안랩의 APT(Advanced Persistent Threat, 고도화된 지능형 타깃 위협) 대응 솔루션인 ‘TrusWatcher 2.0(이하 트러스와처)’ 기술이 특허를 획득했다.
이번 특허 기술은 ‘악성 파일 검사 장치 및 방법’으로 워드, 아래아한글, PDF, 플래시 플레이어, 문서 및 스크립트 등의 비실행 파일이 악성코드를 포함하고 있는지를 신속하고 정확하게 검사할 수 있다. 이는 안랩이 장기간 심혈을 기울여 세계 최초로 개발한 ‘DICA(Dynamic Intelligent Content Analysis) 기술’의 핵심요소다.
이 특허 기술은 비실행 파일 포맷(non-executable format)의 리더나 편집기의 종류에 상관 없이 악성 문서 파일을 검출할 뿐 아니라, 향후 발견될 취약점을 이용한 신종 악성 파일에도 근본적으로 대응한다는 점에서 획기적이라는 평가를 받고 있다.
▲ AhnLab TrusWatcher 2.0
이 기술은 문서 프로그램이 구동될 때 정상적으로 로드되는 모듈의 ‘정상 주소 범위 정보’를 획득한다.
그 후 프로그램 모듈 내 각 명령어가 실행될 때 출력되는 실행 주소가 ‘정상 주소 범위 정보’를 벗어나면 악성코드가 포함된 것으로 판단해 악성코드가 실행되기 전 악성 파일을 정확하게 탐지해 낸다.
이 때문에 악성 비실행 파일의 취약성을 이용한 APT 공격도 효과적으로 방어할 수 있다.
최근 APT 공격에는 다양한 형태의 악성코드가 활용되는데, 그 중에서도 초기 침입 단계에서는 탐지가 거의 안 되는 악성 문서 파일을 이용해 이루어진다.
기존 시그니처 기반 검사 방법은 대량의 시그니처 데이터베이스를 보유하고 있어야 하기 때문에 현실적으로는 악성 비실행 파일을 이용한 공격을 방어하기 어렵다.
안랩의 특허 기술은 이러한 문제를 해결하기 위한 것으로 비실행 파일의 악성코드 포함 여부를 신속하고 정확하게 잡아낸다.
앞서 안랩은 점차 정교해지는 APT에 대응하기 위해 강력한 탐지 기능을 갖춘 트러스와처의 다차원 행위기반 분석 기능을 업그레이드한 바 있다.
이에 따라 트러스와처는 시그니처 기반 분석 엔진, 행위 기반 분석 엔진, 동적 콘텐츠 분석 엔진 등 세 가지 주요 악성코드 탐지 기능으로 다차원적인 악성코드 분석 및 탐지를 제공한다.
조시행 안랩 전무는 “이번 국내 특허 획득에 이어 미국 특허 출원을 진행함으로써 국내외 APT 방어 솔루션 기술을 주도해 나가겠다”라고 강조했다. Ahn
'AhnLab News' 카테고리의 다른 글
| 2013.01.11 안랩, 스마트폰 소액결제 악성코드 기승 주의 당부 (0) | 2020.04.13 |
|---|---|
| 2013.01.10 안랩, APT 대응 차세대 원격관제 서비스 출시 (0) | 2020.04.13 |
| 2012.12.28 안랩, 2012년 7대 보안 위협 트렌드 발표 (0) | 2020.04.13 |
| 2012.12.27 안랩, V3 관련 신기술 3종 특허 획득 (0) | 2020.04.13 |
| 2012.12.27 안랩, 연말연초 풍성한 온라인 이벤트 실시 (0) | 2020.04.13 |
