01
기존 안티바이러스 및 행동 탐지 프로그램이 새로운 사이버 공격으로부터 데이터를 보호하지 못하는 이유는 무엇인가요?
PC와 서버가 맬웨어에 노출되면 데이터가 암호화되거나 해커에게 전송될 수 있으므로 데이터를 안전하게 유지할 수 없습니다. 따라서 우리의 데이터가 훼손되는 것을 방지하기 위해 보다 강력한 새 방어 기술이 필요합니다.
기존 안티바이러스 프로그램과 행동 탐지 방지 프로그램은 데이터를 보호하기에 충분하지 않습니다. 이는 OS 커널을 통해 실행되는 소프트웨어 프로그램이기 때문입니다. 즉, 말웨어에 의해 먼저 중지될 수 있습니다.
또한, 시그니처 기반 패턴 매칭 알고리즘을 사용하는 바이러스 백신 프로그램의 경우 매일 출시되는 새로운 악성 코드를 따라잡을 수 없습니다.
비정상 행위 탐지 프로그램의 경우, 일어난 활동을 악의적인 공격으로 정의하기에는 너무 모호합니다. 만약 느슨해질 경우, 공격에 취약합니다. 하지만 너무 엄격하다면, 정상적인 프로그램도 차단될 수 있습니다.
또한, 악성코드가 SAMBA 취약점 공격, FDE(Full Disk Encryption) 공격, MBR(Master Boot Record) 공격과 같은 커널 수준을 위협하는 경우 현재 모든 유형의 예방 프로그램이 데이터를 보호하지 못합니다.
게다가 안티바이러스와 행동탐지 방지 프로그램이 같은 PC에서 동시에 악성코드를 실행할 가능성이 높습니다. 쉽게 말해, 말웨어로부터 데이터를 보호할 수 없습니다. 보안을 강화하기 위해선 데이터를 백업할 수 있습니다.
그러나 데이터를 백업하는 것은 예방책이 아니라 해결책일 뿐입니다.
백업은 원래 데이터뿐만 아니라 시스템이 다운된 경우 전체 시스템을 복구하도록 설계되었습니다.
따라서 말웨어와 경쟁하기 위해 데이터만 백업하도록 선택하면 매우 무거운 솔루션이 될 수 있습니다. 그러므로 효과적이고 효율적인 데이터 방지 기술이 필요합니다.
02
Hybrid WORM 네트워크 스토리지 기술이란 무엇인가요?
Hybrid WORM 네트워크 스토리지는 PC와 서버가 이미 악성코드에 노출된 경우에도 데이터를 보호하고 보호하는 안전한 데이터 스토리지입니다.
Hybrid WORM 네트워크 스토리지는 데이터를 안전하게 보호하기 위해 PC와 서버의 로컬 디스크가 아닌 별도의 네트워크 스토리지에 데이터를 저장합니다. 따라서, 일반적인 파일 서버처럼 업무 PC나 서버에 네트워크 드라이브 형태로 연결되어 사용합니다. 그러나 PC와 서버에서 실행되는 모든 종류의 말웨어로부터 데이터를 보호할 수 있는 세 가지 보안 모드도 있습니다. 여기에는 군사 등급 암호화 모드, 읽기 전용 생성 모드 및 목록 생성 전용 모드가 포함됩니다.
AES 256 및 AES 512를 포함한 군용 암호화 및 암호 해독 모드를 지원합니다. PC 및 서버의 네트워크 드라이브를 통해 파일 서버에 데이터가 생성되면 데이터를 암호화하여 저장합니다. 그리고 PC나 서버에 파일을 제공해야 하는 경우, 실시간으로 데이터를 복호화하여 SSL(Secure Socket Layer)을 통해 데이터를 전송합니다.
랜섬웨어를 방지하기 위한 읽기 전용 생성 모드 옵션도 있습니다. 기존의 일반적인 파일 서버는 PC나 서버에서 실행된 애플리케이션이 네트워크 드라이브에 파일을 생성, 읽기, 수정, 삭제하려고 할 때 항상 허용합니다. 그렇기에 랜섬웨어와 같은 멀웨어가 네트워크 스토리지 영역에 저장된 파일들을 수정하거나 삭제하려고 하면 일반적인 파일 서버 입장에서는 애플리케이션이기 때문에 해당 동작을 허용하여 소중한 자료들을 보호하기 어렵습니다.
