App check pro_표준제안서_z

상황 인식 기반 행위 탐지로
정교하고 완벽하게
랜섬웨어 전문 솔루션
AppCheck Pro

목차
1.
2.
3.
4.
5.
6.
7.
8.
개요
시장현황
기술 검증
CARB 엔진 방어 동작 원리
AppCheck Pro
CMS
레퍼런스
참고자료

1. 개요 | 랜섬웨어란?
3
사용자의 PC에 존재하는 문서, 사진, 동영상 등을 암호화하여 사용하지 못하게 만들고 이를 인질로 삼아 몸값(Ransom)을 요구하는
악성코드입니다. 랜섬웨어의 하나인 CryptoWall은 현존하는 최고의 공개키 암호알고리즘인 RSA-2048을 사용하여 암호화 합니다.
암호화된 파일은 복호화 키 없이는 복구가 불가능해 매우 치명적입니다.
감염 전 원본 문서와 사진 랜섬웨어로 파괴된 문서와 사진

1. 개요 | 국내 랜섬웨어 위협 인식 확산
4
공공·금융·기업 등의 정보보안 담당자들을 대상으로 한 설문조사에서 10명중 5명이 랜섬웨어가 가장 위험하다고 평가하였으며,
2016년에도 가장 치명적인 위협이 될 것으로 예상하였습니다.
출처: 월간 네트워크타임즈 (설문대상: 375명)
2016년 예상되는 치명적인 위협
출처:월간 네트워크타임즈
2015년 발생한 가장 위험한 보안사고
출처:월간 네트워크타임즈
48.0%
17.6%
4.8%
20.0%
7.2%
2.4%
랜섬웨어 APT 공격 모바일
보안
개인정보
유출
Drive By
Download
취약점
공격
랜섬웨
어
29.3%
APT 공격
18.0%
개인정보
유출
15.3%
모바일 보안
18.7%
전자금융사기
4.0%
취약점 공격
14.7%

1. 개요 | 국내 대형 커뮤니티 CryptXXX 랜섬웨어 유포
2016년 6월 국내 대형 커뮤니티에 서비스되는 광고 서버를 통해 CryptXXX 랜섬웨어가 유포되었습니다.
웹 페이지를 방문하는 것만으로도 감염이 되는 CryptXXX 랜섬웨어로 많은 사용자 피해가 발생하였습니다.
0
20
40
60
80
100
120
140
04-09
04-11
04-13
04-15
04-17
04-19
04-21
04-23
04-25
04-27
04-29
05-01
05-03
05-05
05-07
05-09
05-11
05-13
05-15
05-17
05-19
05-21
05-23
05-25
05-27
05-29
05-31
06-02
06-04
06-06
06-08
crypt cryp1 crypz
변종 개발 및 테스트
2차 커뮤니티 유포
총 사전 방어 건수: 771건
1차 커뮤니티 유포
최초 유포시점
5

1. 개요 | 2015년 랜섬웨어 전세계 피해 급증
6
세계적으로 2015년에 380만개의 랜섬웨어가 새로 발견되었으며, 2014년 대비 6배 이상 급증하였습니다.
그중 가장 유명한 CryptoWall에 의해 발생된 단일 랜섬웨어 피해액은 미화 32,500만 달러 (한화 3,623억원)이었습니다.
CryptoWall의 감염 비율은 전체 랜섬웨어 중 20~30%로 예상되며, 랜섬웨어 총 피해액은 약 9,500만 달러(한화 1,000억원)로 추정됩니다.
연간 발견된 전세계 랜섬웨어
출처:McAfee Labs 단위: 개
2013
2014
2015
1,091,900
615,000
3,805,000
단일 랜섬웨어의 피해
출처:CyberThreatAllance
항목 상세 내용
이름 CryptoWall 3
기간 2015.1~2015.11
피해액 $USD 32,500만 (한화 3,623억)
감염회수 406,887회
샘플 수 4,046개
C&C URL 839개
주요 감염 경로 피싱 이메일
키워드
internal, invoice, fax, statement, ZIP,
PDF, Office Files

