ESET백신 이셋코리아
새소식

홈 > 새소식









 
작성일 : 17-05-26 14:35
행위기반 탐지 기법만으로 신종 랜섬웨어 대응이 어려운 이유
 글쓴이 : ESTC
조회 : 1,143  
최근 랜섬웨어 사태와 함께 많은 분들이 대응 솔루션에 대해 다음과 같은 의구심과 실망감을 가지고 계신 듯 합니다.
"왜 안티바이러스 만으로 랜섬웨어의 100% 완벽한 대응이 어려운가?"
"안티바이러스의 행위기반 기법은 신종 랜섬웨어 방어에 무용지물인가?"
"랜섬웨어 전용 보조 백신이 꼭 필요한가?"



안티바이러스 솔루션에서 가장 중요하게 생각하는 개념 중 감염 지표(Indicators of Compromise; IOC) 라는게 있습니다.
말 그대로 악성코드에 감염되었다는 것을 확인할 수 있는 기준입니다.
업체에 따라 시스템의 어느 부분에서 필요한 데이터(행위 분석도 여기에 포함됩니다)를 수집하느냐 및 수집된 데이터를 어떻게 활용하여 감염이 되었다고 판단할 것이냐가 다를 것이며, 이것이 제품의 성능을 결정하는 중요한 기준입니다.
이 감염 지표의 기준이 모자라면(복잡하면) 미탐이 발생하며, 이 기준이 넘치면(단순하면) 오탐이 발생한다고 보시면 됩니다.

가장 간단한 감염 지표는 시그니처 DB 와 비교해서 동일한 시그니처가 존재하면 감염으로 판단하는 것입니다. 아주 심플하지만, 이 시그니처가 DB 에 등록되어 있어야 한다는 단점이 있습니다.
실제 안티바이러스에는 이외에도 다양한 감염 지표가 사용되고 있습니다.
그렇다면 랜섬웨어의 감염 지표를 어떻게 설정해야 할까요?
기존의 안티바이러스 및 최근 등장한 랜섬웨어 전용 솔루션들이 이 감염 지표를 찾기 위해 많은 노력을 기울이고 있지만, 100% 대응이 가능한 감염 지표를 찾기가 어려운 게 현실입니다.
이유는 딱 한가지... 파일 암호화라는 행위가 보통의 PC 사용 환경에서 너무나 일반적으로 발생하는 행위라는 것입니다, 누가 암호화를 하느냐만 다른 것이죠.
이 때문에 "파일 암호화 행위" 만을 감염 지표에 포함시킬 수 없으며, 무엇인가 추가적인 조건을 AND 조합해야 오진을 막을 수 있다는 것입니다. 현재 이 추가적인 어떤 조건에 대한 제안이 많았지만 사실 어느 것 하나 완벽한 것이 없다고 봅니다.
예를 들어, 1 분에 10 개 이상 파일을 암호화하는 행위, 또는 미끼를 암호화하는 행위, 파일 암호화가 일어나면 그 행위의 주체(암호화 프로세스)를 추적하여 확인하는 행위... 등등이 추가적인 조건에 해당하며, 이러한 한계 때문에 결국 "실시간 백업"이라는 고육책을 포함시킨 듯 합니다.

최근 랜섬웨어 전용 솔루션들은 "파일 암호화가 일어나면 그 행위의 주체를 추적하여 확인하는 행위" 및 "암호화 전에 대상을 백업하는 행위", 이 두 가지 기술에 의존하는 듯 하지만, 특정 행위의 주체를 확인하는 행위는 기존 안티바이러스가 사용하는 주요 기술 중 하나이기 때문에 결국 실시간 백업이 가장 차별화되는 기능인 듯 하며, 이러한 실시간 백업 기능은 기존 안티바이러스에는 없는 기능이기 때문에 보조 솔루션으로서의 가치는 있다고 생각합니다.
백업본이 없는 상태에서의 마지막 보루이니까요.
아울러, 행위기반(혹은 상황 인식 기반?) 탐지가 AV 에서는 어렵고 차세대 백신이나 보조백신에서는 가능하다라는 의견들이 있지만, 이러한 의견에는 수긍하기가 어렵습니다. 요즘 세상이 과거처럼 기술 장벽이 높은 시대도 아니구요. 보조백신이 가능하면 AV 에서도 가능할 것입니다.
다만 AV 제품이 행위기반에만 의존하게 되면 목표 성능을 얻기에 한계가 있습니다. 아직까지도 AV 제품이 시그니처 기반의 탐지에 대한 의존도가 높은 이유는, 행위 기반이나 AI 등 다른 기술이 적용되어 있지 않아서가 아니라, 시그니처 기반의 탐지 기법이 알려진 악성코드에 대해서는 가장 빠르고 정확하면서도 오진율이 제로에 가까운 탐지가 가능하기 때문입니다.
물론 시그니처 탐지가 효과를 발휘하려면, 신속한 샘플 수집 능력과 시그니처 추출 및 이를 일반화시킨 후 업데이트할 수 있는 능력이 요구되는데, 사실 이게 만만치 않으며 오랜 경험과 인프라가 요구됩니다. 최근 출시되는 차세대 AV 제품들이 시그니처 탐지의 한계점만을 부각시키지만, 반대로 생각하면 차세대 제품에 시그니처 탐지 기법을 적용시키기 어려운 한계 때문일 수도 있습니다. 누적된 대응 경험과 기 구축된 시그니처 DB 및 샘플 확보 능력, 업데이트 인프라 구축 등이 단시간에 이루어지는 것은 아니니까요.

랜섬웨어는 참 영리한 악성코드라고 생각됩니다. 차라리 파일을 지워버리거나 훔쳐가면 발견도 어렵거니와 발견해도 그냥 포기하고 마는데, 암호화하여 복구의 가능성을 열어 놓음으로써 사용자가 해당 파일에 집착하게 만들기 때문입니다.

신종 랜섬웨어를 포함하여 모든 랜섬웨어에 100% 딱 맞는 “감염 지표”는 아직까지는 없다는 점을 이해하시고, 결국 사용자의 감염 방지 노력이 절실히 필요하다는 점과 함께, 중요한 자료의 정기적인 백업이 필요하다는 점을 다시 한번 말씀 드리고 싶습니다.