2013.07.10
악성코드가 나날이 고도화, 다양화되면서 사후 대처 위주의 대응 방식은 한계를 맞고 있다. 제로데이 공격을 비롯해 최근 화두가 되고 있는 APT 공격에 신ㆍ변종 악성코드를 이용한 사례가 증가하면서 기존과 같은 시그니처 기반의 악성코드 탐지만으로는 더 이상 만족할 만한 수준의 위협 대응을 담보하지 못하는 실정이다.
이에 안랩은 최근 독자적인 다차원 분석 플랫폼의 구축을 완료했으며, V3 제품군을 필두로 APT 대응 솔루션 트러스와처(AhnLab TrusWatcher), 네트워크 보안 솔루션 트러스가드(AhnLab TrusGuard) 시리즈까지 거의 모든 제품에 순차적으로 적용할 예정이다. 이를 통해 사전 방역을 근간으로 한 혁신적인 대응 체계를 구축한다는 전략이다. 안랩의 새로운 위협 대응 프레임워크이자 악성코드 대응 기술인 다차원 분석 기술을 미리 살펴본다.
매일같이 엄청난 수의 악성코드가 제작ㆍ유포되고 있다는 것은 더 이상 새로운 사실이 아니다. 안랩 시큐리티대응센터(ASEC)가 집계한 바에 따르면, 지난 4월 감염이 보고된 악성코드는 모두 550만 8895건이었다. 이보다 앞선 지난 3월에는 약 760만 건에 달하는 악성코드 감염이 보고됐다. 국내만 해도 매월 평균 500~700만 건에 달하는 악성코드 감염이 발생하고 있는 것이다.
이 뿐만 아니라, 전세계적으로 알려지지 않은(unknown) 신ㆍ변종 악성코드의 유포 속도는 더욱 가속화되고 있다. 또한 안티바이러스의 탐지를 우회하는 악성코드 등 동작 방식도 훨씬 치밀화, 고도화되고 있다.
이와 함께 최근에는 지능형 지속 보안 위협 APT(Advanced Persistent Threat)와 같이 타깃 기업이나 기관, 혹은 특정 지역에서 주로 사용하는 프로그램의 취약점을 찾아내 악용하는 ‘맞춤형 악성코드’까지 등장하고 있어 악성코드 대응은 ‘백사장에서 바늘을 찾는 일’처럼 어려워지고만 있는 추세다. 이 때문에 시그니처 기반의 전통적인 대응 방식의 한계론도 등장했다.
다차원적인 분석이 해법이다
이 같은 이유로 많은 보안 업체들이 기존의 시그니처 방식이 아닌 각기 다른 방향에서의 악성코드 대응 방식을 도입하고 있다. 안랩 또한 다각도에서 위협을 분석하고 입체적으로 대응할 수 있는 방안을 모색한 결과, 올해 ‘다차원 분석 플랫폼’을 구현하고 자사 대부분의 제품에 적용을 진행하고 있다.
다차원 분석 기술은 행위 기반, 평판 기반 등 다양한 분석 기술을 복합적으로 적용함으로써 위협의 유입 단계부터 사전적인 대응을 가능케 하는 신개념 종합 위협 대응 기술이다.
실시간 위협 대응은 물론, 보다 능동적인 위협 대응이 가능한 다차원 분석은 총 6개의 주요 탐지 및 대응 기술로 구성되어 있다. ▲URL/ IP 탐지 기술 ▲클라우드 기반 탐지 ▲시그니처 기반 탐지 ▲평판 기반 탐지 ▲행위 기반 탐지 ▲액티브 디펜스(Active Defense)가 그것이다.
[그림 1] 다차원 분석 플랫폼 개념도
1. URL/IP 기반 탐지 – 악성 웹사이트 접속 차단, C&C 서버 등 외부와의 연결 차단
최근 대부분의 악성코드는 인터넷을 통해 네트워크 내부로 유입되는 양상을 보이고 있다. 감쪽같이 정상적인 것으로 위장해 악성코드를 유포하는 교묘한 웹 사이트들이 기승을 부리고 있을 뿐만 아니라 웹 사이트에 접속만해도 악성코드에 감염되는 사례도 빈번하게 발생하고 있다.
이 때문에 악성코드의 네트워크 유입을 방지하기 위해서는 악성 파일이 유포된 바 있는, 또는 다수의 경험을 통해 위험하다고 판단되는 URL에 대해서는 사전에 차단할 필요가 있다. 이것이 바로 URL 및 IP 기반 탐지 기술의 핵심이다. URL/IP 기반 탐지 기술은 악성코드를 유입 단계부터 막는, 그야말로 원천 차단하기 위한 기술로 사전 방역의 관점에서 매우 중요한 가치를 지닌다.