훼손된 문서와 사진
1. 개요 | 랜섬웨어 대응 기술 현황은?
7
랜섬웨어 대응 기술에는 크게 사전 방어와 백업(사후 복원)으로 나뉘며 사전 방어는 랜섬웨어의 동작을 미리 차단하고 방어하기 때문에
가장 이상적인 기술이지만 현재까지 랜섬웨어를 원천적으로 차단하는 기술은 개발되지 않았습니다. 그렇기에 백업이 유일한 대안으로
부각되고 있습니다.
랜섬웨어
현재 유일한 대안
백업
가장 이상적인 대응
사전 방어
원본 문서와 사진
복원

1. 개요 | 사전 방어와 백업의 상호 보완
8
사전 방어와 백업은 상호 보완적으로 적용하는 것이 랜섬웨어 대응에 가장 효과적이라고 할 수 있습니다.
앱체크에는 백업의 단점을 보완하고 상황 인식 기반 랜섬웨어 사전 방어 기술이 탑재 되었습니다.
백업사전 방어
사후 복구사전 대응
낮음높음
높음보통
대응 방식
편리성
안전성
백업되지 않은 데이터 복원
방안
방어 실패 시 대안 필요보완점
낮음높음가용성

1. 개요 | 기존 콘텐츠 기반 기술의 한계
9
정상 프로그램과 악성코드를 구분하려면 악성코드만 사용하는 URL, 파일이름, 레지스트리 값, 경로 등의 콘텐츠를 활용해야 합니다.
기존의 탐지 기술은 다양한 악성코드의 정보 즉 콘텐츠 DB를 참조해야 하기 때문에 콘텐츠에 부합되지 않는 새로운 랜섬웨어 출현
시 탐지가 불가능한 한계를 나타내고 있습니다.
Signature Based
시그니처우회테스트후악성코드를
유포하기때문에신종탐지불가
Behavior Based
행위기반 룰과 MetaData의
업데이트 필요
Network
IP/Domain 정보
업데이트
Sandbox
행위기반 룰과 MetaData의
업데이트 필요, 샌드박스 우회
일반화
콘텐츠 데이터베이스 업데이트 필요
신종 랜섬웨어의 사전 대응 어려움
탐지 방법:
- Signature based: 파일을 진단할 때 사용되는 탐지 방법으로 주로 파일내의 특정 부분을 해시로 변환하여 참조하는 방법
- Behavior based: 악성코드가 수행하는 특정 행위를 패턴화시켜 탐지하는 방법
- Sandbox: 가상환경안에서 악성코드를 실행시켜 행위 등을 보고 탐지하는 방법
- Network: 네트워크상의 통신 정보를 기반으로 악성코드를 탐지하는 방법

1. 개요 | 비(非) 콘텐츠 기반 기술의 한계
10
콘텐츠 기반 기술을 보완하고자 개발된 기술도 각각의 한계가 존재하여 이를 극복할 만한 기술이 요구되고 있는 실정입니다.
이메일등으로 유입되는
랜섬웨어 대응 불가
Exploit 탐지
어플리케이션의
취약점 발생 시점에 탐지
미끼 파일 우회 랜섬웨어
대응 불가
Decoy Based
미끼 파일을
변조한 프로세스의 탐지
모든 정책 수동 추가 불가
사용자 편의성 떨어짐
ACL 기반
보호대상을 지정하거나
변경 권한 부여 어플리케이션 등록
탐지 방법:
- Decoy based: 임의의 미끼 파일을 생성하여 악성코드가 해당 파일을 변조할 때 탐지하는 방법
- Exploit 탐지: 어플리케이션의 취약점을 통해 비정상적으로 실행되는 코드를 탐지하는 방법
- ACL 기반: 특정 어플리케이션에 권한을 지정하여 다른 어플리케이션은 접근이 불가능하도록 통제하는 방법

