IR52장영실상

게시판 글읽기
제목	[iR52 장영실상] 랜섬웨어 의심파일 사진 찍어 분석...0.06초만에 잡아내죠
등록일	2026-04-28
내용	△ 왼쪽부터 방효섭 실장, 한승철 연구소장, 최병훈 수석연구원 2026년 제16주 차 IR52 장영실상은 보안 소프트웨어 전문 기업 엔피코어가 개발한 ‘딥러닝 기반 실시간 랜섬웨어 대응 솔루션’에 돌아갔다. 이 제품의 정식 명칭은 ‘랜섬제로(RansomZERO) V5.0’으로, 사용자의 PC와 서버에서 발생할 수 있는 랜섬웨어 공격을 실시간으로 탐지하고 차단하는 시스템이다. 가장 큰 특징은 컴퓨터 파일을 사진처럼 변환해서 분석한다는 점이다. 기존 백신 프로그램들은 이전에 발견된 악성코드의 고유한 특징값인 ‘시그니처’를 비교하거나 코드를 분석하는 방식을 주로 썼다. 하지만 하루가 다르게 새로운 형태로 모습을 바꾸는 변종 랜섬웨어를 제때 잡아내기에는 역부족이었다. 엔피코어 연구팀은 컴퓨터가 화면을 표현할 때 사용하는 적색(Red), 녹색(Green), 청색(Blue) 3가지 색상 채널인 RGB 이미지에 주목했다. 의심스러운 파일을 RGB 이미지로 바꾸면, 사람이 사진을 보고 사물을 단번에 알아보듯 인공지능(AI)이 악성코드의 숨겨진 패턴을 더 정교하고 빠르게 찾아낼 수 있다. 이 혁신적인 기술 덕분에 단 0.06초 만에 랜섬웨어를 족집게처럼 찾아낸다. 방효섭 엔피코어 연구기획실장은 “기존의 코드 분석 방식으로는 더 이상 고도화되는 공격에 대응하기 어렵다고 판단했다”며 “텍스트 분석보다 이미지를 활용하면 더 많은 특징을 볼 수 있지 않을까 하는 아이디어에서 개발이 시작됐다”고 설명했다. 개발 과정이 순탄치만은 않았다. 파일을 이미지로 변환하는 과정을 단순하게 만들면 탐지 정확도가 떨어지고, 정밀하게 만들면 컴퓨터 속도가 느려지는 문제를 반복해서 겪었다. 또한 컴퓨터 운영체제의 심장부 역할을 하는 ‘커널’ 영역에서 미세한 파일 변화를 감지해 자동으로 복구하는 기능을 안정화하는 데도 시행착오가 있었다. 연구팀은 단일 분석에 의존하지 않고 다중 엔트로피 기반 행위 분석 기술을 더해 난관을 극복했다. 엔트로피란 데이터가 얼마나 복잡하고 무작위로 섞여 있는지를 나타내는 지표다. 랜섬웨어가 몰래 컴퓨터 파일을 암호화하며 망가뜨릴 때 이 엔트로피 값이 크게 요동치는데, 이를 이용해 정상 프로그램과 악성코드를 훨씬 정확하게 구분해냈다. 여기에 파일이 랜섬웨어에 의해 손상되기 직전 원본을 자동으로 저장하는 ‘순간 백업’ 기능을 추가했다. 이를 통해 만약 감염되더라도 데이터 손실을 최소화하고 업무 중단 없이 즉시 복구할 수 있게 설계됐다. 기술력을 인정받아 랜섬제로 V5.0은 2024년 9월 출시된 첫해에 약 12억 원의 매출을 올렸다. 엔피코어 측은 “최근 공공기관과 금융기관을 중심으로 도입이 늘면서 향후 3년 내 5배 이상 매출 성장을 기대하고 있다”며 “국내와 동남아를 넘어 미국 등 주요 시장으로 진출할 계획”이라고 밝혔다.

보도자료