SHIELD: A Host-Independent Framework for Ransomware Detection using Deep Filesystem Features

이 논문은 손상된 운영체제 환경에서도 우회할 수 없는 파일시스템 계층의 심층 디스크 활동을 분석하여 랜섬웨어를 탐지하고 실시간으로 차단하는 오프-호스트 프레임워크 'SHIELD'를 제안하고, 이를 통해 FPGA/ASIC 배포가 가능한 높은 탐지 정확도와 낮은 오검출률을 입증합니다.

핵심

🛡️ SHIELD: 컴퓨터가 해킹당해도 지켜주는 '지능형 금고 경비원'

이 논문은 랜섬웨어(컴퓨터 파일을 암호화해 몸값을 요구하는 악성코드) 를 막기 위해 개발된 새로운 기술인 SHIELD에 대해 설명합니다.

기존의 보안 프로그램들은 컴퓨터의 운영체제 (OS) 가 해킹당하면 무력해집니다. 마치 금고의 경비원이 도둑에게 뇌물을 받고 문을 열어주는 것과 같죠. 하지만 SHIELD 는 다릅니다. **컴퓨터 본체 **(OS)는 OS 가 해킹당해도 절대 속지 않는 '지능형 경비원'입니다.

이 기술의 핵심을 일상적인 비유로 쉽게 설명해 드릴게요.

---

1. 문제점: 왜 기존 보안은 실패할까?

기존 보안 프로그램은 컴퓨터가 "나는 지금 파일을 암호화하고 있어요!"라고 말하는 것을 믿고 감시합니다. 하지만 랜섬웨어는 OS 를 장악하면 "아니야, 나는 그냥 파일을 정리하고 있어!"라고 거짓말을 하거나, 보안 프로그램 자체를 끄어버립니다.

비유: 집 안의 CCTV(기존 보안) 가 도둑에게 조작당하면, 도둑이 "나는 청소 중이야"라고 말하면 CCTV 는 그걸 진짜로 믿고 아무것도 하지 않습니다.

2. SHIELD 의 해결책: 금고 문 바로 옆에 서 있는 경비원

SHIELD 는 컴퓨터 내부가 아니라, **하드디스크 **(저장장치)에 설치됩니다. OS 가 아무리 거짓말을 해도, 실제로 디스크에 데이터가 어떻게 쓰이는지는 OS 가 숨길 수 없습니다.

비유:

• 기존 보안: 집 안방에 있는 경비원 (도둑이 들어오면 무력함).
• SHIELD: 집의 금고 문 바로 옆에 서 있는 경비원.
• 도둑이 안방에서 "나는 청소 중이야"라고 소리쳐도, 금고 문 앞의 경비원은 **"도둑이 금고 문을 열고 물건을 꺼내서 바꾸고 있구나!"**라고 직접 눈으로 확인하고 즉시 문을 잠급니다.

3. SHIELD 가 어떻게 작동할까? (3 단계)

① "파일의 지문"을 읽는다 (Deep Filesystem Features)

SHIELD 는 파일 내용 자체를 읽지 않습니다. 대신 파일 시스템의 구조를 봅니다.

• **파일 인덱스 **(Inode) 어떤 파일이 어디에 있는지 기록된 주소표입니다.
• 데이터 블록: 실제 파일이 저장된 공간입니다.

랜섬웨어는 수천 개의 파일을 암호화할 때, 이 주소표를 빠르게 뒤지고, 파일을 덮어씁니다. SHIELD 는 "아, 이 주소표가 너무 빠르게 변하고, 데이터가 너무 많이 바뀌네? 이건 정상적인 사용자가 하는 일이 아니야!"라고 감지합니다.

비유:
도서관 사서가 책을 빌려갈 때, **책장 번호 **(인덱스)와 **책 내용 **(데이터)을 동시에 확인합니다.

• 정상 사용자: 한두 권의 책을 천천히 빌려갑니다.
• 랜섬웨어: 1 분 만에 수천 권의 책을 집어내서 내용을 다 바꿔버립니다.
• SHIELD: "저 사람, 책장 번호를 너무 빨리 뒤지고 내용을 다 바꾸네? 도둑이야!"라고 바로 알아챕니다.