1. 개요 | 상황 인식이란?
11
주변의 패턴이나 환경 등, 모든 정보를 종합하여 상황을 인지하고, 그 상황에 맞도록 최적의 대응 행동을 수행하는 것입니다.
자율주행 자동차
출처:Tesla
구글 나우
출처:Google
지능형 CCTV
출처: (주)한소리

기존 기술의 초점
1. 개요 | 상황 인식 기반 랜섬웨어 탐지 기술
12
상황 인식 기반 랜섬웨어 탐지 기술은 기존 방식처럼 랜섬웨어 콘텐츠를 보는 것이 아니고 파일의 변조 시점에 정상적 변경과
악의적 변경을 판단하기 때문에 별도의 업데이트 없이도 신종 랜섬웨어의 사전 탐지가 가능합니다.
TeslaCrypt
Spreadsheet
Malware
CAD
Utilities
Locky
Shade
PowerWare
Design Tools
Presentation
파일 변경 시점
상황 인식
악의적 변경
Disk Access
Browser Exploit
Mail Attachments
Creates File
Deletes File
Attribute Change
Connect Network
Change
extensions
Mail Attachments
File
Modification
Rewrites File
Open and Read
Remote Downloads
Personal Info Leak
Access Browser
Unknown
랜섬웨어
콘텐츠에 집중
정상적 변경
CryptXXX
상황 인식 초점

1. 개요 | 파일 변경 시 획득할 수 있는 정보
13
파일이 변경될 때 확인할 수 있는 정보는 생각보다 다양하며, 이를 추적하고 관리하였을 경우
정상적인 파일의 변경과 비정상적 변경 구분이 가능합니다.
CARB 엔진의 주요 관심 포인트
Context Awareness Ransomware Behavior detection engine
상황인식 랜섬웨어 행위 기반 엔진
헤더
Header
본문
Body
상황 분석 관리자
Context Manager
본문의 변화
엔트로피의 변화
파일 업데이트 시간
Process Lifecycle Management
파일 이름 변경 등
파일 헤더 구조
파일 헤더의 변경
본문 사이즈의 변화

2. 시장 현황 | 관련 솔루션 분석
14
캅(CARB) 엔진은 상황 인식 기반의 행위 탐지 기술로 파일 변조 시점의 상황을 판단하며 변조 전후 시점을 파악하므로
기존 솔루션에서 불가능했던 파일의 변화를 실시간으로 분석, 알려지지 않은 랜섬웨어의 탐지가 가능합니다.
구분 CARB 엔진 백신
APT 방어
솔루션
백업/복구
솔루션
파일 서버
문서
중앙화
사전방어 탐지
세부 항목
시그니처 우회 변종 파일 ○ ○ ○ ⅹ ⅹ ⅹ
미끼 파일 포함한 파일 암호화 ○ △ △ ⅹ ⅹ ⅹ
미끼 파일 우회한 파일 암호화 ○ ⅹ ⅹ ⅹ ⅹ ⅹ
확장명 우회 후 암호화
(파일 변경 추적)
○ ⅹ ⅹ ⅹ ⅹ ⅹ
복호화 결제 안내 파일 삭제
(파일 생성 롤백)
○ ⅹ ⅹ △ △ △
탐지전 암호화 된 파일 복구
(파일 훼손 롤백)
○ ⅹ ⅹ ○ △ ○
비암호화 파일 훼손 인식 ○ ⅹ ⅹ ⅹ ⅹ ⅹ
정상적인 파일 수정 행위 인식
(변화 분석)
생성/변경/덮어쓰기/삭제
상황별 연계 분석
프로세스별 행위 연계 추적 ○ △ △ ⅹ ⅹ ⅹ
메모리 Mapped 방식 I/O 탐지 ○ ⅹ ⅹ ⅹ ⅹ ⅹ

