기업용 공유 스토리지 내 암호화 랜섬웨어 탐지를 위한 하이브리드 프레임워크

대부분의 기업 업무 환경은 클라이언트 엔드포인트(client endpoints)에 민감한 데이터를 저장하는 것을 제한하는 정책과 기술적 통제를 시행합니다. 결과적으로, 랜섬웨어 운영자들은 공격 표면(attack surface)을 로컬 시스템에서 네트워크 드라이브 및 공유 스토리지 리소스로 확장하는 변종들을 진화시켜 왔습니다. 전통적인 엔드포인트 탐지 메커니즘은 주로 로컬 시스템의 동작에 집중하기 때문에, 침해된 클라이언트는 서버 자체에서 직접적인 동작 변화를 유발하지 않고도 공유 데이터를 암호화하는 등의 방식으로 원격 파일 서버에 영향을 미칠 수 있습니다. 본 논문에서는 통합된 파일 서버 및 클라이언트 환경 내에서 암호화 랜섬웨어(crypto-ransomware) 침입을 탐지하기 위한 하이브리드 탐지 프레임워크를 제안합니다. 이 프레임워크는 네트워크 트래픽을 분석하고 침해 지표(Indicators of Compromise, IoCs)를 추출하기 위해 관심 영역(Region of Interest, RoI)이라고 불리는 새로운 기술을 기반으로 합니다. IoC 저장소는 EDR(Endpoint Detection and Response) 및 IDS(Intrusion Detection System)와 같은 기존 보안 도구를 강화하기 위한 추가적인 규칙 세트 역할을 하며, RoI에서 도출된 특징(features)들은 매우 회피력이 높은 변종을 탐지하기 위한 머신러닝 (ML) 모델을 학습시키는 데 사용됩니다. 본 연구는 더 광범위한 랜섬웨어 패밀리 세트와 도메인 전문 지식을 바탕으로 신중하게 선택된 정상 동작(benign behaviors)을 포함하여, 랜섬웨어 탐지를 방해할 수 있는 일반적인 사용자 작업들을 보장합니다. 시그니처 기반(signature-based) 방식으로 작동하는 IoC를 넘어, 당사의 머신러닝 모듈은 0%의 미탐률(false negative rate, FNR)과 최소한의 오탐률(false positive rate, FPR)로 99.64%의 탐지 정밀도(precision)를 달성했습니다. 또한, 제안된 방법은 상당한 피해가 발생하기 전에 랜섬웨어 침입을 식별하는 조기 탐지를 가능하게 하며, 99.44%의 정확도(accuracy)를 달성했습니다.