② "지능형 학습" (머신러닝)

SHIELD 는 수천 번의 정상적인 파일 작업과 랜섬웨어 공격 데이터를 학습했습니다. 그래서 "어떤 패턴이 위험한지"를 스스로 배웁니다.

• 새로운 랜섬웨어도 잡는다: 이전에 본 적 없는 새로운 랜섬웨어가 나타나도, "파일 내용을 너무 빨리 바꾸는 패턴"을 보이면 즉시 잡습니다. (Zero-shot Detection)

③ "즉시 차단" (실시간 대응)

위험을 감지하는 순간, SHIELD 는 컴퓨터가 디스크에 더 이상 데이터를 쓰지 못하게 문을 잠급니다.

• 결과: 랜섬웨어가 파일을 암호화하기 시작하더라도, 거의 1 초도 안 되어 멈춥니다. 사용자는 파일이 0.4% 만 손상된 것을 보고, 나머지는 안전하게 지킬 수 있습니다.

비유:
도둑이 금고에 들어와 물건을 바꾸기 시작하자마자, 경비원이 금고 문을 강제로 잠그고 도둑을 가둡니다. 도둑은 금고 안의 물건 1 개만 건드리고 멈추게 됩니다. 나머지 99% 는 그대로 안전합니다.

4. 왜 이 기술이 특별한가?

1. 컴퓨터가 해킹당해도 안전함: SHIELD 는 컴퓨터 본체 (OS) 와 완전히 분리되어 있습니다. 해커가 컴퓨터를 장악해도 SHIELD 는 "나는 너의 말을 안 믿어, 직접 디스크를 보고 판단할 거야"라고 말합니다.
2. 하드웨어로 구현 가능: 이 기술은 소프트웨어가 아니라 **하드웨어 **(FPGA/ASIC)로 만들어질 수 있습니다. 마치 디스크 안에 내장된 특수 칩처럼 작동해서, 해커가 건드릴 수 없는 곳에 있습니다.
3. 거짓 경보가 적음: "파일 정리"를 하는 정상적인 프로그램과 "파일 암호화"를 하는 랜섬웨어를 정확히 구별합니다.

5. 결론: "지능형 금고 경비원"의 등장

이 논문은 **"컴퓨터가 해킹당해도, 저장장치 **(디스크)라는 혁신적인 아이디어를 제시합니다.

기존의 보안이 "집 안방의 경비원"이었다면, SHIELD 는 **"금고 문 앞의 절대적인 경비원"**입니다. 도둑이 아무리 교묘하게 속여도, 금고 문이 어떻게 변하는지 직접 눈으로 보고 즉시 문을 잠그기 때문에, 랜섬웨어가 대량으로 파일을 암호화하는 것을 막을 수 있습니다.

이 기술이 상용화된다면, 우리는 랜섬웨어 공격으로 모든 파일을 잃는 공포에서 벗어날 수 있을 것입니다.

기술 요약

SHIELD: Deep Filesystem Features를 활용한 랜섬웨어 탐지를 위한 호스트 독립적 프레임워크 기술 요약

이 논문은 SHIELD(Secure Host-Independent Extensible Metric Logging Framework) 를 소개하며, 운영체제 (OS) 가 완전히 장악된 상황에서도 작동할 수 있는 랜섬웨어 탐지 및 중재 솔루션을 제안합니다. 기존 호스트 기반 탐지 시스템의 한계를 극복하고, 스토리지 컨트롤러 레벨에서 파일시스템의 깊은 구조적 특징을 분석하여 랜섬웨어를 실시간으로 차단하는 것을 목표로 합니다.

