한국IBM 최진우 실장(좌)과 문관식 실장이 ‘성능은 기본, 세계에서 가장 비용 효율적이고 복원력이 뛰어난 스토리지 플랫폼’ 주제로 플래시시스템 핵심 기술을 소개했다.[디지털데일리 이안나기자] 랜섬웨어 피해가 국내외 기업들 발목을 잡고 있다. 한 번 공격이 시작되면 대량의 업무 데이터를 암호화 당하고, 복구엔 수일에서 수 주까지 시간이 소요되기도 한다. IBM은 이 같은 위협에 대응하기 위해 스토리지 차원에서 랜섬웨어를 실시간 탐지하고 빠르게 복구할 수 있는 시스템을 제시했다.한국IBM은 11일 디지털데일리 웨비나 플랫폼 ‘DD튜브’를 통해 진행된 온라인 세미나에서 ‘성능은 기본, 세계에서 가장 비용 효율적이고 복원력이 뛰어난 스토리지 플랫폼’ 주제로 플래시시스템 핵심 기술을 소개했다. 발표엔 최진우 IBM 스토리지 영업실장과 문관식 IBM 스토리지 기술영업실장이 나섰다.최 실장은 “스토리지는 데이터를 담고 있는 최종 보관소이기 때문에, 랜섬웨어 공격도 결국 스토리지를 향하게 된다”며 “가장 먼저 공격 징후를 감지할 수 있는 위치가 스토리지”라고 강조했다. IBM은 이를 위해 플래시코어모듈(FCM)에 내장된 중앙처리장치(CPU)를 활용, 입출력(I/O) 패턴을 실시간 분석하고 암호화와 같은 이상 징후를 조기에 감지하도록 설계했다.실제 시연에선 가상머신 환경에서 의도적으로 랜섬웨어를 감염시키는 과정을 보여줬다. 감염 파일이 실행되자 CPU 사용률이 급등했고 정상 상태에서 유지되던 위험지수가 급격히 상승하는 그래프가 실시간으로 표시됐다. 60초 이내 관리자에게 경고 알림이 전송됐고, 감염되지 않은 시점의 데이터로 복구가 진행됐다.최 실장은 “전체 데이터를 암호화하는 데 하루가 걸린다고 해도 초기 1테라바이트(TB) 정도만 암호화됐을 때 탐지하면 나머지 99% 데이터를 보호할 수 있다”며 탐지 속도 중요성을 강조했다. 복구 과정도 자동화돼 있다. IBM ‘세이프가디드 스냅샷(Safeguarded Snapshot)’ 기능은 해커가 삭제하거나 변조할 수 없는 복제본을 주기적으로 생성해 놓는다. 감염 시점 이전의 안전한 복제본으로 신속하게 복구하는 방식이다.탐지 아키텍처는 온프레미스와 클라우드를 결합해 운영된다. FCM이 1차 패턴 한국IBM 최진우 실장(좌)과 문관식 실장이 ‘성능은 기본, 세계에서 가장 비용 효율적이고 복원력이 뛰어난 스토리지 플랫폼’ 주제로 플래시시스템 핵심 기술을 소개했다.[디지털데일리 이안나기자] 랜섬웨어 피해가 국내외 기업들 발목을 잡고 있다. 한 번 공격이 시작되면 대량의 업무 데이터를 암호화 당하고, 복구엔 수일에서 수 주까지 시간이 소요되기도 한다. IBM은 이 같은 위협에 대응하기 위해 스토리지 차원에서 랜섬웨어를 실시간 탐지하고 빠르게 복구할 수 있는 시스템을 제시했다.한국IBM은 11일 디지털데일리 웨비나 플랫폼 ‘DD튜브’를 통해 진행된 온라인 세미나에서 ‘성능은 기본, 세계에서 가장 비용 효율적이고 복원력이 뛰어난 스토리지 플랫폼’ 주제로 플래시시스템 핵심 기술을 소개했다. 발표엔 최진우 IBM 스토리지 영업실장과 문관식 IBM 스토리지 기술영업실장이 나섰다.최 실장은 “스토리지는 데이터를 담고 있는 최종 보관소이기 때문에, 랜섬웨어 공격도 결국 스토리지를 향하게 된다”며 “가장 먼저 공격 징후를 감지할 수 있는 위치가 스토리지”라고 강조했다. IBM은 이를 위해 플래시코어모듈(FCM)에 내장된 중앙처리장치(CPU)를 활용, 입출력(I/O) 패턴을 실시간 분석하고 암호화와 같은 이상 징후를 조기에 감지하도록 설계했다.실제 시연에선 가상머신 환경에서 의도적으로 랜섬웨어를 감염시키는 과정을 보여줬다. 감염 파일이 실행되자 CPU 사용률이 급등했고 정상 상태에서 유지되던 위험지수가 급격히 상승하는 그래프가 실시간으로 표시됐다. 60초 이내 관리자에게 경고 알림이 전송됐고, 감염되지 않은 시점의 데이터로 복구가 진행됐다.최 실장은 “전체 데이터를 암호화하는 데 하루가 걸린다고 해도 초기 1테라바이트(TB) 정도만 암호화됐을 때 탐지하면 나머지 99% 데이터를 보호할 수 있다”며 탐지 속도 중요성을 강조했다. 복구 과정도 자동화돼 있다. IBM ‘세이프가디드 스냅샷(Safeguarded Snapshot)’ 기능은 해커가 삭제하거나 변조할 수 없는 복제본을 주기적으로 생성해 놓는다. 감염 시점 이전의 안전한 복제본으로 신속하게 복구하는 방식이다.탐지 아키텍처는 온프레미스와 클라우드를 결합해 운영된다. FCM이 1차 패턴 분석을 수행하고, 최종 판별은 클라우드 기반 AI가 담당한다. 문 실장은 “AI도 랜섬웨어 변종을 계속 학습해야 하기 때문에 최신 학습 모델이 적용된 클라우드 AI가 최종 판단을 내린다”고 설명했다. 이 과정에서 고객 실제 데이터는 외부로 전송되지 않으며, 메타데이터 수준 통계 정보만 클라우드로 전달된다.IBM은 이