[진화하는 랜섬웨어]닉스테크 `세이프 프로세스`, 다계층 방어체계로 랜섬웨어 차단

닉스테크(대표 박동훈)가 개발한 랜섬웨어 대응 솔루션 `세이프 프로세스`는 랜섬웨어가 작동하는 과정에서 파일에 접근해 암호화하는 행위에 초점을 맞춘 제품이다. 화이트리스트와 블랙리스트, 임계치 기반 차단 등 다계층 방어 체계를 적용했다.

[진화하는 랜섬웨어]닉스테크 `세이프 프로세스`, 다계층 방어체계로 랜섬웨어 차단

알려지지 않은 신·변종 랜섬웨어에 대응하기 위해 화이트리스트 기반 프로세스 제어를 수행한다. 고객사 도입 후 일정 기간 모니터링을 거쳐 파일에 접근하는 정상 프로세스를 리스트화한다. 리스트에 포함되지 않은 프로세스는 우선 제어해 위협 요소를 차단한다. 알려지지 않은 변종 랜섬웨어라도 파일에 접근하는 행위 자체를 효과적으로 막는다.

화이트리스트 기능과 함께 블랙리스트 방식을 병행한다. 알려진 명령제어(C&C) 서버와 랜섬웨어 블랙리스트도 보유했다. 엔드포인트 단에서 C&C 서버로 접속이나 프로세스가 실행되지 않도록 제어한다.

세이프 프로세스 다계층 방어
세이프 프로세스 다계층 방어

허용된 프로세스라도 임계치 기반 행위 분석으로 차단하는 기능을 제공한다. 파일 이름을 변경하거나 이동, 삭제, 암호화하는 등 행위가 일정 수준 이상 발생하면 차단하는 구조다. 프로세스 차단 방식만으로는 방어가 어려운 스크립트 방식 랜섬웨어나 DLL 인젝션을 활용한 랜섬웨어를 막는다.

접근 프로세스 제어로 MBR(Master Boot Record) 영역을 보호한다. 최근 다양한 대응 기술이 발전하면서 MBR 영역을 공격해 손상시키는 랜섬웨어도 등장했다. 일반적으로 MBR 영역이 손상되면 부팅 자체가 되지 않지만 MBR 랜섬웨어는 자체 부팅영역을 불러와 금전을 요구한다.

세이프 프로세스는 MBR 랜섬웨어에 대응하기 위해 해당 영역에 접근하는 프로세스를 제어한다. 어떤 프로세스라도 MBR 영역에 접근하면 우선 차단 후, 의도된 프로세스만 허용한다.

다양한 고객사 환경에서 에이전트를 최적화했다. 기업 사용자 컴퓨터에 설치된 여러 보안 소프트웨어를 고려해 리소스 활용 효율성을 높였다. 사용자 PC 단에서 에이전트 리소스 소모를 최소화했다.

박정은기자 jepark@etnews.com