3. 기술 검증 | 상황 인식 기반 안티랜섬웨어
15
2015년 12월 상황 인식 기반 기술로 동작하는 AppCheck 1.0 제품을 무료로 출시, 지난 8개월 동안 기술의 안정성을 확보하였습니다.
10개월
검증 기간
3회
3회 업데이트로
신종 랜섬웨어 100%
차단
12만
사용자 수
헐...대박...앱체크 사랑합니다ㅠㅠ
지금 쓰고 있는데 앞으로
랜섬웨어 걱정은 많이 안해도
되겠네요!!
ㅁㄴ** (ryo*******)
와 대박!!!
세계 유일의 랜섬웨어가드
백신이라니 놀랍습니다.
대단해요!!!!
Vic*** (ris*****)
저 오늘 기안서 썻습니다.
그냥 마음에 들었습니다. 회사
인지도도 없고 아직
스타트업이라 조직도 제대로
없는 것 같은데 다 제쳐두고 제품
자체는 만족이었습니다.
바람**(mmma****)
http://cafe.naver.com/peopleofit/13585
몇일 사용 안했지만 굉장한
프로그램이란 느낌이
오더라구요,, ^^;
그래서 오늘 바로 기안 올려 구매
하였습니다. 앞으로 좋은
프로그램 부탁 드립니다.
T사 전산관리자
오늘 인터넷 사용하다가 차단을
해줘서 살았네요.
설치 안 했다면 큰일 날
뻔했어요.
정말 감사합니다.
poo**** (poo****)
나를 살려준 앱체크(AppCheck)
앱체크가 실시간 감지로
차단시키고 파일들 모두
복원시켜 주었습니다. 시스템
재부팅하여도 실행되는데 이때도
앱체크가 막아주었고요. 오늘
하루 식겁한 하루였네요 문서가
많은데 다 날릴뻔 했습니다.
철*(pj55****)
Voice of customers

3. 기술 검증 | 엔진 안정성
16
랜섬웨어의 상황인식 기반 엔진은 커널 레벨에서 동작해야 하는데, 속도와 안전성 그리고 호환성을 보장하는 커널 드라이버 개발은
수년간의 경험이 뒷받침 되어야 하며, 제한된 환경에서 다양한 기능을 추가하는 일은 높은 기술적 난이도를 요구합니다.
CARB엔진은 월 11만명 규모의 사용자 환경 확보로 다양한 환경에서의 안정성을 검증 받았습니다.
2016-05-22
64,811
2016-07-05
120,893
50,000
60,000
70,000
80,000
90,000
100,000
110,000
120,000
130,000
월간 활성 사용자 (MAU)
120,893 명

3. 기술 검증 | 시스템 부하 (Performance)
17
PCMark7를 이용한 시스템 부하를 측정한 결과 CARB엔진을 사용한 AppCheck는 시스템 영향이 가장 작은 것으로 확인 되었습니다.
PCMark7은 PC의 전반적인 성능을 측정하는 벤치마크 프로그램으로, 일상적으로 수행하는 작업에서 PC의 성능을 점수로 표시합니다.
미설치
4554
AppCheck 1.0
4546
Windows
Defender
4545
AhnLab V3
4537
MalwareBytes
Anti-Ransomware
4508
4490
4500
4510
4520
4530
4540
4550
4560
항목 테스트 PC 상세 사양
CPU Intel Core i5 4250U 2.60Ghz
Architecture Haswel ULT
Memory DDR3 16GB
Graphics Intel HD Graphics 5000
OS Windows 10 Pro K (64bit)
Disk Samsung SSD 840 EVO 250GB
*점수가 높을수록 좋음

