랜섬웨어는 한 번 감염되면 미처 손쓸 새도 없이 중요한 문서 파일이나 사진 파일, 동영상 등을 암호화해 망가뜨린다. 2015년경 처음 등장한 이후 지금까지 국내외 일반 소비자와 기업, 정부에 막대한 피해를 입혔다.
현재는 백신 등 보안 소프트웨어와 랜섬웨어 탐지 프로그램 등이 개발되어 이를 막을 수 있지만 새로운 변종까지 막아내지 못한다. 또 PC 성능 저하 등을 이유로 보안 소프트웨어를 설치하지 않을 경우 막을 수 있는 방법이 거의 없다.
그러나 국내 연구진들이 최근 이에 대한 해결책을 내놓아 주목된다.
![](https://image.zdnet.co.kr/2021/05/17/ceb71767bd264160960a3a0a0be2357c.jpg)
■ SSD 인사이더++ "실시간 작동 감시, 파일도 자동 복구"
이화여대 양대헌 교수, DGIST(대구경북과학기술원) 이성진 교수 등 국내 연구진은 최근 공개한 논문 'SSD 기반의 랜섬웨어 탐지와 데이터 복구 기법'을 통해 새로운 해결책을 제시했다.
이들이 논문을 통해 공개한 'SSD 인사이더++'는 SSD 펌웨어 내부에서 작동한다. 기존 파일을 읽어서 암호화한 다음 지우거나, 혹은 덮어쓰는 랜섬웨어 패턴이 감지되면 즉시 모든 작동을 멈춘다. 그 다음 랜섬웨어가 망가뜨린 파일을 최대 10초 안에 자동으로 복구할 수 있다.
![](https://image.zdnet.co.kr/2021/09/16/51c700c09bb0429abaf93ad74aeceb5a.jpg)
이 방법은 SSD가 처리하는 모든 데이터를 실시간으로 감시해야 하기 때문에 속도나 성능 저하가 있을 수 있다. 그러나 논문에 따르면 직접 구축한 오픈채널 SSD를 통해 확인한 결과 지연 시간은 수십 ns(나노초)에서 수백 ns에 불과했다.
전체 데이터를 검사하는 것이 아니라 오가는 명령어의 앞부분 일부를 감시하는 방식을 쓰기 때문이다.
![](https://image.zdnet.co.kr/2021/09/16/f1910ccb599075f433917c82c8815b6c.jpg)
연구진은 "동영상 처리나 파일 다운로드, 복사 등 통상적인 작업, 워너크라이 등 실제 랜섬웨어와 실험실에서 만든 랜섬웨어를 명확히 구별할 수 있었고 모든 공격을 막아내는 것은 물론 최대 10초 안에 파일을 복구하는데 성공했다"고 밝혔다.
이 논문은 오는 10월 IEEE가 발간하는 학술지인 '트랜잭션스 온 컴퓨터즈'를 통해 정식으로 공개될 예정이다.( SSD-Assisted Ransomware Detection and Data Recovery Techniques, IEEE TRANSACTIONS ON COMPUTERS, VOL. 70, NO. 10, OCTOBER 2021 pp. 1762-1776 )
■ "랜섬웨어 방어, 소프트웨어만 믿으면 안된다"
양대헌 교수는 지난 13일 온라인 인터뷰에서 "직접 랜섬웨어 피해를 입지는 않았지만, 2016년 경 다른 연구진과 드롭박스를 통해 연구 데이터를 주고 받는데 어느날 갑자기 빠른 속도로 데이터가 망가지는 것을 보고 랜섬웨어임을 직감했다"고 설명했다.
![](https://image.zdnet.co.kr/2021/09/16/8d498b9ed34be3c1a290a4c462bfa0d7.jpg)
또 "최근 악성코드 관련 트렌드를 정리해 본 적이 있는데, 코드가 없이도 돌아가는 '파일리스'(Fileless), 매크로가 주목받는다. 코드 자체가 작아졌고 보안 소프트웨어로 탐지가 힘들어진다"고 설명했다.
