안철수연구소의 클라우드 전략, ASD 심층 분석

2010.09.29

 

작년 7•7 DDoS 대란으로 입은 피해액은 과연 얼마나 될까?
현대경제연구원은 피해액이 최소 363억 원 ~ 544억 원이라고 밝혔다. 좀 더 거슬러 올라가 지난 2003년 발생한 1•25 인터넷대란 피해액은 1,675억 원에 이르는 것으로 추정된다.

이렇듯 사이버 공격은 경제적, 사회적으로 엄청난 피해를 초래하고 있다. 특히, 세계적인 경기 침체로 많은 범죄 조직이 리스크가 적고 쉬운 돈벌이 수단으로 악성코드 제작에 달려들면서 공격이 더욱 증가하고 있다. 이에 대응하기 위해 보안 업체들도 각고의 노력을 기울이고 있지만 기존의 대응 방식으로 현재의 사이버 공격을 방어하기엔 한계가 드러나고 있다.

이제는 기존의 개념에서 벗어난 새로운 접근 방법이 필요한 시점이다. 이에 ‘클라우드 컴퓨팅(Cloud Computing)’기법이 주목되고 있다.
그리고 안철수연구소의 AhnLab Smart Defense(이하 ASD)가 바로 클라우드 컴퓨팅 개념을 혁신적으로 도입한 사이버 공격에 대한 최신의 대응 기법이다. 

AhnLab Smart Defense? 그 실체는 무엇인가?

 

AhnLab Smart Defense(이하 ASD)는 기존에 악성코드에 대한 모든 데이터를 PC로 다운로드(엔진 업데이트) 한 후 PC에서 처리하던 방식과 달리 클라우드 컴퓨팅 개념을 이용한 새로운 기술이다. 즉, 대규모 파일 정보 DB를 중앙 서버에서 관리하며, PC에 설치되어 있는 ASD 엔진에서 파일의 악성 여부에 대해 문의하면 이에 대해 응답을 해주는 방식이다.

AhnLab Smart Defense 의 작동 방법은 아래와 같다.

[그림 1] AhnLab Smart Defense 구성도

PC에서 새로운 파일(이전에 ASD 엔진이 확인한 적이 없는 파일)이 실행되면 ASD Center로 파일의 DNA를 전송한다. ASD Center에서는 전송된 파일 DNA 정보를 대용량 DB에서 확인하고, 같은 유형의 DNA가 존재하면 해당 파일이 악성코드인지 정상 파일인지 확인하여 알려준다. 만약 DB에서 DNA 존재가 확인되지 않으면, 새로운 유형으로 간주하여 자동 분석 시스템으로 보내 새로운 DNA의 악성 여부를 분석하게 된다.

 

파일의 기본 정보 분석 뿐 아니라 프로그램 디지털 서명 정보 분석, 평판 시스템을 통한 분석, 파일에 대한 Activity 동향 분석, 행위 기반 Activity 분석, 파일간 Relation 분석 등 다양한 기술을 이용하여 파일의 정상 또는 악성 여부를 판단하고, 이를 ASD 엔진에 알려준다. 이와 동시에 파일 DNA DB를 업데이트하여 다른 ASD 엔진에서 활용할 수 있도록 한다.

 

이외 ASD에서 제공하는 주요 기능 중 하나가 DNA Scan 기능이다. DNA Scan 기능은 악성코드가 가지고 있는 DNA를 추출하여 이와 매칭되는 파일을 검출하는 방식이다.

악성코드들이 보유하고 있는 악성 DNA만 추출하여 이를 패턴화하고, 이와 동일한 DNA를 가지고 있는 파일을 악성코드로 분류하는 엔진을 기존 Anti-Malware 엔진과 함께 업데이트 하여 진단하는 방식을 취하고 있다.  이 방식을 사용하면 다음의 장점이 있다.

■ 신종 악성코드에 대한 사전 대응
ASD DB를 분석해본 결과 대부분의 악성코드는 일반 프로그램과 달리 악성코드만 가지고 있는 특징이 존재하였다. 이에 따라 악성코드만 가지고 있는 특징을 DNA Rule로 만들어 놓아 향후 발생할 수 있는 신종, 변종 악성코드에 대해서도 동일한 특징을 가지고 있을 경우 자동 사전 검출이 가능해짐에 따라 기존 Anti-Malware가 가지고 있던 사후처리 방식의 한계를 극복할 수 있다.

■ 엔진 사이즈 증가 이슈 해결
하루에도 수천, 수만 개의 악성코드가 발생하고 있기 때문에 Anti-Malware 솔루션의 엔진 사이즈도 지속적으로 증가하고 있다. DNA Scan 방식을 사용하면 하나의 DNA Rule만으로 수 천 개의 악성코드 탐지가 가능해짐에 따라 엔진 사이즈 증가가 거의 없는 상태에서도 높은 진단율을 유지할 수 있게 된다. 

