본문 바로가기
AhnLab News

2012.12.11 안랩, APT 대응 기술 첫 특허 획득

by 보안세상 2020. 4. 13.

- 문서 등 비실행 파일 내 악성코드 유무 검사..APT 공격 효과적 대응
- 미국 특허 출원 예정..세계적 기술력 주도
 



글로벌 정보보안 기업인 안랩(구 안철수연구소, 대표 김홍선 www.ahnlab.com)은 11일 APT(Advanced Persistent Threat, 지능형지속보안위협) 대응 솔루션 ‘트러스와처 2.0(이하 트러스와처)’에 탑재한 기술이 첫 특허를 획득했다고 밝혔다.
 
이번 특허 기술은 ‘악성 파일 검사 장치 및 방법’으로서 워드, 아래아한글, PDF, 플래시 플레이어, 문서 및 스크립트 등의 비실행 파일이 악성코드를 포함하고 있는지를 신속하고 정확하게 검사할 수 있는 기술이다. 안랩이 장기간 심혈을 기울여 세계 최초로 개발한 ‘DICA(Dynamic Intelligent Contents Analysis) 기술’의 핵심적 요소이다.
 
특허 기술은 비실행 파일 포맷(non-executable format)의 리더나 편집기의 종류에 상관 없이 악성 문서 파일을 검출한다. 또한 향후 발견될 취약점을 이용한 신종 악성 파일에도 근본적으로 대응하는 획기적인 기술이다.
 
이 기술은 문서 프로그램이 구동될 때 정상적으로 로드되는 모듈의 ‘정상 주소 범위 정보’를 획득한다. 이후 프로그램 모듈 내 각 명령어가 실행될 때 출력되는 실행 주소가 ‘정상 주소 범위 정보’를 벗어나면 악성코드가 포함된 것으로 판단한다. 이로써 악성코드가 실행되기 전에 악성 파일을 정확하게 탐지해낸다. 따라서, 악성 비실행 파일의 취약성을 이용한 APT 공격을 효과적으로 방어할 수 있다.
 
최근 APT 공격에는 다양한 형태의 악성코드가 활용되는데, 그 중에서도 초기 침입 단계에서는 탐지가 거의 안 되는 주로 악성 문서 파일을 이용해 이루어진다(보충설명1). 기존 시그니처 기반 검사 방법은 대량의 시그니처 데이터베이스를 보유하고 있어야 하기 때문에 현실적으로는 악성 비실행 파일을 이용한 공격을 방어하기 어렵다. 또한, 행위 기반 검사 방법은 설계 방법 등의 정보가 필요하기 때문에 오탐과 미탐이 많이 발생하는 문제점이 있다. 안랩의 특허 기술은 이러한 문제를 해결하기 위해 개발된 것으로서 비실행 파일이 악성코드를 포함하고 있는지를 신속하고 정확하게 검사할 수 있다.
 
한편, 트러스와처는 최근 종전의 강력한 탐지 기능에 다차원 행위기반 분석 기능을 업그레이드했다. 이에 따라 트러스와처는 시그니처 기반 분석 엔진, 행위 기반 분석 엔진, 동적 콘텐츠 분석 엔진 등 세 가지 주요 악성코드 탐지 기능으로 다차원적인 악성코드 분석 및 탐지를 제공한다.
 
안랩 연구개발 총괄 조시행 전무는 “안랩은 세계적으로 독보적인 기술력으로 APT 공격을 효과적으로 방어한다. 이번 국내 특허 획득에 이어 미국 특허 출원을 진행함으로써 국내외 APT 방어 솔루션 기술을 주도해나가겠다.”라고 강조했다.
 
안랩은 창립 이래 연구개발에 적극 투자해 혁신 기술 개발을 선도해왔다. 누적 특허 획득 건수가 114건으로 국내 보안 소프트웨어 업계 중 최고 기록을 보유하고 있다. 해외에서는 PCT(보충설명2) 국제 출원 50건, 국가 별 출원 21건으로 국내뿐 아니라 해외에서도 세계적 소프트웨어 기업들과 어깨를 나란히 하고 있다.
 
----------<보충 설명>-------
 
1.          APT 공격에 문서 파일이 많이 이용되는 이유
 
최근 APT 공격에는 다양한 형태의 악성코드가 활용되는데, 그 중에서도 초기 침입 단계에서는 탐지가 거의 안 되는 주로 악성 문서 파일을 이용해 이루어진다.
 
그 이유는 각종 문서 관련 애플리케이션들의 기능이 확장되고 복잡해짐에 따라 운영체제(OS)만큼 많은 취약성이 발견되기 때문이다. 또한 문서 파일 내 플래시 같은 다른 애플리케이션의 객체를 포함할 수 있게 됨에 따라 공격 코드를 은닉하기가 더욱 쉬워졌다.
 
또한 악성코드가 문서 파일에 포함되어 있을 경우 문서 파일의 변경에 따라 손쉽게 변종 악성코드를 만들 수 있고, 기존의 행위기반기술로도 탐지가 힘들다. 또한 주의를 기울이지만, 첨부된 문서 파일에는 경계심이 약한 점 역시 문서 파일이 APT 공격에 악용되는 이유이다.
 
2.          PCT
 
특허협력조약(Patent Cooperation Treaty; PCT)는 1970년에 체결된 국제적인 특허 법률 조약이다. 이 조약에 가입한 나라 간에 특허 출원 수속을 간소화하고, 출원인과 각국 특허청의 부담을 줄이고, 특허 정보 이용을 쉽게 하자는 취지로 만들어졌다. 출원인이 자국 특허청에 특허를 받고자 하는 국가를 지정하여 PCT 국제 출원서를 제출하면 바로 그날을 각 지정국에서 출원서를 제출한 것으로 인정받을 수 있다. 우리나라는 1984년 8월에 가입했다. <Ahn>