기존의 네트워크 스토리지와 달리 Hybrid WORM 네트워크 스토리지는 읽기 전용 모드가 있습니다. 읽기 전용 생성 모드가 활성화되면 Hybrid WORM 네트워크 스토리지는 CD-ROM 라이터처럼 작동합니다. 데이터 생성과 읽기만 허용하며, 데이터 수정과 삭제는 불가능합니다.
즉, 데이터 생성과 읽기만 허용되기 때문에 랜섬웨어가 PC나 서버에서 실행되더라도 Hybrid WORM 네트워크 스토리지는 파일을 수정(또는 암호화)하는 경우를 제외하고 애플리케이션에서 파일을 생성하고 읽을 수만 있기 때문입니다.
사용자 또는 관리자가 파일을 수정 및 삭제하려는 경우 Hybrid WORM 네트워크 스토리지를 사용하면 윈도우 파일 탐색기와 같은 지정된 응용 프로그램이 해당 네트워크 드라이브의 파일을 수정 및 삭제할 수 있습니다. 따라서, 말웨어나 다른 애플리케이션은 FilingBox에 저장된 파일을 수정하거나 삭제할 수 없지만, 사용자나 관리자는 파일 탐색기를 통해서 수정 삭제가 가능합니다.
뿐만 아니라 Hybrid WORM 네트워크 스토리지는 피싱 공격에 대해 목록 생성 전용 모드로 실행할 수 있습니다. PC와 서버가 네트워크에 연결되어 있을 경우, 데이터가 해커의 서버로 전송되지 않는다고 보장할 수 없습니다. 게다가 파일이 네트워크를 통해 복사된다는 사실도 모를 것입니다.
하이브리드 WORM 네트워크 스토리지 기술에는 목록 생성 전용 모드가 있습니다. 이는 목록 생성 전용 모드가 활성화되면 가짜 파일 시스템이 있는 CD-ROM 작성기처럼 작동합니다.
항상 응용 프로그램이 새 파일을 만들고, 네트워크 드라이브에 있는 파일 및 폴더의 이름을 나열할 수 있는 권한을 줍니다. 그러나 응용 프로그램이 해당 파일을 읽을 때에 한정하여 가짜 파일을 제공합니다. 용 프로그램에 실제 파일을 제공하는 경우는 2FA 코드가 있는 파일 또는 지정된 응용 프로그램을 읽을 때로 한정됩니다. 유저와 애플리케이션은 파일의 목록을 볼 수 있으나 열람할 수 없습니다.
대신 Hybrid WORM 넷하드는 “가짜 파일입니다. 올바른 인증 코드와 지정된 애플리케이션으로 파일을 다시 열어주세요.”라고 말하며 가짜 파일을 PC에 제공합니다.
| 안티바이러스 | 행동 탐지 | 백업 | Hybrid WORM Disk |
|
|---|---|---|---|---|
| 알려진 랜섬웨서 방지 |
O | O | O | O |
| 새로운/변종 랜섬웨어 |
X | O | O | O |
| 데이터 위변조/암호화 차단 (읽기 모드) |
X | △ | O | O |
| 운영 체제와 구조적으로 분리 | X | X | O | O |
| 편집기능 가능으로 저장 공간 활용 | X | X | O | O |
| 기존 파일 서버를 하이브리드 WORM 디스크로 변환 | X | X | X | O |
03
Hybrid WORM 네트워크 스토리지 기술은 PC에서 어떻게 작동하나요?
Hybrid WORM 넷하드는 PC에 읽기 전용 모드가 있는 네트워크 드라이브를 제공할 수 있습니다. 이 모드에서는 PC의 애플리케이션만 새 파일을 만들고 읽기 전용 파일 속성을 가진 파일을 읽을 수 있습니다. 랜섬웨어는 PC에서 실행되지만, 해당 네트워크 드라이브의 데이터를 암호화하지는 못합니다. 이는 파일 수정(또는 암호화)을 제외하고 모든 응용 프로그램이 파일을 만들고 읽을 수 있도록 허용하기 때문입니다.