---

1. 문제 정의 (Problem Statement)

• 랜섬웨어의 진화: 랜섬웨어는 하드웨어 가속 암호화, 멀티스레드 실행, RaaS(Ransomware-as-a-Service) 등을 통해 더욱 정교해지고 있으며, 의료, 금융, 핵심 인프라에 막대한 피해를 입히고 있습니다.
• 기존 방어 체계의 취약점:
  • 호스트 의존성: 기존 탐지 시스템 (API 호출 모니터링, 커널 신호, 트랩 파일 등) 은 OS 가 장악되면 신뢰할 수 없게 됩니다. 공격자는 OS 레벨의 로그를 조작하거나 탐지 에이전트를 무력화할 수 있습니다.
  • 세부 정보 부족: 블록 I/O 통계나 coarse-grained(거친) 데이터만으로는 파일시스템의 의미론적 (semantic) 활동을 파악하기 어려워, 간헐적 암호화나 은밀한 공격을 놓치기 쉽습니다.
  • 스토리지 컨트롤러 부재: 현재 스토리지 컨트롤러 내부나 그 바로 옆에서 실행되어 OS 에 의존하지 않는 강력한 탐지 솔루션은 부재합니다.

2. 방법론 (Methodology)

SHIELD 는 호스트 OS 아래에 위치하여 디스크의 파일시스템 구조를 직접 파싱하고 분석하는 **오프-호스트 **(Off-Host) 프레임워크입니다.

2.1 핵심 아키텍처

• 신뢰 영역 분리: 신뢰할 수 없는 호스트 OS 와 신뢰할 수 있는 스토리지 측 (FPGA/ASIC/컨트롤러) 을 명확히 구분합니다. SHIELD 는 스토리지 컨트롤러 데이터 경로 내에 통합되어 호스트의 개입 없이 작동합니다.
• 파일시스템 기반 메트릭 수집:
  • 활성/수동 파싱: 디스크 초기화 시 전역 메타데이터를 쿼리하여 인덱스 (Inode) 와 데이터 블록 매핑을 부트스트랩하고 (Active), 런타임 중 I/O 요청을 모니터링하여 파일시스템 구조 (inode, 데이터 블록, 메타데이터 등) 가 어떻게 변형되는지 추적합니다 (Passive).
  • Deep Filesystem Features: NTFS, ext4, APFS 등 다양한 파일시스템의 구조적 유사성 (예: 디렉토리 인덱싱, 메타데이터, 할당 단위) 을 기반으로 한 공통 이벤트 스키마를 사용합니다.
• 액션 기반 윈도우 (Action-based Windows):
  • 시간 기반이 아닌 디스크 I/O 액션 수를 기준으로 데이터를 집계합니다. 이는 공격자가 암호화 속도를 늦추거나 지연을 삽입하여 탐지를 회피하는 것을 방지합니다.
  • 연속된 읽기/쓰기 요청을 윈도우 (예: 100 개 액션) 로 묶어 특징 벡터를 생성합니다.

2.2 수집된 메트릭 (Features)

총 25 개의 특징을 수집하며, 크게 두 가지로 나뉩니다:

1. 전송/인터페이스 메트릭: 읽기/쓰기 완료 횟수, 병합된 요청, 섹터 수 등 (PoC 에서는 사용되나, 하드웨어 배포 시 제거 가능).
2. **파일시스템 레벨 메트릭 **(핵심)
   • 메타데이터 변형: Inode 접근/할당/해제 횟수, Superblock/GDT/Inode Table 읽기/쓰기.
   • 데이터 활동: 데이터 블록 읽기/쓰기, 변경된 바이트 수.
   • 엔트로피 신호: 쓰기된 데이터 블록의 Shannon 엔트로피 변화량 (Delta Entropy). 암호화는 일반적으로 엔트로피를 급격히 높입니다.

2.3 탐지 및 중재 (Detection & Mitigation)

• 머신러닝 모델: 수집된 특징 벡터를 기반으로 LightGBM, Random Forest 등의 분류기를 학습합니다.
  • 이진 분류: 정상 (Benign) vs 악성 (Malicious) 구분.
  • 다중 클래스 분류: 랜섬웨어 계열 식별.
• **폐쇄 루프 중재 **(Closed-loop Mitigation) 악성 점수가 임계치를 초과하면 디스크 쓰기 요청을 즉시 차단 (Block) 하여 추가 암호화를 방지합니다.