■ 오진 대응을 위한 검증 시스템 구축
일반적인 휴리스틱 진단 방식은 분석가의 지식에 의해 방식이 추가되고, 기본적인 화이트 리스트 테스트를 통해 배포될 수 밖에 없다. 이에 따라 대규모의 화이트 리스트에 대한 검증에는 시간이 오래 걸리므로 오진에 취약한 구조를 가지고 있다.
DNA Scan의 경우 악성코드의 패턴을 생성할 때마다 수백억 개의 정상 파일 DNA와 매칭한 후 이상이 없을 경우에만 배포함으로써 사전 진단 율은 높이면서도, 오진의 위험도는 극적으로 낮추는 엔진의 개발이 가능해졌다.

 [그림 2] 사람의 DNA와 악성코드 DNA 비교

 

AhnLab Smart Defense, 어떤 효과를 가져다 주는가?

ASD는 기존에 사용자에게 일방적으로 악성코드 패턴 DB를 내려 검사/치료하는 방식이 아닌 사용자와 ASD 서버 간의 양방향 통신을 통해 보다 정확한 악성코드 대응 및 악성코드 활동 패턴의 분석이 가능하다.

 

효과 1. 실시간 악성코드 현황 분석
현재 ASD는 수백만 명의 사용자가 사용을 하고 있으며, 보내어진 파일 DNA 데이터를 자동 분석하여 실시간으로 새롭게 보고된 악성코드 현황 및 현재 가장 활동을 많이 하고 있는 악성 코드의 순위 등을 확인할 수 있다.

이를 활용하면 기존에 분석가 또는 관리자의 감에 의해 진행되었던 악성코드 대응 업무를 정확한 데이터를 가지고 우선 순위 하에서 대응 가능하다. 예를 들어 새로이 나타난 악성코드의 전파 속도가 어떠한지, 어떤 악성코드에 가장 많이 감염되고 있는지 등 기존에 파악하기 힘들었던 위협 상황을 데이터를 통해 한눈에 확인할 수 있다.
이에 따라 동일한 업무를 수행하더라도 우선 순위를 가지고 악성코드에 대응함으로써 보다 효과적인 대응이 가능하다.

[그림 3] 실시간으로 새롭게 수집된 악성코드 리스트

효과 2. DDoS 공격 대응
DDoS공격을 위한 봇의 경우 활동을 하기 전까지는 해당 파일에 대한 악성코드 여부를 판단하기는 아주 어렵다. ASD의 경우 정상적인 인터넷 접속이 아닌 특정 파일이 특정 시간대에 갑자기 트래픽을 증가시키고, 이것이 많은 사용자들에게서 동시 다발적으로 발생한다면 DDoS 공격일 확률이 높다고 판단하여 별도로 관리하도록 되어있다. 해당 기술을 이용한다면 이미 공격이 끝난 후 사후 처리만 가능했던 DDoS 방어를 한 단계 업그레이드 하여 DDoS 공격 초기에 대응할 수 있는 방안을 제공할 수 있다.

추가적으로 공격자 IP 정보까지 제공 가능함에 따라 DDoS 전용 장비나 방화벽 등을 통해 DDoS 공격을 초기에 진압할 수 있는 중요한 정보를 얻을 수 있다.

효과 3. 해당 악성코드의 특장점 분석
이상 행위를 하는 파일을 수집하더라도 해당 파일의 내용을 분석하는 것은 전문가 라도 쉽지 않은 게 현실이다. ASD는 수집된 파일의 정보를 자동으로 분석해 냄으로써 분석 전문가가 아닌 사람도 해당 파일의 특장점을 파악할 수 있는 기능을 제공하고 있다.

안철수연구소는 ASD 기술을 핵심으로 한 클라우드 플랫폼인 ACCESS (AhnLab Cloud Computing E-Security Service)를 개발 활용하고 있다. ACCESS 전략은 ASD 기술과 기존 ASEC(시큐리티대응센터)의 악성코드 수집 및 분석 능력과 CERT(침해사고대응팀)의 위협 모니터링 및 대응 서비스가 결합한 새로운 개념의 지능형 플랫폼이다. 

 

안철수연구소의 모든 제품과 서비스는 ACCESS 전략 하에 유기적으로 작동하여, 각종 보안 위협에 대해 입체적이고 종합적인 대응이 가능하다.

안철수연구소는 클라우드 컴퓨팅 개념의 ASD와 ACCESS 전략이 고객의 안전한 컴퓨터 환경 조성에 기여할 수 있을 것이라고 확신한다.

[전편보기 : 왜 클라우드 보안을 말하는가? 최근 보안 위협과 대응의 한계]

위 글은 안랩닷컴 보안정보에서도 제공됩니다.
더 많은 보안 정보를 만나보실 수 있습니다.