그러나 현재 랜섬웨어 방어 수단은 모두 소프트웨어에 의존한다. 양 교수는 "소프트웨어 코드가 아니라 랜섬웨어의 특정한 작동을 감지하는 '행동 탐지' 방식을 이용하면 탐지 불가능한 랜섬웨어도 방어 가능하다"고 밝혔다.
■ 랜섬웨어가 망친 파일, 최대 10초 안에 복구
SSD 인사이더++의 특징은 랜섬웨어로 망가진 파일을 매우 빠른 시간 안에 복구할 수 있다는 것이다. 이는 파일을 지워도 그 데이터는 일정 기간 그대로 남아 있는 SSD의 특성을 거꾸로 이용한 것이다.
SSD 인사이더++는 파일이 삭제되거나 덮어쓰기 된 것을 확인하면 파일과 실제 낸드 플래시 메모리 주소값을 저장하는 영역인 FTL 값을 수정해 원래 파일로 되돌릴 수 있다. 항상 파일을 복사해 둘 필요도 없고 파일 복구 속도도 빠르다.
![](https://image.zdnet.co.kr/2021/09/16/cfd017ea6786b43401637541b0146583.jpg)
공동저자인 DGIST 이성진 교수는 "양대헌 교수와 이야기를 나누다 SSD의 특성을 이용하면 이런 복구 방식을 쉽게 구현할 수 있을 것으로 생각했고 실제로도 그랬다"고 설명했다.
■ "이용자·운영체제 등 보완할 점 남아 있다"
PC 운영체제는 항상 보이지 않는 곳에서 SSD에 데이터를 읽고 쓰는 작업을 반복한다. 그러나 SSD 인사이더++는 현재 랜섬웨어 작동을 감지하면 '읽기 전용'(Read Only) 모드로 전환한다. 운영체제 작동시 커널 패닉, 혹은 블루 스크린 등 오류를 일으킬 가능성도 있다.
이성진 교수는 "해당 문제는 연구 도중 발견해서 논문에서도 간단히 언급했다. 그러나 현재 SSD에 널리 쓰이는 NVMe 인터페이스는 제조사 별로 독자적인 명령어를 만들 수 있고 이를 이용하면 운영체제에 문제가 생겼음을 미리 알릴 수 있다"고 설명했다.
또 "이번 연구 과정에서 실제 이용자나 운영체제 쪽은 깊게 생각하지 않았는데 이와 관련해서도 고려할 점이나 보완할 점이 많다. 기술적인 문제는 없을 것으로 본다"고 덧붙였다.
■ "AI 활용하면 저장장치 차원에서 보안 강화 가능"
한국랜섬웨어침해대응센터에 따르면 지난 해 국내 랜섬웨어 피해액은 2조원에 달한다. SSD 인사이더++가 상용화된다면 중요한 데이터를 다루는 기업·공공기관에서 유형·무형의 피해를 막을 수 있다.
관련기사
- 상반기 랜섬웨어 평균 피해액 6.6억…역대 최대2021.08.24
- 보안업계, 중소기업에 랜섬웨어 대응 솔루션 무상 지원2021.08.10
- 중소기업·기반시설 '랜섬웨어' 보안 강화된다2021.08.05
- 디지털 의존 높아지자 사용자 혼란 유도하는 해킹도 급증2021.08.04
![](https://image.zdnet.co.kr/2021/09/16/279b2209ebcff09456d7b4897ed6492d.jpg)
양대헌 교수는 "국내외 글로벌 SSD 제조사와 SSD 인사이더++를 상용화할 수 있을지 엔지니어 차원에서 의견교환을 한 적이 있다. 그러나 성능이 떨어질 수 있다는 점 때문에 예민하게 반응했다"고 아쉬움을 드러냈다.
그는 또 "네트워크 보안도 예전에는 방화벽에만 의존했지만 최근에는 라우터 등에서 처리하며 부하를 줄이는 방향으로 나아가고 있다"며 "이와 마찬가지로 SSD에 AI 모듈과 칩을 결합하면 랜섬웨어나 악성코드를 저장장치 차원에서 방어할 수 있을 것"이라고 전망했다.