4. CARB 엔진 방어 동작 원리
18
롤백을 위한
행위 추적
- 확장자 변경 후 암호화
- 자가 복제 파일 생성
- 결제 안내 파일 생성
- 원본 파일 백업
- 비암호화 파일 훼손
- 정상 파일 수정 인식
- 파일 변화 연계 분석
- 프로세스별 파일 접근
사전 행위
기록/분석
실시간
원본 백업
파일 변경 시
비정상 상황
인식
차단 및
자동 복구
파일
변경, 생성,
훼손, 삭제
행위 기록
파일
훼손 탐지
훼손 전
파일 보호
사용자
개입 불필요

19
무(無)패턴
파일 변경 상황 인식
- 근본적 변조 상황 인식
- 정상 변조 상황
- 다수 훼손 상황 인식
사전 행위
기록/분석
실시간
원본 백업
파일 변경 시
비정상 상황
인식
차단 및
자동 복구
파일
변경, 생성,
훼손, 삭제
행위 기록
파일
훼손 탐지
훼손 전
파일 보호
사용자
개입 불필요

20
암호화 전
실시간 파일 백업
- 파일의 변경 전 실시간
파일 백업
- 정상 상황에서도 일부
백업
- 임시 보관 후 자동
삭제
사전 행위
기록/분석
실시간
원본 백업
파일 변경 시
비정상 상황
인식
차단 및
자동 복구
파일
변경, 생성,
훼손, 삭제
행위 기록
파일
훼손 탐지
훼손 전
파일 보호
사용자
개입 불필요

21
백업된 파일
자동 복구
- 탐지 전 일부 훼손된
파일은 자동 복구
- 탐지 전 랜섬웨어가
수행한 파일 변경 행위
원상 복구
사전 행위
기록/분석
실시간
원본 백업
파일 변경 시
비정상 상황
인식
차단 및
자동 복구
파일
변경, 생성,
훼손, 삭제
행위 기록
파일
훼손 탐지
훼손 전
파일 보호
사용자
개입 불필요

5. AppCheck Pro | 개요
22
국내에서 유일하게 랜섬웨어의 사전 방어와 실시간 백업, 자동 백업의 3중 보호 솔루션을 탑재한 PC용 안티랜섬웨어 제품입니다.
AppCheck Pro
지원 OS
Windows 7 이상
지원 언어
한국어 / 영어
주요 기능
랜섬웨어 사전 방어
자동 백업
폴더 보호
AppCheck Pro
for Windows Server
지원 OS
Windows 2008 R2 이상
지원 언어
한국어 / 영어
주요 기능
랜섬웨어 사전 방어
자동 백업
폴더 보호

5. AppCheck Pro | 주요 기능
캅(CARB) 엔진을
이용한 랜섬웨어 행위
탐지 시 자동으로
악성 프로세스 차단
및 훼손된 파일 자동
복구 기능
23
- 상황인식 기반 엔진
- Unknown 랜섬웨어 탐지 및 차단
- 훼손된 파일 자동 복구
- 결제 안내 파일 자동 삭제
사전 방어
국내유일

파일 훼손 행위 발생 시
자동으로 랜섬웨어
대피소 백업 폴더에
원본 파일 저장을 통한
데이터 보호 기능
24
- 랜섬웨어 미탐시 1차 대안
- 훼손 전 원본 파일 백업
- 훼손되는 파일만 백업
(대용량 디스크 공간 불필요)
- 백업 폴더 쓰기 금지 보호기능
(Driver Level)
대피소
랜섬웨어

원격지에서 공유된
폴더를 훼손하더라도
탐지 및 보호하는
기능
25
- 상황인식 기반 엔진
- 원격지 Host의 접근을 차단
- 훼손된 파일 자동 복구
공유 폴더 보호
국내유일

