"랜섬웨어 공격, SSD 펌웨어로 막을 수 있다"

국내 연구진, 유력 학술지에 랜섬웨어 실시간 감시 'SSD 인사이더++' 공개

홈&모바일입력 :2021/09/16 12:19

랜섬웨어는 한 번 감염되면 미처 손쓸 새도 없이 중요한 문서 파일이나 사진 파일, 동영상 등을 암호화해 망가뜨린다. 2015년경 처음 등장한 이후 지금까지 국내외 일반 소비자와 기업, 정부에 막대한 피해를 입혔다.

현재는 백신 등 보안 소프트웨어와 랜섬웨어 탐지 프로그램 등이 개발되어 이를 막을 수 있지만 새로운 변종까지 막아내지 못한다. 또 PC 성능 저하 등을 이유로 보안 소프트웨어를 설치하지 않을 경우 막을 수 있는 방법이 거의 없다.

그러나 국내 연구진들이 최근 이에 대한 해결책을 내놓아 주목된다.

파일이나 데이터를 암호화 해 막대한 피해를 입히는 랜섬웨어를 SSD 차원에서 방어하는 해결책이 제시됐다. (사진=픽사베이)

■ SSD 인사이더++ "실시간 작동 감시, 파일도 자동 복구"

이화여대 양대헌 교수, DGIST(대구경북과학기술원) 이성진 교수 등 국내 연구진은 최근 공개한 논문 'SSD 기반의 랜섬웨어 탐지와 데이터 복구 기법'을 통해 새로운 해결책을 제시했다.

이들이 논문을 통해 공개한 'SSD 인사이더++'는 SSD 펌웨어 내부에서 작동한다. 기존 파일을 읽어서 암호화한 다음 지우거나, 혹은 덮어쓰는 랜섬웨어 패턴이 감지되면 즉시 모든 작동을 멈춘다. 그 다음 랜섬웨어가 망가뜨린 파일을 최대 10초 안에 자동으로 복구할 수 있다.

SSD 인사이더++ 개념도. (그림=논문 발췌)

이 방법은 SSD가 처리하는 모든 데이터를 실시간으로 감시해야 하기 때문에 속도나 성능 저하가 있을 수 있다. 그러나 논문에 따르면 직접 구축한 오픈채널 SSD를 통해 확인한 결과 지연 시간은 수십 ns(나노초)에서 수백 ns에 불과했다.

전체 데이터를 검사하는 것이 아니라 오가는 명령어의 앞부분 일부를 감시하는 방식을 쓰기 때문이다.

연구진이 SSD 인사이더++ 검증에 활용한 오픈채널 SSD 구성도. (사진=이성진 교수 제공)

연구진은 "동영상 처리나 파일 다운로드, 복사 등 통상적인 작업, 워너크라이 등 실제 랜섬웨어와 실험실에서 만든 랜섬웨어를 명확히 구별할 수 있었고 모든 공격을 막아내는 것은 물론 최대 10초 안에 파일을 복구하는데 성공했다"고 밝혔다.

이 논문은 오는 10월 IEEE가 발간하는 학술지인 '트랜잭션스 온 컴퓨터즈'를 통해 정식으로 공개될 예정이다.( SSD-Assisted Ransomware Detection and Data Recovery Techniques, IEEE TRANSACTIONS ON COMPUTERS, VOL. 70, NO. 10, OCTOBER 2021 pp. 1762-1776 )

■ "랜섬웨어 방어, 소프트웨어만 믿으면 안된다"

양대헌 교수는 지난 13일 온라인 인터뷰에서 "직접 랜섬웨어 피해를 입지는 않았지만, 2016년 경 다른 연구진과 드롭박스를 통해 연구 데이터를 주고 받는데 어느날 갑자기 빠른 속도로 데이터가 망가지는 것을 보고 랜섬웨어임을 직감했다"고 설명했다.

