EMSISOFT EDR 롤백기능 랜섬웨어 테스트 실행 후 평가

안녕하세요?

 

최근 EMSISOFT 엔터프라이즈 EDR 제품에 롤백 기능이 추가된 것을 발표하였는데요. 실제 어떻게 동작하고 있는지 당사 파트너 사인 (주)로버무트 사이버보안센터의 랜섬웨어 감염 테스트를 통해 구현되는 상황을 테스트하였습니다. 이 테스트를 진행하신 로버무트 김용규 부장님께 감사드립니다.

 

아래 내용은 로버무트에서 테스트하고 블로그에 개제한 내용을 가져온 것입니다.

 

EMSISOFT EDR 롤백 (백업 후 복구)

 

Emsisoft는 2023년 9월 업데이트를 통해 Enterprise Security의 EDR 기능에 롤백을 추가하였습니다. 롤백 기능은 랜섬웨어와 같은 멀웨어의 악의적인 활동으로 인해 파일이 변조되는 경우 백업을 통해 이전 상태로 되돌릴 수 있는 방법을 제공합니다.

 

Emsisoft의 롤백 기능은 Volume Shadow Copy를 사용하지 않고 Emsisoft-Backup 폴더를 생성하여 파일의 백업 복사본을 안전하게 보관하므로, 랜섬웨어가 백업을 삭제하거나 암호화하는 것을 방지합니다.

Emsisoft는 시스템의 모든 파일을 백업하지 않으며, 신뢰할 수 없는 프로그램의 실행으로 인한 위협적인 인시던트 발생 시에 관련 프로세스들에 의해 변경된 파일의 백업이 자동으로 생성되므로 롤백 기능을 통해 쉽고 빠르게 시스템을 이전 상태로 복구할 수 있습니다.

 

 

EMSISOFT 클라우드에서 롤백 기능 설정

 

Emsisoft의 롤백 기능은 중앙관리콘솔의 EDR 설정 메뉴에서 간단히 활성화할 수 있으며, 백업 데이터 저장을 위한 디스크 공간과 백업 데이터의 보관 기간을 설정할 수 있습니다.

 

 

랜섬웨어 감염 후 인시던트에서 백업된 내용

 

롤백 기능이 적용된 시스템을 이전 상태로 되돌려야 하는 경우 Emsisoft 중앙관리콘솔의 incidents 메뉴에서 “Remediate threat”을 통해 복구 가능한 옵션을 선택할 수 있습니다.

 

 

 

롤백 기능을 통한 백업 내용 확인 절차

 

Emsisoft Enterprise Security가 설치된 시스템에 롤백 기능을 적용한 후에 랜섬웨어 테스트 프로그램을 사용하여 롤백 동작을 확인하였습니다.

 

  1. 롤백 기능 적용을 통해 시스템에 Emsisoft-Backup 폴더가 생성되었으며, 정상적인 파일을 확인할 수 있습니다.

 

 

 

  2. 랜섬웨어 테스트 프로그램을 실행하여 파일명이 변조된 것을 확인할 수 있습니다.

 

 

 

  3. Emsisoft 중앙관리콘솔의 Incidents 패널에서 Malware에 의해 수행된 작업을 Execution tree, Timeline, Event 항목을 통해 정확하게 확인할 수 있으며, Remediate threat을 통해 롤백 동작을 수행할 수 있습니다.

 

 

 

  4. 롤백 동작을 수행하여 변조된 파일이 원래의 파일로 복구된 것을 확인할 수 있습니다.

 

 

 

EMSISOFT EDR 롤백 결론 및 평가

 

Emsisoft는 랜섬웨어를 효율적으로 사전에 차단하도록 설계되어 있으므로 롤백을 사용할 필요가 거의 없으나, 간혹 공격이 성공하여 시스템이 피해를 입게 되는 경우를 대비한 추가적인 기능입니다.

 

복구 기능이 추가된 Emsisoft의 향상된 EDR 기능을 활용하여 랜섬웨어와 같은 지속적인 보안 위협으로부터 조직을 안전하게 보호하시기 바랍니다.

 

 

영업문의

• (주)로버무트
• Email : tech@roveermoot.co.kr
• Phone : 02-717-9431

 

다시한번 로버무트 김용규 부장님께 감사 말씀드립니다. EMSISOFT 엔터프라이즈 EDR은 랜섬웨어 감염으로 부터 파일 암호화를 원천적으로 방어하지만, 혹시 모를 가능성으로 암호화될 경우(현실적으로 거의 없겠지만) 백업된 정상파일로 롤백하여 복구할 수 있는 기능을 추가하였는데 이 기능이 잘 동작하고 있다는 것을 확인하였습니다.

 

www.emsisoft.co.kr  

랜섬웨어 예방 EMSISOFT EDR (위협 탐지 및 대응)