26
공유된 폴더 내
파일 보호
랜섬웨어 감염PC
정상PC
감염 PC 접근 차단

주기적으로 지정된
폴더 내의 파일을 파일
히스토리 방식으로
자동 백업 폴더에
백업하는 데이터 2중
보호 기능
27
- 랜섬웨어 미탐시 2차 대안
- 주기적인 백업으로 피해 최소화
- 유연한 백업 옵션
(확장자 지정/제외)
- 네트워크 공유폴더로 백업 가능
(백업 중앙화)
자동 백업
스케쥴링

랜섬웨어 행위
탐지를 통해 차단 및
생성된 관련 파일에
대한 선별적 자동
치료(삭제) 기능
랜섬웨어 대피소와
자동 백업 폴더 내에
저장된 파일에 대한
변경 및 삭제를 원천
차단하는 폴더 보호
기능
시스템 검사 결과,
검역소, 위협 로그,
일반 로그 세분화 및
세부적인 복원/제거
로그 제공
자동 치료 폴더 보호 상세 내역
28

5. AppCheck Pro | 제품 사용 환경
최소: Windows 7
권장: Windows 8 이상
최소: 1GB 이상의 메모리
권장: 2GB 이상의 메모리
최소: 2GB 이상의 여유공간
권장: 10GB 이상의 여유공간
29
Windows Server 2008 R2 이상
권장: 100GB 이상의 여유공간
for Windows Server
최소: Intel 1.6Ghz
권장: Intel 2.66Ghz
최소: Internet Explorer 8
권장: Internet Explorer 11

6. CMS | 개요
30
CMS는 업무용 PC 안티랜섬웨어 AppCheck Pro를 중앙에서 손쉽게 관리할 수 있는 중앙관리 솔루션입니다.

6. CMS | 주요 기능
엔드포인트에
보유하고 있는
중요한 자산을
랜섬웨어로부터
보호하고 중앙에서
효율적으로 관리
대시보드, 로그관리,
실시간 랜섬웨어
탐지 정보 제공
기간별 보고서 및
통계 및 로그를
제공하여 손쉽게
리포트 작성 가능
중앙관리 모니터링 리포트
31

6. 제품 사용 환경 | CMS
32
CentOS 7 이상
권장: 128GB 이상의 여유공간클라우드 방식으로
별도의 셋업 및 자원이
불필요
MySQL 5.5 이상

7. 레퍼런스
33
유료 주요 고객사
• 롯데건설
• 국회도서관
• 경희의료원
• 유한양행
• LIS
• (주)효석
• 셀렙(CELLAB)
• 한발매스테크(주)
• 주식회사 유니웰
• (주)씽크윈텍
• (유)신한회계법인
해외 레퍼런스
Jiransoft Japan 통해일본제품출시
http://www.dreamnews.jp/press/
0000137619/
주요 협력사

CARB 엔진 동작 확인용 테스트 파일 탐지/차단 동영상
8. 참고자료
34
https://www.checkmal.com/page/resource/video/https://www.checkmal.com/download/appcheck_test.zip

8. 참고자료 | 랜섬웨어의 효과적인 방어를 위한 체크리스트
35
Unknown 랜섬웨어도 업데이트 없이 탐지 및 방어 가능여부
랜섬웨어의 탐지, 치료, 백업, 복원의 통합 관리가 가능한가
방어 실패 시 대안이 있는가

주소 : 영등포구 양평동 4가 80 아이에스비즈타워 2차 406-1 시온시큐리티
제품 문의 Tel : 070-4685-2648 (대) | H/P : 010-2700-2648 | E-mail : zion@zionsecurity.co.kr
평일 09:00~18:00, 토·일·공휴일 휴무
앱체크 프로의 다중 보호 기능은 변화무쌍한 랜섬웨어에
대비하여 사전방어 및 자동복구, 자동 백업기술로
어떠한 상황에서도 완벽하게 귀사의 데이터를 보호합니다.

App check pro_표준제안서_z

More Related Content

What's hot (20)

Viewers also liked (9)

Similar to App check pro_표준제안서_z (20)

More from 시온시큐리티 (20)

App check pro_표준제안서_z