본문 바로가기
AhnLab News

2010.11.23 안철수연구소, 클라우드 보안 신기술 특허 획득

by 보안세상 2020. 4. 3.

- V3 스마트 디펜스 기술 구현, 상용화

- 악성코드 진단 정확성 향상 및 실시간 대응력 강화

 

글로벌 통합보안 기업인 안철수연구소(대표 김홍선 www.ahnlab.com, 약칭 안랩’) 23 V3 관련 신기술인 정상 파일 데이터베이스 제공 시스템 및 방법이 특허를 획득했다고 발표했다. 이 기술은 V3 제품군에 탑재된 클라우드 컴퓨팅 개념의 기술인 스마트 디펜스’(AhnLab Smart Defense)에 적용돼 있다(보충자료).

 

어떤 파일이 악성코드에 감염됐는지 여부를 진단하는 기술에는 크게 블랙리스트 방식과 화이트리스트 방식이 있다. 블랙리스트 방식은 악성코드에 감염된 파일 DB를 근거로 하는 데 반해 화이트리스트 방식은 정상 파일 DB(데이터베이스)를 근거로 검사 대상 파일의 감염 여부를 진단한다. V3 제품군은 블랙리스트 방식을 기반으로 악성코드를 진단했지만 최근 화이트리스트 방식을 추가함으로써 진단의 정확성을 높이고 오진 가능성을 최소화했다.

 

이번 특허 기술은 악성코드에 감염되지 않은 안전한 자사의 격리된 환경에서 정상 파일 DB,  화이트리스트를 생성한 후, 이를 인터넷으로 사용자 PC에 제공하는 기술이다. 이로써 정상 파일 DB의 신뢰성을 높일 수 있으며, 서버에서 정상 파일 DB를 생성해 클라이언트 PC로 전달하기 때문에 개별 PC의 부하를 줄여준다.

 

이는 사용자 PC의 안전 여부가 불확실한 상황에 대응하기 위한 기술이다. 기존 악성코드 진단/치료 프로그램의 정상 파일 DB PC 내에서 작성되기 때문에, 작성 당시 PC 내에 신종 또는 미진단 샘플이 있으면 악성 파일이 정상 파일로 설정되는 문제점이 있다. 또한, 정상 파일 DB는 엔진 업데이트 주기에 맞춰 재구성되기 때문에 엔진 업데이트 전에 미진단 및 신종 악성코드에 감염된 파일이 정상 파일로 설정되는 경우도 있다. 더욱이 최근 악성코드 급증에 따라 엔진 업데이트 주기가 짧아지고 DB의 재구성 빈도가 높아져 이로 인한 위험성도 높아졌다.

 

이번 특허 기술은 이런 문제점을 해결한 것이다. 안철수연구소는 이번 특허 기술을 적용한 스마트 디펜스 신기술을 개발해 V3 제품군에 탑재함으로써 급증하는 신종 악성코드에 대한 사전 대응력을 높였다. 이로써 사용자는 더욱 향상된 보안 기술로 안전한 IT 환경을 누릴 수 있다.

 

안철수연구소는 또한 같은 날 온라인 금융 보안 솔루션인 AOS Anti-Keylogger’에 탑재된 기술인 '키보드의 상태 레지스터를 이용한 키로거(키로그 해킹용 악성코드) 탐지 및 방어방법, 장치 및 그 방법을 수행하는 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체'도 특허를 획득했다.

 

---<보충 자료>---------------------------------------------------------------------------------------------------------------

*‘스마트 디펜스’소개

스마트 디펜스’(AhnLab Smart Defense) 기술은 기존에 악성코드에 대한 모든 데이터를 PC로 다운로드(엔진 업데이트)한 후 PC에서 처리하던 방식과 달리 클라우드 컴퓨팅 개념을 이용한 새로운 기술이다. , 대규모 파일 정보 DB를 중앙 서버에서 관리하며, PC에 설치되어 있는 ASD 엔진에서 파일의 악성 여부에 대해 문의하면 이에 대해 응답을 해주는 방식이다.

이 기술의 적용으로 안철수연구소는 신종 악성코드에 대한 사전 대응력을 높이고, V3의 엔진 사이즈 증가 이슈를 해결하는 한편, 오진 대응을 위한 검증 시스템을 구축하게 됐다.

 

■ 신종 악성코드에 대한 사전 대응

ASD DB를 분석해본 결과 대부분의 악성코드는 일반 프로그램과 달리 악성코드만 가지고 있는 특징이 존재했다. 이에 따라 악성코드만 가지고 있는 특징을 DNA (Rule)로 만들어 놓아 향후 발생할 수 있는 신종, 변종 악성코드가 동일한 특징이 있을 경우 자동 사전 검출이 가능해짐에 따라 기존 제품이 가진 사후 처리 방식의 한계를 극복할 수 있다.

 

 V3 엔진 사이즈 증가 이슈 해결

하루에도 수천, 수만 개의 악성코드가 발생하기 때문에 보안 솔루션의 엔진 사이즈도 지속적으로 증가하고 있다. DNA 스캔 방식을 사용하면 하나의 DNA 룰만으로 수천 개의 악성코드를 탐지할 수 있다. 이에 따라 엔진 사이즈 증가가 거의 없는 상태에서도 높은 진단율을 유지하게 된다.

 

■ 오진 대응을 위한 검증 시스템 구축

일반적인 휴리스틱 진단 방식은 분석가의 지식에 의해 방식이 추가되고, 기본적인 화이트리스트 테스트를 통해 배포될 수밖에 없다. 이에 따라 대규모의 화이트리스트에 대한 검증에는 시간이 오래 걸리므로 오진에 취약하다. DNA 스캔의 경우 악성코드의 패턴을 생성할 때마다 수백억 개의 정상 파일 DNA와 매칭한 후 이상이 없을 때만 배포함으로써 사전 진단율은 높이면서도 오진의 위험도는 극적으로 낮추는 엔진의 개발이 가능해졌다. <Ahn>