이화여대 양대헌 교수(좌) / DGIST 이성진 교수(우) (사진=각각 본인 제공)

또 "최근 악성코드 관련 트렌드를 정리해 본 적이 있는데, 코드가 없이도 돌아가는 '파일리스'(Fileless), 매크로가 주목받는다. 코드 자체가 작아졌고 보안 소프트웨어로 탐지가 힘들어진다"고 설명했다.

그러나 현재 랜섬웨어 방어 수단은 모두 소프트웨어에 의존한다. 양 교수는 "소프트웨어 코드가 아니라 랜섬웨어의 특정한 작동을 감지하는 '행동 탐지' 방식을 이용하면 탐지 불가능한 랜섬웨어도 방어 가능하다"고 밝혔다.

■ 랜섬웨어가 망친 파일, 최대 10초 안에 복구

SSD 인사이더++의 특징은 랜섬웨어로 망가진 파일을 매우 빠른 시간 안에 복구할 수 있다는 것이다. 이는 파일을 지워도 그 데이터는 일정 기간 그대로 남아 있는 SSD의 특성을 거꾸로 이용한 것이다.

SSD 인사이더++는 파일이 삭제되거나 덮어쓰기 된 것을 확인하면 파일과 실제 낸드 플래시 메모리 주소값을 저장하는 영역인 FTL 값을 수정해 원래 파일로 되돌릴 수 있다. 항상 파일을 복사해 둘 필요도 없고 파일 복구 속도도 빠르다.

SSD 인사이더++는 내부 주소값을 복원해 손상된 파일을 빠른 시간 안에 복원한다. (그림=논문 발췌)

공동저자인 DGIST 이성진 교수는 "양대헌 교수와 이야기를 나누다 SSD의 특성을 이용하면 이런 복구 방식을 쉽게 구현할 수 있을 것으로 생각했고 실제로도 그랬다"고 설명했다.

■ "이용자·운영체제 등 보완할 점 남아 있다"

PC 운영체제는 항상 보이지 않는 곳에서 SSD에 데이터를 읽고 쓰는 작업을 반복한다. 그러나 SSD 인사이더++는 현재 랜섬웨어 작동을 감지하면 '읽기 전용'(Read Only) 모드로 전환한다. 운영체제 작동시 커널 패닉, 혹은 블루 스크린 등 오류를 일으킬 가능성도 있다.

이성진 교수는 "해당 문제는 연구 도중 발견해서 논문에서도 간단히 언급했다. 그러나 현재 SSD에 널리 쓰이는 NVMe 인터페이스는 제조사 별로 독자적인 명령어를 만들 수 있고 이를 이용하면 운영체제에 문제가 생겼음을 미리 알릴 수 있다"고 설명했다.

또 "이번 연구 과정에서 실제 이용자나 운영체제 쪽은 깊게 생각하지 않았는데 이와 관련해서도 고려할 점이나 보완할 점이 많다. 기술적인 문제는 없을 것으로 본다"고 덧붙였다.

■ "AI 활용하면 저장장치 차원에서 보안 강화 가능"

한국랜섬웨어침해대응센터에 따르면 지난 해 국내 랜섬웨어 피해액은 2조원에 달한다. SSD 인사이더++가 상용화된다면 중요한 데이터를 다루는 기업·공공기관에서 유형·무형의 피해를 막을 수 있다.

관련기사

SSD 인사이더++가 읽기/쓰기 작동을 감지하는 데 추가로 필요한 시간은 최대 수백 나노초(ns) 수준이다. (그림=논문 발췌)

양대헌 교수는 "국내외 글로벌 SSD 제조사와 SSD 인사이더++를 상용화할 수 있을지 엔지니어 차원에서 의견교환을 한 적이 있다. 그러나 성능이 떨어질 수 있다는 점 때문에 예민하게 반응했다"고 아쉬움을 드러냈다.

그는 또 "네트워크 보안도 예전에는 방화벽에만 의존했지만 최근에는 라우터 등에서 처리하며 부하를 줄이는 방향으로 나아가고 있다"며 "이와 마찬가지로 SSD에 AI 모듈과 칩을 결합하면 랜섬웨어나 악성코드를 저장장치 차원에서 방어할 수 있을 것"이라고 전망했다.