이 규칙의 한 가지 예외는 윈도우 탐색기 입니다. Hybrid WORM 네트워크 스토리지를 사용하면 Windows 파일 탐색기에서 파일을 수정하고 삭제할 수 있습니다. 따라서 사용자는 평소와 같이 윈도우 파일 탐색기를 사용하여 네트워크 드라이브에서 데이터를 생성, 읽기, 수정 및 삭제할 수 있습니다.
04
Hybrid WORM 네트워크 스토리지는 서버에서 어떻게 작동하나요?
Hybrid WORM 네트워크 스토리지는 읽기 전용 생성 모드로 애플리케이션 서버에 네트워크 드라이브를 제공할 수 있습니다. 이 모드에서 있으면 서버의 응용 프로그램만 새 파일을 만들고 읽기 전용 파일 속성을 가진 파일을 읽을 수 있습니다.
루트 계정이 애플리케이션 서버에서 훼손되더라도 Hybrid WORM 네트워크 스토리지에서 제공하는 네트워크 드라이브에 데이터가 있는 경우, 루트 계정은 데이터를 삭제하거나 암호화할 수 없습니다. 네트워크 드라이브에서는 파일을 만들고 읽을 수만 있기 때문입니다.
관리자 또는 개발자가 해당 네트워크 드라이브의 파일을 변경하려는 경우, Hybrid WORM 네트워크 스토리지에서 읽기 전용 생성 모드를 해제한 후 파일을 수정 및 삭제할 수 있습니다. 모드를 변경한 직후, 응용 프로그램 서버의 관리자 또는 개발자는 기존 네트워크 드라이브와 같이 해당 네트워크 드라이브의 파일을 업데이트하거나 삭제할 수 있습니다.
05
Hybrid WORM 네트워크 스토리지 기술은 어떻게 개발되었나요?
Hybrid WORM(Write Once Read Many) 네트워크 스토리지 기술은 FilingBox에서 개발했습니다. Filingbox 팀은 네트워크 드라이브 인터페이스 EDMS(Electronic Document Management System)를 개발하는 동안 우연히 이 기술을 발견했습니다.
기존 EDMS(Electronic Document Management System)는 일반적으로 사용하기 어렵고 사용자 인터페이스가 좋지 않습니다. 기존 EDMS는 일반적으로 사용자에게 일부 메타데이터를 웹 기반 형식으로 입력하도록 요청하므로, 사용자가 새 파일을 등록하기 어렵습니다.
FilingBox는 사용자의 등록 절차를 보다 쉽게 하기 위해 지난 13년 동안 네트워크 드라이브 인터페이스 EDMS를 개발해 왔습니다. FilingBox는 EDMS에 파일을 등록하는 것과 PC의 네트워크 드라이브에 파일을 저장하는 것을 결합하려고 했습니다. 사용자가 네트워크 드라이브에 파일을 저장하면 FilingBox 서버는 작성자, 날짜 등과 같은 자동화된 메타데이터로 파일을 자동으로 등록합니다.
네트워크 드라이브 인터페이스로 인해, FilingBox는 체크아웃/인 및 버전 관리 등과 같은 EDMS 기능이 있는 파일 서버 데몬으로 실행됩니다.
EDMS 기능이 있는 파일 서버를 계속 개발하던 중, 한 개발자가 실수로 읽기 전용 생성 파일 서버를 만들었습니다. 랜섬웨어 방지 솔루션을 먼저 만들려는 의도는 아니었지만, 그런 사건이 생겼습니다.
저희 팀은 이것이 랜섬웨어 공격을 완전히 막을 수 있는 유일한 방법이라는 것을 알게 되었습니다.
이 솔루션을 찾은 후 저희는 특허 생성 및 랜섬웨어 방지 데이터 스토리지 개발에 집중했습니다. 현재는 주요 정부기관, 금융회사, 연구기관에서 Hybrid WORM 네트워크 스토리지를 활용하고 있습니다.
06
Hybrid WORM 네트워크 스토리지 데모
