인공지능 기반 비트락커 랜섬웨어 복구 솔루션 개발
랜섬웨어 데이터 복구를 위해서는 최대한 신속한 서버 셧다운 필요
KRDC 블로그를 통해 랜섬웨어 예방과 복구에 대한 최신 정보 공유
[보안뉴스 원병철 기자] 인공지능(AI)이 주도하는 시대, 한국랜섬웨어방어센터(이하 KRDC)와 베일리테크는 세계 최초로 AI 기반의 비트락커(BitLocker) 랜섬웨어 복구 기술을 개발해 획기적인 성과를 거뒀다고 밝혔다. KRDC는 이를 계기로 랜섬웨어 복구 분야를 선도하며 국내 최고의 솔루션 제공업체로 자리매김할 것이라고 강조했다.
[이미지 = gettyimagesbank]
AI 기반 솔루션으로 비트락커 랜섬웨어 복구키 발견
KRDC는 BitLocker 랜섬웨어에 감염된 서버에서 데이터를 복구할 수 있는 AI 기반 솔루션을 세계 최초로 성공적으로 개발했다. 머신러닝 기술 중 지도 학습(Supervised Learning) 기술을 활용해 랜섬웨어에 감염된 파일들과 5,000개의 BitLocker 복구 키 및 5,000개의 일반 텍스트 파일을 비교·분석했고, 그 결과 전례 없는 정확도로 랜섬웨어에서 감염된 서버에서 복구 키를 찾을 수 있는 AI 모델이 탄생했다.
현재 KRDC는 BitLocker 랜섬웨어에 감염된 고객을 대상으로 현장 복구 서비스를 제공하고 있다. 하지만 KRDC는 이 AI 기반 복구솔루션을 소프트웨어 패키지로 제공해 기업이 필요한 복구 키를 독립적으로 찾아 암호화된 드라이브를 즉시 복구할 수 있도록 2025년 상반기까지 제공할 계획이다. 이에 대한 특허 출원도 이미 진행 중이다.
신속한 초기 대응이 랜섬웨어 데이터 복구에 가장 중요
만일 서버가 비트락커 랜섬웨어에 감염되었다면 당장 서버를 셧다운(전원을 끄는 것)하는 것이 복구키를 찾을 가능성을 높일 수 있다. 비트락커 랜섬웨어 감염 후 24시간 이내 서버를 셧다운 했다면, 복구키를 찾을 확률은 90%(디스크 크기 2TB 기준) 수준이다.
KRDC 연구에 따르면, 비트락커는 구조상 드라이브를 암호화 후 내부적으로 파일 단위 암호화하는 구조로 되어있고, 그 과정에서 하드디스크 타입, 용량에 따라 달라진다고 한다. 서버는 주로 SAS, HDD 등을 사용해 레이드로 구성되므로, 파일 단위 암호화가 SSD나 M.2보다 느려 복구키를 찾을 수 있는 확률이 높다.
또한 KRDC가 개발한 AI 기반 복구 프로세스는 파일 서명을 꼼꼼하게 분석해 BitLocker 복구 키와 일치하는 서명을 격리한다. 이 방법은 서버가 즉시 종료될 때 암호화되지 않은 복구 키를 탐지하는 데 99%의 성공률을 보여준다. 이 기술의 정밀도는 유사한 헤더 구조를 가진 파일을 추출해 높은 탐지 정확도를 보장하는 능력에서 비롯된다.
아래는 AI 기반 비트락커 랜섬웨어 복구키 찾기 프로그램 예시 화면이다.
▲지도학습을 위한 비트락커 복구키 분석 화면[이미지=KRDC]
▲지도학습을 위한 일반 TXT 파일 분석 화면[이미지=KRDC]
위 그림을 보면 비트락커 복구키와 일반 테스트 파일은 파일의 시그니처 구조가 다른 것을 알 수 있다. 그리고 서버에서 직접 검색해서 비트락커 복구키와 파일의 시그니처가 유사한 파일만 추출하도록 프로그램을 만들었다. 그 결과 서버를 빨리 셧다운 해 복구키가 암호화되지 않았으면 탐지될 수 있는 확률은 99%였다.
파일의 헤더 구조가 유사한 파일만 추출하니 정확도가 높아질 수 있었다고 한다. 아래는 인공지능이 복구키를 찾은 화면이다.
