정보를 공유해 신·변종 랜섬웨어에 대응한다.
엔드포인트 구간에서는 신·변종 랜섬웨어를 탐지하기 위해 문서 암호화 방지 기능(ADC), 프로세스 실행 방지 기능(SRP)을 제공한다. ADC는 문서를 편집하려는 애플리케이션 경로와 디지털 서명 등을 확인해 신뢰성을 검증한다. 신뢰하지 않는 애플리케이션, 프로세스에 의한 파일 변경·삭제 시도가 발생하면 임계치를 분석해 해당 행위를 중지한다. SRP는 랜섬웨어 숙주파일이 실행되면 보이는 공통된 행위를 파악해 프로세스 생성과 실행을 거부한다. 머신러닝 기술까지 접목돼 랜섬웨어, 멀웨어 데이터를 학습해 탐지율을 높인다.
네트워크와 이메일 구간에서는 지능형지속위협(APT) 솔루션 `딥 디스커버리`를 활용해 동적 행위 분석 기능으로 랜섬웨어를 탐지한다. 동적 행위 분석은 가상머신 내 운용체계(OS), 애플리케이션 버전, 환경 설정 등을 실제 사용자 환경과 비슷하게 구성한다. 해당 환경에서 실행되는 멀웨어를 탐지하는 맞춤형 샌드박스 형태로 제공한다.
이메일 APT 전용 솔루션인 `딥 디스커버리 이메일 인스펙터`도 맞춤형 샌드박스를 내장해 안티 스팸 솔루션이 놓치는 랜섬웨어를 탐지 차단한다. 티핑 포인트 IPS에서는 딥 디스커버리가 탐지한 신·변종 랜섬웨어, 멀웨어 정보가 공유돼 네트워크 구간 유입을 막는다.
서버 구간에서는 윈도 서버 OS부터 리눅스, 유닉스 등 다양한 OS 플랫폼을 지원한다. 물리 서버부터 클라우드 환경까지 다양한 형태 인프라 환경을 지원하는 하이브리드 클라우드 시큐리티 솔루션 `딥 시큐리티`로 대응한다. 딥 시큐리티는 안티 멀웨어, 인티그리티 모니터링, 로그 인스펙션 등 다양한 보안 모듈을 제공한다. 오피스스캔에서 제공하는 행위 기반 룰을 제공해 신·변종 랜섬웨어에 대응한다.
통합관리솔루션 `TMCM(Trend Micro Control Manager)`으로 딥 디스커버리 제품과 연동한다. 다른 구간에서 먼저 탐지한 랜섬웨어 정보를 받아 차단하며, 의심스러운 파일은 샌드박스 분석 요청으로 신·변종 여부를 판별한다.
정용철 의료/SW 전문기자 jungyc@etnews.com
