[지디넷코리아] "랜섬웨어 공격, SSD 펌웨어로 막을 수 있다"

Article

"랜섬웨어 공격, SSD 펌웨어로 막을 수 있다"

 

Summary

국내 연구진이 SSD 기반의 랜섬웨어 탐지와 데이터 복구 기법을 통한 랜섬웨어의 새로운 해결책을 제시했다. 논문을 통해 공개한 'SSD 인사이더++는 SSD 펌웨어 내부에서 작동한다. 기존 파일을 읽어와 암호화한 다음 지우거나, 덮어쓰는 랜섬웨어의 패턴이 감지되면 모든 작동을 멈추고, 랜섬웨어가 망가뜨린 파일을 10초 안에 자동으로 복구할 수 있다. 명령어 앞부분 일부만 감시하는 방식을 사용하기에, 지연 시간은 수십~수백 ns에 불과하다.
최근 악성코드 트렌드는 코드 없이도 돌아가는 파일리스, 매크로이다. 코드 자체가 작아졌고, 보안 소프트웨어로 탐지가 힘들어졌다. 이에 코드가 아닌 '행동 탐지' 방식을 이용해 소프트웨어로 탐지가 힘든 랜섬웨어 방어가 가능하다. 파일을 지워도 데이터는 일정 기간 남아 있는 SSD 의 특성을 거꾸로 이용해 파일을 빠른 시간 안에 복구할 수 있다. 하지만 감지하는 동시에 Read Only 모드로 전환되면서 운영체제 작동에 오류를 일으킬 가능성도 존재한다.

 

My Opinion

보통 보안은 소프트웨어나 보안 기기를 통해 이루어지는 것이라 생각하고 있었는데, 지금까지의 생각의 틀을 벗어난 방법이라 놀랐다. 데이터가 들어있는 메모리 장치에서 직접 탐지 프로세스를 진행시켜 랜섬웨어를 탐지하는 방법은 새로운 패러다임의 시작이 될 것이라 생각한다. Read Only 모드로 인한 가용성 침해가 아직 존재하지만, 이에 대한 추가 알고리즘을 개발해 문제를 해결하면 최근 잘 감지되지 않는 랜섬웨어들에 대한 강력한 대응법이 될 것이라 생각된다. 물론 해당 논문에서 소개한 방법은 SSD에서만 가능한 방법이기에 HDD나 USB같은 메모리 장치에서는 불가능한 방법이다. 하지만 메모리 상에서 탐지하는 아이디어로부터 SSD 외의 다른 메모리 장치에서 작동 가능한 또 다른 기술이 나오지 않을까 기대해본다.

 

Other

[기사의 논문] S. Baek, Y. Jung, D. Mohaisen, S. Lee and D. Nyang, "SSD-Assisted Ransomware Detection and Data Recovery Techniques," in IEEE Transactions on Computers, vol. 70, no. 10, pp. 1762-1776, 1 Oct. 2021, doi: 10.1109/TC.2020.3011214.

SSD-Assisted Ransomware Detection and Data Recovery Techniques