본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

ONTAP 자율적 랜섬웨어 방어에 대해 알아보십시오

09/15/2025 기여자

PDF

ONTAP 9.10.1부터 ONTAP 관리자는 NAS(NFS 및 SMB) 환경에서 워크로드 분석을 수행하는 ARP(자율 랜섬웨어 보호)를 활성화하여 랜섬웨어 공격을 나타낼 수 있는 비정상 활동을 사전에 감지하고 경고할 수 있습니다. ONTAP 9.17.1부터 ARP는 LUN이나 NVMe 네임스페이스를 포함하는 SAN 볼륨이나 VMware, Hyper-V, KVM과 같은 하이퍼바이저의 가상 디스크를 포함하는 NAS 볼륨을 비롯한 블록 장치 볼륨도 지원합니다.

ARP는 ONTAP에 직접 내장되어 ONTAP의 다른 기능들과의 통합 제어 및 조정을 보장합니다. ARP는 실시간으로 작동하여 파일 시스템에 데이터를 쓰거나 읽는 동시에 처리하고, 잠재적인 랜섬웨어 공격을 신속하게 탐지하고 대응합니다.

ARP는 추가 보호를 위해 예약된 스냅샷과 함께 정기적으로 잠금 스냅샷을 생성합니다. 스냅샷을 보관하는 기간을 스마트하게 관리합니다. 비정상적인 활동이 감지되지 않으면 스냅샷은 신속하게 재활용됩니다. 그러나 공격이 감지되면 공격 시작 전에 생성된 스냅샷이 장기간 보관됩니다.

라이센스 및 지원

ARP 지원은 "ONTAP One 라이센스". ONTAP One 라이선스가 없는 경우 ONTAP 버전에 따라 ARP 사용을 위한 다른 라이선스를 사용할 수 있습니다

ONTAP 릴리스 라이센스

ONTAP 릴리스	라이센스
ONTAP 9.11.1 이상	`Anti_ransomware`
ONTAP 9.10.1	`MT_EK_MGMT` (멀티 테넌트 키 관리)

ONTAP 9.11.1 이상

Anti_ransomware

ONTAP 9.10.1

MT_EK_MGMT (멀티 테넌트 키 관리)

ONTAP 9.10.1에서 ONTAP 9.11.1 이상으로 업그레이드하고 시스템에 ARP가 이미 구성되어 있는 경우 새 버전을 설치할 필요가 없습니다. Anti-ransomware 라이센스. 새로운 ARP 구성에는 새 라이센스가 필요합니다.
ONTAP 9.11.1 이상에서 ONTAP 9.10.1로 되돌리고 Anti_ransomware 라이선스로 ARP를 활성화한 경우 경고 메시지가 표시되고 ARP를 재구성해야 할 수 있습니다. "ARP를 되돌리는 방법에 대해 알아보십시오" .

"기존 볼륨에서 ARP(자율 랜섬웨어 보호)를 활성화하거나 새 볼륨을 생성하고 ARP를 활성화할 수 있습니다." .

ONTAP 랜섬웨어 보호 전략

효과적인 랜섬웨어 탐지 전략에는 단일 계층 이상의 보호가 포함되어야 합니다. 자동차의 안전 기능을 비유적으로 생각해 보자. 사고가 났을 때 안전벨트와 같은 단일 기능에만 의존해서는 자신을 완벽하게 보호할 수 없습니다. 에어백, 잠금 방지 브레이크, 전방 충돌 경고는 모두 함께 모여 더 나은 결과를 가져오는 안전 기능입니다. 랜섬웨어 보호도 같은 관점에서 보아야 합니다.

ONTAP 랜섬웨어로부터 보호하는 데 도움이 되는 FPolicy, 스냅샷, SnapLock, Active IQ Digital Advisor ( Digital Advisor 라고도 함)와 같은 기능이 포함되어 있지만, 다음 정보는 머신 러닝 기능을 갖춘 ARP 기능에 중점을 둡니다.

