안티랜섬 주요 기능 및 동작 방식
안티랜섬 모듈은 단순 시그니처 기반 차단을 넘어, 행위 기반 탐지 와 실시간 백업 및 복원 을 핵심 가치로 합니다. 고도화된 랜섬웨어 위협에 대응하기 위한 주요 기능과 동작 방식은 다음과 같습니다.
1. 주요 기능
실시간 보호 및 행위 기반 탐지: 실시간 I/O 모니터링 드라이버를 통해 프로세스의 모든 행위를 분석합니다. 이를 통해 Fileless 공격이나 정상 프로세스 메모리에 인젝션되는 지능형 위협까지 정밀하게 탐지합니다.
실시간 파일 백업: 보호 대상 파일(문서, 압축파일, 이미지 등 지정된 확장자)이 변조되기 직전, 해당 프로세스를 일시 중지하고 원본 파일을 안전한 경로(
C:\Program Files\Geni\AntiRansom\backup)로 즉시 복사합니다.백업 폴더 및 데이터 보호: 백업된 데이터가 랜섬웨어에 의해 2차 훼손되지 않도록 강력한 자체 보호 기능을 수행합니다.
MBR 보호: 시스템 부팅을 방해하기 위해 마스터 부트 레코드(MBR)를 변조하거나 파괴하려는 시도를 실시간으로 차단합니다.
2. 동작 방식
설정된 운영 모드에 따라 탐지 후 다음과 같은 단계로 대응을 수행합니다.
모니터링 단계: Insights E 에이전트가 시스템 내 I/O 및 프로세스 행위를 지속적으로 감시합니다.
탐지 및 백업: 랜섬웨어 의심 행위가 발견되는 즉시, 파일이 암호화되기 전 실시간 백업을 우선 수행합니다.
대응 및 복원 (운영 모드별 차이):
Monitoring 모드: 행위 탐지 시 로그 기록만 수행하며, 강제 종료나 복원 등의 대응은 자동으로 수행하지 않습니다.
Active 모드 (수동 복원): 탐지 즉시 해당 프로세스를 강제 종료하고 실행 파일을 삭제합니다. 이후 관리자가 위협을 분석하여 '악성'으로 판정하는 시점에 복원을 진행합니다.
Active 모드 (자동 복원): 탐지 시 프로세스 차단은 물론, 백업된 데이터를 이용해 변조된 파일을 즉시 원상태로 복구합니다.
3. 기술적 특징 및 장점
정밀한 차단 범위: 랜섬웨어 본체뿐만 아니라, 랜섬웨어에 의해 생성(Drop)된 파일이나 유포지로 사용된 실행 파일까지 추적하여 일괄 차단 및 삭제합니다.
시스템 안정성 확보: 정상 프로세스 내부에 악성 스레드가 생성된 경우, 프로세스 전체를 종료하지 않고 악성 스레드만 선별하여 종료 함으로써 업무 중단을 최소화합니다.
효율적인 자원 관리: 모든 데이터를 상시 백업하는 대신 변조 행위 발생 시점에만 대상 파일을 백업하므로 디스크 공간을 효율적으로 사용하며, 설정된 정책에 따라 백업 파일을 자동 최적화(삭제)합니다.
Note
안정적인 서비스 운영을 위해 초기 도입 시에는 모니터링 모드로 운용하며 업무 환경에 적합한 예외 프로세스를 식별할 것을 권장합니다.