특히 C&C 서버와의 통신 등 악의적인 외부 네트워크와의 연결도 탐지 혹은 차단해 중요 정보 탈취나 공격자의 명령에 의한 추가적인 공격을 방지할 수 있다. 별도의 시그니처 없이 실시간으로 위험한 URL 또는 IP를 탐지하고 대응할 수 있다는 점도 최근의 위협 대응에 유용한 기술로 인정받고 있다.
[그림 2] ASD 네트워크 개념도
2. 클라우드 기반 탐지 - 실시간 위협 대응, 사전 방역
클라우드 기반 탐지 기술은 안랩의 클라우드 컴퓨팅 기반의 안랩 스마트 디펜스(AhnLab Smart Defense, 이하 ASD) 기술을 이용해 실시간으로 파일의 악성 여부를 다각도로 분석, 진단하는 기술이다. 대규모 파일 DB를 중앙서버에서 관리하고 PC(또는 시스템)에 설치되어 있는 ASD 엔진에서 파일의 악성여부에 대해 문의하면 이에 대해 응답을 해주는 방식이다. 시그니처 엔진이 업데이트되기도 전에 위협 대응이 가능한, 사전 대응 관점의 진단 기술로 특히 신ㆍ변종 악성코드 진단에 효과적이다.
안랩의 클라우드 기반 탐지 기술은 2000만 명 이상으로 구성된 ASD 네트워크를 통해 실제 발생 또는 유포되고 있는 위협, 즉 샘플을 보다 신속하게 수집해 위협이 발생하는 시점에 실시간으로 대응이 가능하다. ASD 네트워크를 통해 수집된 샘플에 대한 즉각적인 분석 후 V3를 비롯한 안랩의 전 제품에 해당 위협 정보를 공유함으로써 악성코드 확산 방지에 기여한다.
3. 시그니처 기반 탐지 - 오탐 최소화, 진단 속도 개선 및 엔진 경량화
안랩의 다차원 분석에 적용된 시그니처 기반 탐지 기술 역시 혁신적인 변화를 거듭해 기존의 시그니처 방식과는 상당한 차이를 보인다.
우선, 안랩의 시그니처 기반 탐지의 중심에는 7억여 개의 ASD DB가 있다. ASD DB에는 악성 파일에 대한 정보뿐만 아니라 정상 파일에 대한 정보도 축적되어 있어 보다 신속하고 효율적인 진단이 가능하며 오탐이 거의 없는 정확한 진단이 가능하다.
또한 안랩이 독자 개발한 DNA 스캔(Scan) 기술을 적용해 시그니처 기반 탐지에 혁신을 더했다. DNA 스캔은 한 마디로 '악성 프로그램의 DNA 정보를 이용해 탐지하는 기술'이라 할 수 있다. 악성코드가 갖고 있는 고유한 특성, 즉 파일의 DNA를 추출해 악성코드 진단에 이용하는 것으로, 기존의 파일 시그니처 대신 파일의 특성을 기반으로 진단하는 방식이다. 이는 샘플 수집 후 분석 및 대응하는 방식인 사후 대응 방식과는 확연한 차이를 보인다. 시그니처가 적용되어 있지 않더라도 사전 방역이 가능해서다. 수백여 개의 DNA 룰을 기반으로 다양한 변종 악성코드에 대한 진단까지 가능해 사전 방역 효과를 제공하며 오탐 및 미탐의 가능성이 최소화된다.
다종다양한 악성코드의 시그니처를 끊임없이 축적해 대응하는 방식은 현실에 부합하는 효과적인 대응책이라 하기 어렵다. 엔진에 적용되는 시그니처 DB가 늘어날수록 엔진의 크기도 늘어나야 하기 때문이다. 반면에 방대한 샘플 DB와 분석 노하우를 통해 압축적으로 재편한DNA 룰을 적용하면 시그니처를 끊임없이 축적하는 기존 방식에 비해 백신의 엔진 크기를 혁신적으로 줄일 수 있어 사전 방역과 사용자 편의성이라는 1석2조의 효과가 있다.
4. 평판 기반 탐지 – 우회 공격 및 잠재적인 위협 대응
안랩의 다차원 분석 플랫폼의 핵심은 평판 기반 탐지와 행위 기반 탐지라 할 수 있다. 앞서 살펴본 클라우드 기반 기술과 시그니처 기반 기술이 기존의 기술을 혁신적으로 개선한 것이라면, 평판 기반 기술과 행위 기반 기술의 적용은 악성코드 대응의 패러다임 자체를 혁신한 것으로 평가할 만하다.
