본문 바로가기
AhnLab News

2012.12.05 안랩, 트러스와처 성능향상으로 APT 대응역량 강화

by 보안세상 2020. 4. 13.

- 시그니처 기반 분석엔진, 행위기반 분석엔진, 동적 콘텐츠 분석엔진 등 다차원 적 악성코드 분석
- 문서 프로그램 업데이트 서버에서 배포된 악성코드 사내 테스트에서 악성코드 유입단계 탐지


 
글로벌 보안 기업인 안랩(구 안철수연구소, 대표 김홍선 www.ahnlab.com)가 APT(Advanced Persistent Threat, 지능형지속보안위협) 대응 솔루션 ‘트러스와처 2.0 (이하 트러스와처)’의 악성코드 탐지 성능을 대폭 향상시켰다고 밝혔다. 이로써 트러스와처는 점차 정교해지는 APT 방식의 보안위협에 대한 대응역량을 한층 더 강화했다.
 
트러스와처는 기존에 강력한 탐지 기능에 다차원 행위기반 분석 기능을 업그레이드했다. 이에 따라 트러스와처는 시그니처 기반 분석엔진, 행위기반 분석엔진, 동적 콘텐츠 분석엔진 등 세가지 주요 악성코드 탐지 기능으로 다차원적인 악성코드 분석 및 탐지를 제공한다.
 
트러스와처는 최초로 수집한 파일을 안랩의 클라우드에 저장된 방대한 악성코드 정보를 통해 파일의 악성여부와 평판 정보를 확인하는 ‘시그니처 기반 분석’을 실행한다. 이후 알려지지 않은 실행파일을 가상 OS 상에서 가동시켜 다차원 행위기반 분석을 진행한다. 트러스와처의 행위 기반 분석 엔진은 실행파일들의 단순 개별 행위를 분석하는 것에서 진일보해 연관된 파일들과 접속하는 URL/IP의 위험도, 평판 정보 및 종합적 행위를 다차원적으로 분석해 정교한 악성코드 분석을 가능하게 한다. 이러한 행위기반 분석을 위해 트러스와처는 20개의 가상 OS를 제공해 더욱 신속한 분석이 가능하다.
 
문서 및 비 실행 파일들 또한 별도의 동적 콘텐츠 분석과정을 거친다. 트러스와처에 탑재된 동적 콘텐츠 엔진(DICA, Dynamic Intelligent Contents Analysis)은 일반 파일 (non-PE, 비 실행 파일)들의 제로데이 취약점(추가설명 참조)을 동적으로 분석한다. 즉, 워드, 아래아한글, PDF 등 각종 문서 리더 및 편집기의 취약점을 이용해 전파되는 문서 악성 파일을 효과적으로 검출해낸다. 문서나 비실행 파일들의 제로데이 취약점을 이용한 보안위협은 최근 APT 타깃 방식에 자주 이용되는 방식이다.
 
안랩의 트러스와처는 이러한 기술력을 바탕으로 최근 문서 프로그램 업데이트 서버에서 유포된 악성코드에 대한 내부 테스트에서 해당 악성코드를 유입 단계에서 정확히 판별해냈다.
 
안랩의 김홍선 대표는 “최근 APT 방식의 보안위협은 더욱 정교화되고 특정 타깃을 노리는 방향으로 진화하고 있다. 이런 상황에서 기업이나 조직의 중요한 정보를 지키기 위해서는 선제적 대응이 가능하도록 진화된 방식의 보안 솔루션과 전사적인 방어대책 수립, 지속적인 방어 훈련 등이 필수적이다”고 말했다. Ahn
 
*추가 설명
- 제로데이 취약점: 소프트웨어의 보안 취약점을 공격하는 기술적 위협으로, 해당 취약점에 대한 소프트웨어 제공사의 패치가 나오지 않은 시점에서 이루어지는 공격