랜섬웨어로부터 보호하는 NetApp 포트폴리오의 다른 기능에 대해 자세히 알아보려면 다음을 참조하세요. "Ransomware 및 NetApp의 보호 포트폴리오" .

ARP가 감지하는 것

ONTAP ARP는 공격자가 몸값을 지불할 때까지 데이터를 은닉하는 서비스 거부(DoS) 공격으로부터 보호하도록 설계되었습니다. ARP는 다음을 기반으로 실시간 랜섬웨어 탐지 기능을 제공합니다.

수신 데이터를 암호화된 텍스트 또는 일반 텍스트로 식별합니다.
다음을 감지하는 분석:
- 엔트로피: (NAS 및 SAN에서 사용됨) 파일 내 데이터의 무작위성 평가
- 파일 확장자 유형: (NAS에서만 사용됨) 예상되는 확장자 유형에 맞지 않는 파일 확장자
- 파일 IOPS: ( ONTAP 9.11.1부터 NAS에서만 사용됨) 데이터 암호화로 인한 비정상적인 볼륨 활동 급증

ARP는 소수의 파일만 암호화된 후 대부분의 랜섬웨어 공격이 확산되는 것을 감지하고, 자동으로 대응하여 데이터를 보호하며, 의심되는 공격이 발생했을 때 경고합니다.

어떠한 랜섬웨어 탐지 시스템도 완전한 안전을 보장할 수 없습니다. ARP는 바이러스 백신 소프트웨어가 침입을 감지하지 못할 경우 추가적인 방어 계층을 제공합니다.

ARP 모드에 대해 알아보세요

볼륨에 대해 ARP가 활성화되면 기준선을 설정하기 위한 학습 기간에 들어갑니다. ARP는 활성 감지 모드로 전환하기 전에 시스템 메트릭을 분석하여 경고 프로필을 개발합니다. 활성 모드에서 ARP는 비정상적인 활동을 모니터링하고, 보호 조치를 취하고, 비정상적인 동작이 감지되면 경고를 생성합니다.

ARP의 경우 학습 모드와 활성 모드 동작은 ONTAP 버전, 볼륨 유형, 프로토콜(NAS 또는 SAN)에 따라 다릅니다.

NAS 환경 및 모드 유형

NAS 환경은 학습 모드와 활성 모드를 사용합니다 . ARP/AI ONTAP 9.16.1부터 NAS 환경에서 실행되는 경우 FlexVol 볼륨과 함께 ARP를 사용할 때 학습 기간이 없습니다.

다음 표는 NAS 환경에서 ONTAP 9.10.1과 이후 버전 간의 차이점을 요약한 것입니다.

방법 설명 볼륨 유형 및 버전

학습

ONTAP 9.15.1~9.10.1의 경우, ARP를 활성화하면 ARP가 자동으로 학습 모드로 설정됩니다. 학습 모드에서 ONTAP 시스템은 엔트로피, 파일 확장자 유형, 파일 IOPS 등의 분석 영역을 기반으로 경고 프로필을 개발합니다. ARP를 30일 동안 학습 모드로 유지하는 것이 좋습니다. ONTAP 9.13.1부터 ARP는 최적의 학습 간격을 자동으로 결정하고 전환을 자동화하며, 이는 30일 전에 실행될 수 있습니다. ONTAP 9.13.1 이전 버전에서는 수동으로 전환할 수 있습니다.

"학습 모드에서 활성 모드로 전환하는 방법에 대해 자세히 알아보세요." .

이 명령은 security anti-ransomware volume workload-behavior show 볼륨에서 감지된 파일 확장명을 표시합니다. 이 명령을 학습 모드 초기에 실행하면 파일 유형이 정확하게 표시되는 경우 ONTAP가 다른 메트릭을 수집하고 있으므로 해당 데이터를 활성 모드로 전환하기 위한 기준으로 사용해서는 안 됩니다. 에 대한 자세한 내용은 security anti-ransomware volume workload-behavior show "ONTAP 명령 참조입니다"을 참조하십시오.