평판 기반 탐지 기술은 안전 여부가 확인되지 않은(unknown), 이른바 ‘미진단’ 파일 및 프로그램에 대한 잠재적인 위험성을 사전 차단하는 기술이다. 이 기술은 최근의 고도화된 공격 기법 대응에 유용한데, 바로 백신을 우회하는 악성코드 탐지다. 최근 악성코드 제작자들이 악성코드를 유포하기 전 백신의 탐지 여부를 테스트해 보는 경우가 늘고 있다. 이 또한 시그니처 기반의 백신이 갖는 한계로 지적되기도 한다. 이와 관련해 안랩의 다차원 분석 기술은 사용자 수와 평가, 출처, 역시 파일들과의 관계 등 다양한 평판 요소를 진단 기준으로 추가함으로써 시그니처 기반 백신의 한계를 넘어 선제적 대응을 구현하고 있다.
[그림 3] 평판 정보의 예
이 기술 역시 특히 신ㆍ변종 악성코드와 같이 악성 여부가 결론 내려진 경우가 아닐 때 유용하다. 클라우드를 통해 수집/분석된 다양한 평판 정보를 바탕으로 다른 사용자들의 평가를 참조해 사용자가 실제적으로 판단하고 대응할 수 있도록 한다.
미확인 파일(혹은 프로그램)임에도 불구하고 다수의 사용자들이 악성 또는 정상으로 분류한 정보나 실제 사용자 수 등에 대한 정보를 제공함으로써 사용자의 환경 등 여러 요소를 고려하여 차단 또는 허용 등을 판단할 수 있다. 다수의 사용자 ‘평가’를 적용함으로써 사용자 측면에서의 실질적인 보안 수준 설정과 대응이 가능하다는 의미다.
5. 행위 기반 탐지 – 제로데이 공격, 익스플로이트 대응
평판 기반 탐지 못지 않게 유용한 기술이 행위 기반 탐지 기술이다. 행위 기반 탐지 기술은 파일의 행위가 악성인지의 여부를 진단하는 기술로, 탐지를 우회하는 고도화된 악성코드를 비롯해 제로데이 취약점을 이용한 악성코드 대응에 효과적이다. 앞서 설명한 평판 기반 기술과 마찬가지로 안랩의 축적된 노하우와 인프라를 기반으로 구현된 이 기술은 악성 파일이 궁극적으로 수행하는 행위를 100여 개의 패턴으로 상세하게 구분해 진단의 근거로 삼는다. 예를 들어 사용자의 동의 없이 또 다른 악성코드를 다운로드 및 실행하는 등의 행위를 하는 것만으로도 악성 여부를 진단하고 대응할 수 있다. 이로써 제로데이 공격은 물론, 비정상적인 익스플로이트(exploit)를 원천 차단할 수 있다.
6. 액티브 디펜스(Active Defense) – 상세 분석 보고서, 능동적인 대응 구현
클라우드 기반, 시그니처 기반, 평판 기반, 행위 기반 기술의 결합으로도 현재의 악성코드는 대부분 대응이 가능하다. 그러나 악성코드 및 공격 기법은 진화하는 속도도 상상을 초월하며, 그 방향 또한 예측하기가 쉽지 않다. 고도의 분석 기술의 결합마저도 우회하는 위협의 발생 가능성을 완전히 배제할 수는 없다는 의미다.
이 같은 만약의 경우마저 대비하기 위한 기술이 바로 액티브 디펜스(Active Defense)이다. 안랩의 독자 기술로 개발된 액티브 디펜스는 시스템 내부의 위협에 대한 가시성을 제공하는 기술이자 기능이다. 현재 시스템 내에서 이상 행위를 보이는 파일이 있다면 그 파일이 구체적으로 어떤 행위를 하는지 등에 대해 실시간으로 상세한 분석 정보를 제공함으로써 가시성을 확보함과 동시에 사용자의 선제적인 대응이 가능하다. 사용자는 각종 분석 정보를 활용해 악성코드 삭제 등 위협에 대해 보다 능동적으로 대처하고 보안 수준을 향상시킬 수 있다. <Ahn>
* 이어지는 내용은 안랩 홈페이지에서 확인하실 수 있습니다.
'AhnLab 보안in' 카테고리의 다른 글
| 악성코드의 교묘한 위장술 “내가 아직도 문서파일로 보이니?” (0) | 2020.04.18 |
|---|---|
| 안랩, 한/글 프로그램 보안 패치 권고 (0) | 2020.04.18 |
| 간단한 인터넷 보안 팁, 주소창으로 확인하세요! (0) | 2020.04.18 |
| 안랩, “메모리 해킹(수정)”으로 금융정보 및 금전 유출 시도하는 악성코드 분석 (0) | 2020.04.18 |
| 안랩, 변종 디도스 악성코드 추가 확인 (0) | 2020.04.17 |
