범죄수사에 필요한 증거를 확보하기 위해 PC, 스마트폰을 분석하는 포렌식 솔루션을 개발, 공급했던 보안회사 누리랩이 랜섬웨어를 탐지하고 대응할 수 있는 안티랜섬웨어 솔루션을 출시했다.
다른 솔루션들과 달리 과거에 발견된 랜섬웨어를 탐지해 차단하는 것은 물론 문서를 암호화하려는 행위가 발견되면 해당 문서를 실시간으로 백업해 놓고, 악성여부를 분석하는 기능을 갖췄다.
특히 윈도에 더해 랜섬웨어에 감염됐던 인터넷나야나, 코리아IDC와 같은 리눅스 기반 환경과 안드로이드폰폰까지 지원한다는 점을 강점으로 내세웠다.
누리랩은 서울 역삼동 머큐어 호텔에서 기자간담회를 열고, '누리 안티랜섬' 제품군을 출시했다고 21일 밝혔다.
누리 안티랜섬(NAR)은 PC용, 윈도 서버용에 더해 리눅스 서버용, 안드로이드용 제품군, 기업이 사용할 수 있는 중앙관리솔루션인 NTMS 등으로 구성된다.
이 솔루션은 사전에 알려진 랜섬웨어를 찾아내는 것과 함께 탐지가 어려운 알려지지 않은 랜섬웨어에 대해서는 행위기반 분석을 통해 차단한다.
사전에 알려진 랜섬웨어를 차단하기 위해 NAR은 바이러스토털로부터 확보한 시그니처 정보와 함께 최근 국제 악성코드 테스트 표준화 기구(AMTSO)에 가입하면서 필요한 정보를 공유받는다.
누리랩은 2012년부터 오픈소스 프로젝트로 '키콤백신(KicomAV)'의 소스코드를 공개한 바 있다. 최원혁 대표와 주요 창업멤버들은 모두 하우리, 안랩, 잉카인터넷 등에서 백신개발을 주도했다.
NAR 서버 버전의 경우 랜섬웨어에 감염된 PC로 인해 서버 내 네트워크 공유폴더까지 암호화되는 문제를 막기 위해 공유폴더 접근을 차단시키고 랜섬웨어 감염대상 파일에 대한 백업 및 복원 기능을 지원한다.
관련기사
- 코리아IDC, 호스팅 서버 일부 랜섬웨어 감염2017.11.21
- 최신 윈도10에 추가된 랜섬웨어 보호 기능 사용하기2017.11.21
- KISA, 랜섬웨어 변종 '배드래빗' 감염 주의 당부2017.11.21
- 유럽발 랜섬웨어 '낫페트야' 변종 '배드래빗' 확산2017.11.21
최원혁 누리랩 대표는 "단순 백업만 지원하거나 행위기반 분석만을 제공하는 것으로는 랜섬웨어를 제대로 막기 힘들다"며 "NAR은 행위기반 및 사전방역에 더해 마스터부트레코드(MBR) 영역에 대한 보호, 랜섬웨어가 암호화 하려고 시도하는 문서파일에 대한 실시간 백업 및 복원 등을 제공한다"고 설명했다.
최 대표는 행위기반 분석의 경우 오탐이 발생될 확률이 높다고 설명했다. 이를 보완하기 위해 "의심되는 파일은 자체적으로 마련한 클라우드 기반 엔진에서 랜섬웨어 악성코드가 맞는지 여부를 확인하고 화이트 리스트를 만들어 오탐 문제를 최소화했다"고 강조했다.