ONTAP 9.15.1~9.10.1을 사용한 FlexVol 볼륨
ONTAP 9.13.1 이상을 사용한 FlexGroup 볼륨

활동적인

워크로드 특성을 평가할 수 있을 만큼 충분한 시간 동안 ARP를 학습 모드로 실행한 후, 활성 모드로 전환하여 데이터 보호를 시작할 수 있습니다. ONTAP 9.13.1부터 ARP는 최적의 학습 간격을 자동으로 결정하고 전환을 자동화하며, 이는 30일 전에 실행될 수 있습니다.

ONTAP 9.15.1부터 9.10.1까지는 최적 학습 기간이 완료된 후 ARP가 활성 모드로 전환됩니다. ARP가 활성 모드로 전환된 후, ONTAP 위협이 감지될 경우 데이터를 보호하기 위해 ARP 스냅샷을 생성합니다.

활성 모드에서 파일 확장자가 비정상으로 표시되면 알림을 평가해야 합니다. 알림에 따라 조치를 취하여 데이터를 보호하거나, 알림을 오탐지로 표시할 수 있습니다. 알림을 오탐지로 표시하면 알림 프로필이 업데이트됩니다. 예를 들어, 새로운 파일 확장자로 인해 알림이 발생하고 해당 알림을 오탐지로 표시하면 다음에 해당 파일 확장자가 발견될 때 알림을 받지 않습니다.

지원되는 모든 ONTAP 버전과 FlexVol 및 FlexGroup 볼륨

SAN 환경 및 모드 유형

SAN 환경은 활성 감지 모드로 자동 전환되기 전에 평가 기간(NAS 환경의 학습 모드와 유사)을 사용합니다. 다음 표는 평가 모드와 활성 모드를 요약한 것입니다.

방법 설명 볼륨 유형 및 버전

방법	설명	볼륨 유형 및 버전
평가	기준 암호화 동작을 확인하기 위해 2~4주간의 평가 기간이 수행됩니다. 평가 기간이 완료되었는지 확인하려면 다음을 실행하세요. `security anti-ransomware volume show` 명령 및 확인 `Block device detection status` . "SAN 볼륨 및 엔트로피 평가 기간에 대해 자세히 알아보세요." .	ONTAP 9.17.1 이상을 사용한 FlexVol 볼륨
활동적인	평가 기간 후에 ARP SAN 보호가 활성화되었는지 확인하려면 다음을 실행하세요. `security anti-ransomware volume show` 명령 및 확인 `Block device detection status` . 상태 `Active_suitable_workload` 평가된 엔트로피 양을 성공적으로 모니터링할 수 있음을 나타냅니다. ARP는 평가 중에 검토된 데이터에 따라 적응 임계값을 자동으로 조정합니다.	ONTAP 9.17.1 이상을 사용한 FlexVol 볼륨

평가

기준 암호화 동작을 확인하기 위해 2~4주간의 평가 기간이 수행됩니다. 평가 기간이 완료되었는지 확인하려면 다음을 실행하세요. security anti-ransomware volume show 명령 및 확인 Block device detection status .

"SAN 볼륨 및 엔트로피 평가 기간에 대해 자세히 알아보세요." .

ONTAP 9.17.1 이상을 사용한 FlexVol 볼륨

활동적인

평가 기간 후에 ARP SAN 보호가 활성화되었는지 확인하려면 다음을 실행하세요. security anti-ransomware volume show 명령 및 확인 Block device detection status . 상태 Active_suitable_workload 평가된 엔트로피 양을 성공적으로 모니터링할 수 있음을 나타냅니다. ARP는 평가 중에 검토된 데이터에 따라 적응 임계값을 자동으로 조정합니다.

ONTAP 9.17.1 이상을 사용한 FlexVol 볼륨

위협 평가 및 ARP 스냅샷

ARP는 학습된 분석 결과를 바탕으로 수신 데이터를 기반으로 위협 가능성을 평가합니다. ARP가 이상 징후를 감지하면 측정값이 할당됩니다. 스냅샷은 감지 시점 또는 정기적인 간격으로 할당될 수 있습니다.

