ReFS 환경에서 드라이버 대응 전략 정리

📌 ReFS 환경에서 드라이버 대응 전략 정리

✅ 핵심 정리

ObRegisterCallbacks 기반 드라이버는 ReFS 환경에서도 그대로 사용할 수 있지만,
FltMgr 기반 파일 필터 드라이버는 ReFS에서 필터링이 제한되기 때문에 신규로 개발하거나 대안을 적용해야 합니다.

1. ObRegisterCallbacks 기반 드라이버

• ✔ NTFS / ReFS 관계없이 작동
• ✔ 파일 접근 제어, 실행 제어에 활용 가능
• ✔ 보안 제품(백신, DRM, EDR)에서 일반적으로 사용
• ❌ 파일 내용 검사는 직접적으로 불가

🧪 감시 가능한 항목

• FILE_OBJECT 접근 감지 (파일 열기, 읽기 전 핸들 생성)
• EPROCESS 기반 실행 감지 (실행 중지, 권한 검사)
• ACCESS_MASK를 통한 권한별 제어

2. FltMgr 기반 필터 드라이버

• ❌ ReFS에서 PreCreate / PreWrite 콜백이 호출되지 않거나 실패
• ❌ 경로 정보(`FltGetFileNameInformation`)가 비정상 또는 누락
• ❌ Reparse Point, USN 저널, EFS 등 ReFS 자체 미지원
• ⚠ ReFS 대응을 위해 신규 아키텍처 또는 대체 경로 필요

🎯 기존 기능 중 실패 가능성이 높은 항목

• 파일 경로 기반 실행 제어
• 내용 검사 기반 차단
• 특정 확장자 또는 이름 차단

3. 요약 비교

항목	ObRegisterCallbacks 기반	FltMgr 기반 필터 드라이버
ReFS 지원 여부	✅ 완전 지원	⛔ 제한적 / 미지원
파일 접근 제어	⭕ 핸들 오픈 감지로 가능	⭕ NTFS에서만 가능
프로세스 실행 제어	✅ 가능	✅ 가능 (단 NTFS 한정)
파일 경로 분석	⚠ 부분 가능	✅ NTFS에서만 안정적
파일 내용 검사	❌ 직접 불가	✅ 가능 (IRP 기반 분석)

✅ 결론

ObRegisterCallbacks 기반 드라이버는 ReFS 환경에서도 문제없이 사용 가능합니다.
반면, FltMgr 기반 드라이버는 ReFS와의 호환성이 제한적이므로, 신규 개발 또는 대체 감시 구조(ETW, 커널 콜백 등)가 필요합니다.

ReFS 도입을 고려하는 보안 솔루션 개발자라면, 기존 필터 드라이버의 한계를 인지하고,
핸들 감시 및 실행 콜백 기반의 설계로 전환하는 것이 필요합니다.