▲인공지능 학습 모델에서 복구키를 찾은 화면[이미지=KRDC]
▲인공지능 학습 모델에서 복구키를 찾은 사례[이미지=KRDC]
KRDC 블로그를 통해 랜섬웨어 예방 및 복구를 위한 유용한 정보 제공
KRDC는 블로그를 통해 랜섬웨어 예방을 위한 유용한 정보를 적극적으로 공유하고 있다. KRDC 블로그에서는 랜섬웨어 공격으로부터 시스템을 보호하는 방법에 대한 심층적인 정보와 서버가 감염된 경우 취해야 할 조치에 대한 자세한 지침을 제공한다. 최근 공공기관과 중소 제조기업, 의료기관 등을 대상으로 랜섬웨어 공격이 급증하고 있는 가운데, KRDC 블로그를 통해 소중한 데이터를 보호하고 랜섬웨어 방어에 대한 최신 정보를 얻을 수 있다고 한다.
KRDC 수석 엔지니어 정경수 팀장은 고객이 랜섬웨어에 감염되면 당황해 서버를 오래 켜두던가, 하드디스크를 포맷하는 등 잘못된 조치를 하는 경우가 많다고 한다. 랜섬웨어 감염 시 아래와 같은 조치를 순서대로 진행하면 랜섬웨어 데이터 복구 성공률을 높일 수 있다고 한다.
1. 감염된 서버 모두 셧다운(제일 중요)
2. KRDC 등 네트워크 보안 전문가에게 의뢰
3. 데이터복구 또는 해커와 협상 등 대응 방향을 결정
4. 하드디스크 포맷 또는 교체 등은 절대 금물
KRDC는 앞으로도 지속적인 연구개발을 통해 가장 앞선 랜섬웨어 복구 기술을 제공해, 국내에서 급증하고 있는 랜섬웨어 공격으로부터 기업들과 공공기관의 피해를 최소화하는 데 노력 하겠다고 밝혔다.
한편, KRDC는 페이스북을 통해 랜섬웨어에 대한 예방, 방어, 성공사례, 응급조치방안 등 많은 내용을 공유하고 있다. 페이스북에서 KRDC를 검색하면 자세한 정보를 확인할 수 있다.
[원병철 기자(boanone@boannews.com)]
랜섬웨어 데이터 복구를 위해서는 최대한 신속한 서버 셧다운 필요
KRDC 블로그를 통해 랜섬웨어 예방과 복구에 대한 최신 정보 공유
[보안뉴스 원병철 기자] 인공지능(AI)이 주도하는 시대, 한국랜섬웨어방어센터(이하 KRDC)와 베일리테크는 세계 최초로 AI 기반의 비트락커(BitLocker) 랜섬웨어 복구 기술을 개발해 획기적인 성과를 거뒀다고 밝혔다. KRDC는 이를 계기로 랜섬웨어 복구 분야를 선도하며 국내 최고의 솔루션 제공업체로 자리매김할 것이라고 강조했다.
[이미지 = gettyimagesbank]
AI 기반 솔루션으로 비트락커 랜섬웨어 복구키 발견
KRDC는 BitLocker 랜섬웨어에 감염된 서버에서 데이터를 복구할 수 있는 AI 기반 솔루션을 세계 최초로 성공적으로 개발했다. 머신러닝 기술 중 지도 학습(Supervised Learning) 기술을 활용해 랜섬웨어에 감염된 파일들과 5,000개의 BitLocker 복구 키 및 5,000개의 일반 텍스트 파일을 비교·분석했고, 그 결과 전례 없는 정확도로 랜섬웨어에서 감염된 서버에서 복구 키를 찾을 수 있는 AI 모델이 탄생했다.
현재 KRDC는 BitLocker 랜섬웨어에 감염된 고객을 대상으로 현장 복구 서비스를 제공하고 있다. 하지만 KRDC는 이 AI 기반 복구솔루션을 소프트웨어 패키지로 제공해 기업이 필요한 복구 키를 독립적으로 찾아 암호화된 드라이브를 즉시 복구할 수 있도록 2025년 상반기까지 제공할 계획이다. 이에 대한 특허 출원도 이미 진행 중이다.