ARP 임계값

* Low * (낮음) *: 볼륨에서 비정상 상태를 가장 먼저 감지합니다(예: 볼륨에서 새 파일 확장자가 관찰됨). 이 감지 수준은 ARP/AI가 없는 ONTAP 9.16.1 이전 버전에서만 사용할 수 있습니다.
- ONTAP 9.11.1부터 다음을 수행할 수 있습니다. "ARP에 대한 탐지 매개변수 사용자 정의" .
- ONTAP 9.10.1에서 Moderate로 에스컬레이션하기 위한 임계값은 100개 이상의 파일입니다.
보통: 높은 엔트로피가 감지되거나 이전에는 발견되지 않았던 동일한 파일 확장자를 가진 파일이 여러 개 관찰됩니다. 이는 ARP/AI가 적용된 ONTAP 9.16.1 이상의 기본 감지 수준입니다.

ONTAP 에서 분석 보고서를 실행하여 이상 징후가 랜섬웨어 프로필과 일치하는지 확인한 후 위협 수준이 중간 수준으로 상승합니다. 공격 가능성이 중간 수준인 경우, ONTAP EMS 알림을 생성하여 위협을 평가하도록 안내합니다. ONTAP는 낮은 위협에 대한 경고를 전송하지 않지만 ONTAP 9.14.1부터는 다음을 수행할 수 있습니다"기본 알림 설정 수정". "비정상적인 활동에 응답합니다" .

System Manager의 * Events * 섹션 또는 명령을 사용하여 보통 수준의 위협에 대한 정보를 볼 수 security anti-ransomware volume show 있습니다. ARP/AI가 없는 ONTAP 9.16.1 이전 버전의 명령을 사용하여 낮은 위협 이벤트를 볼 수도 security anti-ransomware volume show 있습니다. 에 대한 자세한 내용은 security anti-ransomware volume show "ONTAP 명령 참조입니다"을 참조하십시오.

ARP 스냅샷

ARP는 공격의 조기 징후가 감지되면 스냅샷을 만듭니다. 그런 다음 상세 분석을 수행하여 잠재적 공격을 확인하거나 차단합니다. ARP 스냅샷은 공격이 완전히 확인되기 전에도 사전에 생성되므로 특정 합법적인 애플리케이션의 경우 정기적으로 생성될 수도 있습니다. 이러한 스냅샷의 존재를 이상 현상으로 간주해서는 안 됩니다. 공격이 확인되면 공격 확률이 증가합니다. Moderate 공격 알림이 생성됩니다.

ONTAP 9.17.1부터 NAS 및 SAN 볼륨 모두에 대해 정기적으로 ARP 스냅샷이 생성되며 감지된 이상에 대한 대응으로도 ARP 스냅샷이 생성됩니다. ONTAP ARP 스냅샷에 이름을 추가하여 쉽게 식별할 수 있도록 합니다.

ONTAP 9.11.1부터 보존 설정을 수정할 수 있습니다. 자세한 내용은 다음을 참조하세요. "스냅샷 옵션을 수정합니다" .

다음 표는 버전별 ARP 스냅샷 차이점을 요약한 것입니다.

