한국랜섬웨어방어센터(이하 KRDC)와 베일리테크가 세계 최초로 비트락커(BitLocker) 랜섬웨어에 감염된 서버에서 데이터를 복구하는 인공지능(AI)기반 기술을 개발해 보급을 확대하고 있다고 28일 밝혔다.
KRDC는 머신러닝 기술 중 지도학습(Supervised Learning) 기술을 활용해 랜섬웨어에 감염된 파일과 5000개의 비트라커 복구 키 및 5000개 일반 텍스트 파일을 비교분석하는 방식으로 랜섬웨어가 감염된 서버에서 복구 키를 찾을 수 있는 AI 모델을 개발했다.
현재 KRDC는 비트라커 랜섬웨어 감염 고객사를 대상으로 현장 복구 서비스를 제공하고 있다. 회사는 이 AI 기반 복구솔루션을 소프트웨어 패키지로 제공해 기업이 필요한 복구키를 독립적으로 찾아 암호화된 드라이브를 즉시 복구할 수 있도록 서비스할 계획이다. 관련 특허 출원도 진행 중이다.
서버가 비트락커 랜섬웨어에 감염됐다면 즉시 서버를 셧다운(전원을 끄는 것)하는 것이 복구키를 찾을 가능성을 높이는 방법이다. 비트락커 랜섬웨어 감염 후 24시간 이내 서버를 셧다운하면 복구키를 찾을 확률이 90%(디스크 크기 2테라바이트 기준)까지 상승한다는 게 회사 측 설명이다.
KRDC 연구에 따르면 비트락커는 구조상 드라이브를 암호화한 후 내부적으로 파일단위 암호화를 실행하는 방식으로 작동한다. 서버는 주로 SAS(Serial Attached SCIS) 방식 하드디스크드라이브(HDD)를 사용한 레이드로 구성되므로 파일단위 암호화가 솔리드 스테이트 드라이브(SSD)나 엠닷투(M.2) 보다 느려 복구키를 찾을 수 있는 확률이 높다.
KRDC가 개발한 AI 기반 복구 프로세스는 파일 서명을 세밀하게 분석해 비트라커 복구키와 일치하는 서명을 격리한다. 이 방법은 서버가 즉시 종료될 때 암호화되지 않은 복구 키를 탐지하는 데 99%의 성공률을 보여준다. 이 기술의 정밀도는 유사한 헤더 구조를 가진 파일을 추출해 높은 탐지 정확도를 보장하는 능력에서 비롯된다.
회사는 블로그를 통해 랜섬웨어 예방을 위한 유용한 정보를 적극적으로 공유하고 있다. 블로그에는 랜섬웨어 공격으로부터 시스템을 보호하는 방법에 대한 심층 정보와 서버가 감염된 경우 취해야 할 조치에 대한 상세한 지침을 제공한다.
정경수 KRDC 수석 엔지니어(팀장)은 “고객이 랜섬웨어에 감염되면 당황해 서버를 장시간 켜두거나 HDD를 포맷하는 등 잘못된 조치를 실시하는 경우가 많다”며 “랜섬웨어 감염 시 감염된 서버 모두를 즉시 셧다운하는 것이 가장 중요하고, 보안전문가에 의뢰해 데이터복구 및 해커와 협상 등 대응방향을 결정해야 한다”고 설명했다. 아울러 HDD를 포맷하거나 교체하는 것은 절대 금물이라고 덧붙였다.
KRDC는 랜섬웨어 예방 및 방어, 복구 성공사례, 응급조치방안 등을 회사 페이스북 계정을 통해 수시 업데이트 및 공개하고 있다.
KRDC는 랜섬웨어를 예방하고, 데이터를 효율적으로 복구해 고객사의 피해를 최소화하기 만들어진 단체로, 국내 랜섬웨어 복구 전문 기업들이 결성한 단체다. 24시간 랜섬웨어 현장 복구 서비스, 랜섬웨어 예방 컨설팅, 랜섬웨어 감염 경위를 파악하기 위한 디지털 포렌식 서비스 등을 제공한다.