신속한 초기 대응이 랜섬웨어 데이터 복구에 가장 중요
만일 서버가 비트락커 랜섬웨어에 감염되었다면 당장 서버를 셧다운(전원을 끄는 것)하는 것이 복구키를 찾을 가능성을 높일 수 있다. 비트락커 랜섬웨어 감염 후 24시간 이내 서버를 셧다운 했다면, 복구키를 찾을 확률은 90%(디스크 크기 2TB 기준) 수준이다.
KRDC 연구에 따르면, 비트락커는 구조상 드라이브를 암호화 후 내부적으로 파일 단위 암호화하는 구조로 되어있고, 그 과정에서 하드디스크 타입, 용량에 따라 달라진다고 한다. 서버는 주로 SAS, HDD 등을 사용해 레이드로 구성되므로, 파일 단위 암호화가 SSD나 M.2보다 느려 복구키를 찾을 수 있는 확률이 높다.
또한 KRDC가 개발한 AI 기반 복구 프로세스는 파일 서명을 꼼꼼하게 분석해 BitLocker 복구 키와 일치하는 서명을 격리한다. 이 방법은 서버가 즉시 종료될 때 암호화되지 않은 복구 키를 탐지하는 데 99%의 성공률을 보여준다. 이 기술의 정밀도는 유사한 헤더 구조를 가진 파일을 추출해 높은 탐지 정확도를 보장하는 능력에서 비롯된다.
아래는 AI 기반 비트락커 랜섬웨어 복구키 찾기 프로그램 예시 화면이다.
▲지도학습을 위한 비트락커 복구키 분석 화면[이미지=KRDC]
▲지도학습을 위한 일반 TXT 파일 분석 화면[이미지=KRDC]
위 그림을 보면 비트락커 복구키와 일반 테스트 파일은 파일의 시그니처 구조가 다른 것을 알 수 있다. 그리고 서버에서 직접 검색해서 비트락커 복구키와 파일의 시그니처가 유사한 파일만 추출하도록 프로그램을 만들었다. 그 결과 서버를 빨리 셧다운 해 복구키가 암호화되지 않았으면 탐지될 수 있는 확률은 99%였다.
파일의 헤더 구조가 유사한 파일만 추출하니 정확도가 높아질 수 있었다고 한다. 아래는 인공지능이 복구키를 찾은 화면이다.
▲인공지능 학습 모델에서 복구키를 찾은 화면[이미지=KRDC]
▲인공지능 학습 모델에서 복구키를 찾은 사례[이미지=KRDC]
KRDC 블로그를 통해 랜섬웨어 예방 및 복구를 위한 유용한 정보 제공
KRDC는 블로그를 통해 랜섬웨어 예방을 위한 유용한 정보를 적극적으로 공유하고 있다. KRDC 블로그에서는 랜섬웨어 공격으로부터 시스템을 보호하는 방법에 대한 심층적인 정보와 서버가 감염된 경우 취해야 할 조치에 대한 자세한 지침을 제공한다. 최근 공공기관과 중소 제조기업, 의료기관 등을 대상으로 랜섬웨어 공격이 급증하고 있는 가운데, KRDC 블로그를 통해 소중한 데이터를 보호하고 랜섬웨어 방어에 대한 최신 정보를 얻을 수 있다고 한다.
KRDC 수석 엔지니어 정경수 팀장은 고객이 랜섬웨어에 감염되면 당황해 서버를 오래 켜두던가, 하드디스크를 포맷하는 등 잘못된 조치를 하는 경우가 많다고 한다. 랜섬웨어 감염 시 아래와 같은 조치를 순서대로 진행하면 랜섬웨어 데이터 복구 성공률을 높일 수 있다고 한다.
1. 감염된 서버 모두 셧다운(제일 중요)
2. KRDC 등 네트워크 보안 전문가에게 의뢰
3. 데이터복구 또는 해커와 협상 등 대응 방향을 결정
4. 하드디스크 포맷 또는 교체 등은 절대 금물
KRDC는 앞으로도 지속적인 연구개발을 통해 가장 앞선 랜섬웨어 복구 기술을 제공해, 국내에서 급증하고 있는 랜섬웨어 공격으로부터 기업들과 공공기관의 피해를 최소화하는 데 노력 하겠다고 밝혔다.
한편, KRDC는 페이스북을 통해 랜섬웨어에 대한 예방, 방어, 성공사례, 응급조치방안 등 많은 내용을 공유하고 있다. 페이스북에서 KRDC를 검색하면 자세한 정보를 확인할 수 있다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