피처	ONTAP 9.17.1 이상	ONTAP 9.16.1 및 이전 버전
창조 트리거	스냅샷은 특정 트리거와 관계없이 고정된 4시간 간격으로 생성됩니다. 공격 확인 트리거 유형에 따라 "주기적" 또는 "공격" 스냅샷이 생성됩니다.	높은 엔트로피가 감지되었습니다 새로운 파일 확장자가 감지되었습니다(9.15.1 및 이전 버전) 파일 작업 급증이 감지되었습니다(9.15.1 및 이전 버전) 스냅샷 생성 간격은 트리거 유형에 따라 달라집니다.
접두사 이름 규칙	"안티랜섬웨어 정기 백업" "안티랜섬웨어 공격 백업"	"랜섬웨어 방지 백업"
삭제 동작	ARP 스냅샷이 잠겨 있어 관리자가 삭제할 수 없습니다.	ARP 스냅샷이 잠겨 있어 관리자가 삭제할 수 없습니다.
최대 스냅샷 수	"6개의 스냅샷 구성 가능 한도"	"6개의 스냅샷 구성 가능 한도"
보존 기간	스냅샷은 일반적으로 12시간 동안 보관됩니다. NAS 볼륨: 파일 분석을 통해 공격이 확인되면 공격 전에 생성된 스냅샷은 관리자가 공격을 참으로 표시하거나 거짓 긍정(명확한 의심)으로 표시할 때까지 보관됩니다. SAN 볼륨 또는 VM 데이터 저장소: 블록 엔트로피 분석을 통해 공격이 확인되면 공격 전에 생성된 스냅샷은 10일 동안 보관됩니다(구성 가능).	트리거 조건에 따라 결정됨(고정되지 않음) 공격이 발생하기 전에 생성된 스냅샷은 관리자가 공격을 참으로 표시하거나 거짓 양성(명확한 의심)으로 표시할 때까지 보관됩니다.
명백한 의심 행위	관리자는 확인을 기준으로 보존 기간을 설정하는 명백한 의심 작업을 수행할 수 있습니다. 24시간 동안 거짓 양성 보존 7일간의 True Positive 유지 기간	관리자는 확인을 기준으로 보존 기간을 설정하는 명백한 의심 작업을 수행할 수 있습니다. 24시간 동안 거짓 양성 보존 7일간의 True Positive 유지 기간 이 예방적 보존 동작은 ONTAP 9.16.1 이전에는 존재하지 않았습니다.
만료 시간	모든 스냅샷에 만료 시간이 설정됩니다.	없음

피처

ONTAP 9.17.1 이상

ONTAP 9.16.1 및 이전 버전

창조 트리거

스냅샷은 특정 트리거와 관계없이 고정된 4시간 간격으로 생성됩니다.
공격 확인

트리거 유형에 따라 "주기적" 또는 "공격" 스냅샷이 생성됩니다.

높은 엔트로피가 감지되었습니다
새로운 파일 확장자가 감지되었습니다(9.15.1 및 이전 버전)
파일 작업 급증이 감지되었습니다(9.15.1 및 이전 버전)

스냅샷 생성 간격은 트리거 유형에 따라 달라집니다.

접두사 이름 규칙

"안티랜섬웨어 정기 백업" "안티랜섬웨어 공격 백업"

"랜섬웨어 방지 백업"

삭제 동작

ARP 스냅샷이 잠겨 있어 관리자가 삭제할 수 없습니다.

최대 스냅샷 수

"6개의 스냅샷 구성 가능 한도"

보존 기간

스냅샷은 일반적으로 12시간 동안 보관됩니다.

NAS 볼륨: 파일 분석을 통해 공격이 확인되면 공격 전에 생성된 스냅샷은 관리자가 공격을 참으로 표시하거나 거짓 긍정(명확한 의심)으로 표시할 때까지 보관됩니다.
SAN 볼륨 또는 VM 데이터 저장소: 블록 엔트로피 분석을 통해 공격이 확인되면 공격 전에 생성된 스냅샷은 10일 동안 보관됩니다(구성 가능).

트리거 조건에 따라 결정됨(고정되지 않음)
공격이 발생하기 전에 생성된 스냅샷은 관리자가 공격을 참으로 표시하거나 거짓 양성(명확한 의심)으로 표시할 때까지 보관됩니다.

명백한 의심 행위

관리자는 확인을 기준으로 보존 기간을 설정하는 명백한 의심 작업을 수행할 수 있습니다.

24시간 동안 거짓 양성 보존
7일간의 True Positive 유지 기간

관리자는 확인을 기준으로 보존 기간을 설정하는 명백한 의심 작업을 수행할 수 있습니다.

24시간 동안 거짓 양성 보존
7일간의 True Positive 유지 기간

이 예방적 보존 동작은 ONTAP 9.16.1 이전에는 존재하지 않았습니다.