3. 주요 기여 (Key Contributions)

1. 새로운 오프-호스트 메트릭 수집 프레임워크: OS 에 독립적으로 파일시스템 구조 (inode, 데이터 블록 등) 를 직접 파싱하여 위변조가 불가능한(telemetry) telemetry 를 제공합니다.
2. 메트릭 유효성 검증: 다양한 랜섬웨어 계열과 정상 애플리케이션에 대한 광범위한 실험을 통해, 파일시스템 기반 메트릭이 랜섬웨어 행위를 97.29% 의 정확도로 탐지할 수 있음을 입증했습니다.
3. Zero-shot 탐지 및 중재: 학습에 사용되지 않은 새로운 랜섬웨어 계열 (Zero-shot) 에 대해서도 실시간으로 탐지하고 작동을 중단시켜, 손실된 파일을 극소수 (평균 0.4% 미만) 로 제한했습니다.
4. 하드웨어 배포 가능성 검증: 전송 계층 메트릭을 모두 제거하고 파일시스템 기반 메트릭만 사용하는 '하드웨어 전용' 설정에서도 95.97% 의 높은 정확도를 유지하여, FPGA/ASIC 기반 스토리지 컨트롤러 내장 배포가 가능함을 증명했습니다.

4. 실험 결과 (Results)

• 탐지 정확도:
  • 이진 분류: 최적의 설정 (Window 100, Overlap 20) 에서 97.29% 정확도, 97.34% F1 점수를 기록했습니다.
  • **하드웨어 전용 **(HW-only) 전송 계층 메트릭을 제외한 순수 파일시스템 메트릭만 사용했을 때 95.97% 정확도를 유지하여, OS 의존성이 없음을 확인했습니다.
  • Zero-shot 일반화: 학습에 포함되지 않은 10 가지 새로운 랜섬웨어 계열에 대해 평균 94.59% 의 정확도를 보였습니다.
• **중재 효과 **(Mitigation)
  • 손실 최소화: SHIELD 는 랜섬웨어가 실행된 후 초기 단계 (수십 개의 디스크 액션 이내) 에서 작동을 중단시켰습니다.
  • 영향 범위: 타겟 파일 중 영향을 받은 비율은 0.4% 이하로 제한되었으며, 이는 OS 가 인식하는 파일 단위 손상보다 실제 디스크 상의 바이트 단위 손상이 훨씬 적음을 의미합니다.
  • **오탐지 **(False Positive) 학습에 사용되지 않은 5 가지 정상 애플리케이션 (코드 편집기, 웹 브라우저 등) 에 대해 3.6% 이하의 오탐지율을 보였습니다.

5. 의의 및 결론 (Significance)

• 신뢰할 수 있는 보안 앵커: SHIELD 는 OS 가 완전히 장악된 상황에서도 스토리지 컨트롤러 레벨에서 작동하는 유일한 신뢰할 수 있는 보안 앵커를 제공합니다.
• 임베디드 통합 가능성: 경량화된 파싱과 추론 로직은 FPGA 나 ASIC 으로 구현이 가능하며, 스토리지 컨트롤러의 데이터 경로에 직접 통합되어 오버헤드를 최소화할 수 있습니다.
• 진행형 암호화 대응: 간헐적 암호화나 부분 암호화 공격과 같은 최신 위협에도 효과적으로 대응할 수 있음을 입증했습니다.
• 미래 지향적 접근: 이 연구는 소프트웨어 기반의 탐지를 넘어, 하드웨어-소프트웨어 공동 설계 (Hardware-Software Codesign) 를 통해 랜섬웨어 방어 패러다임을 근본적으로 변화시킬 수 있는 가능성을 제시합니다.

결론적으로, SHIELD 는 호스트 OS 의 신뢰성을 전제하지 않고, 디스크의 깊은 파일시스템 활동을 분석함으로써 랜섬웨어에 대한 강력하고 견고한 방어 체계를 구축하는 실용적인 솔루션입니다.