만료 시간

모든 스냅샷에 만료 시간이 설정됩니다.

없음

랜섬웨어 공격 후 ONTAP에서 데이터를 복구하는 방법

ARP는 검증된 ONTAP 데이터 보호 및 재해 복구 기술을 기반으로 랜섬웨어 공격에 대응합니다. ARP는 공격의 조기 징후가 감지되면 잠긴 스냅샷을 생성합니다. 먼저 공격이 실제 공격인지 오탐지인지 확인해야 합니다. 공격이 확인되면 ARP 스냅샷을 사용하여 볼륨을 복원할 수 있습니다.

잠긴 스냅샷은 일반적인 방법으로는 삭제할 수 없습니다. 그러나 나중에 해당 공격을 오탐지로 표시하기로 결정하면 ONTAP 잠긴 사본을 삭제합니다.

전체 볼륨을 되돌리는 대신, 선택한 스냅샷에서 영향을 받은 파일을 복구할 수 있습니다.

공격에 대응하고 데이터를 복구하는 방법에 대한 자세한 내용은 다음 항목을 참조하세요.

ARP에 대한 다중 관리자 인증 보호

ONTAP 9.13.1부터 ARP(자율 랜섬웨어 차단) 구성을 위해 인증된 사용자 관리자 2명 이상이 필요할 수 있도록 MAV(다중 관리자 검증)를 활성화하는 것이 좋습니다. 자세한 내용은 을 "다중 관리 검증을 활성화합니다"참조하십시오.

인공 지능(ARP/AI)을 이용한 자율적 랜섬웨어 방어

ONTAP 9.16.1부터 ARP는 NAS 환경에서 끊임없이 진화하는 랜섬웨어를 99% 정확도로 탐지하는 랜섬웨어 방지 분석용 머신 러닝 모델을 채택하여 사이버 복원력을 향상시킵니다. ARP의 머신 러닝 모델은 시뮬레이션된 랜섬웨어 공격 전후의 대용량 파일 데이터 세트를 기반으로 사전 학습됩니다. 이러한 리소스 집약적인 학습은 ONTAP 외부에서 오픈 소스 포렌식 연구 데이터 세트를 사용하여 모델을 학습시킵니다. 고객 데이터는 전체 모델링 파이프라인에 사용되지 않으며 개인정보 보호 문제는 발생하지 않습니다. 이 학습을 통해 생성된 사전 학습된 모델은 ONTAP 에 기본 제공됩니다. 이 모델은 ONTAP CLI 또는 ONTAP API를 통해 접근하거나 수정할 수 없습니다.

FlexVol 볼륨의 ARP/AI를 위해 액티브 보호로 즉시 전환됩니다

ARP/AI 및 FlexVol 볼륨을 사용하면학습 기간. ARP/AI는 설치 또는 9.16으로 업그레이드하는 즉시 활성화됩니다. 를 ONTAP 9.16.1로 업그레이드하면 기존 및 새 FlexVol 볼륨에 대해 ARP가 이미 활성화되어 있는 경우 해당 볼륨에 대해 ARP/AI가 자동으로 활성화됩니다.

"ARP/AI 활성화에 대해 자세히 알아보십시오"

ARP/AI 자동 업데이트

최신 보안을 유지하기 위해 ARP/AI는 정기적인 ONTAP 업그레이드 및 릴리스 주기 외에도 빈번하게 자동 업데이트를 제공합니다. "자동 업데이트를 활성화했습니다" 보안 파일에 대한 자동 업데이트를 선택하면 ARP/AI에 대한 자동 보안 업데이트를 받을 수 있습니다. 또한 다음 을 선택할 수도 있습니다. "이 업데이트를 수동으로 만드세요" 업데이트가 발생하는 시기를 제어합니다.

ONTAP 9.16.1부터 시스템 및 펌웨어 업데이트 외에 ARP/AI용 보안 업데이트를 System Manager를 사용하여 사용할 수 있습니다.

"ARP/AI 업데이트에 대해 자세히 알아보십시오"