[알아봅시다] 악성코드 탐지에 프로파일링 접목

입력: 2015-12-02 18:21 이재운 기자

폰트

악성코드 분류기준 '유사성'으로 단일화
패턴 탐지 회피하는 변종까지 식별 가능
하루 100만개 변종… 연 3조6000억원 손실 추산
윈도 API 수집 → 그룹화 분류 → 악성코드 필터링
사이버 침해사고 원인 파악·대응책 강화에 효과

3·20, 6·25 사이버 테러를 기억하십니까? 금융기관이나 언론사, 공공기관 등을 공격해 업무를 마비시키고 정보를 유출하는 등 악성코드로 인한 피해가 증가하면서 각종 조사·대응 기법도 다양해지고 있습니다. 특히 악성코드도 유형이 있다는 점에서 착안해 마치 범죄자의 행적을 조사하듯 분류를 통해 대응방안을 모색하는 프로파일링(Profiling)기법이 도입되고 있습니다.

프로파일링은 비슷한 유형의 범죄를 저지른 사람들은 공통되는 성격과 특성을 공유한다는 점에서 발달한 수사 기법입니다. 기존의 악성코드 분석 방식은 기술과 정책 상의 한계로 수동으로 이뤄지고 있는데, 변종이 하루 평균 100만개씩 등장하는 상황에서 한정된 숫자의 전문가가 이를 수행하는데 한계가 명확합니다. 그래서 보다 실용적인 자동분석 기술이 필요했고, 그래서 악성코드 등장 시 유형 별로 자동 분류할 수 있는 프로파일링 기술이 개발됐습니다.

한국인터넷진흥원과 한양대, 모니터랩 등이 지난해 5월부터 공동으로 개발한 이 기술은 대규모 악성코드의 행위기반 프로파일링을 통한 유사도 분석으로 유사·변종 악성코드에 대한 신속한 자동 분류 기능을 제공합니다.

악성코드별로 보이는 행위를 기반으로 한 프로파일 정보를 생성하기 위해 악성코드 실행 시 호출하는 운영체제(OS)인 윈도의 API 정보를 수집하고, 유사·변종 악성코드 탐지를 위해 행위 프로파일 기반 1:1이나 다수 대 다수 분석·비교를 통해 동일한 유형의 악성코드를 자동으로 그룹화해 분류합니다.

이후 각각의 그룹을 대표하는 악성코드를 고른 뒤 연관도가 낮은 악성코드를 필터링하는 방식으로 정리를 완료합니다.

기존 기술과는 어떤 차별성이 있을까요? 이 기술은 대량의 악성코드에 대한 악성코드간 유사성, 관계의미 분석 등 주기적으로 자동 분류, 백신사별로 상이한 악성코드 분류 기준을 악성행위 프로파일 정보의 유사성으로 단일화했습니다. 다시 말해 특정 패턴(시그니처) 기반 탐지를 회피하기 위해 일부 코드만 수정하는 방식의 변종 악성코드가 갖는 특성을 고려, 유사한 정도를 파악해 유사·변종 탐지가 가능해지는 것입니다. 여기에 백신 개발업체 별로 진단 기준이 달라 발생했던 기존 분류체계의 문제점을 넘어 악성행위 프로파일 정보의 유사성을 기반으로 한 분류를 통해 객관적인 기준을 제시할 수 있는 효과도 있습니다.

이 같은 기술 개발로 인해 우선 관심대상 공격자의 공격 등과 같은 민감한 유사 공격에 대한 신속한 원인 파악이 가능해집니다.

북한 등 특정 지역 세력이 시도하는 공격을 비롯해 요주의 대상으로부터 유입되는 악성코드를 신속하게 식별할 수 있어 대응의 우선순위를 결정하는데 큰 도움을 줄 수 있습니다. 인터넷진흥원은 보다 빠른 분석을 통해 공격 세력의 정체를 파악하는 것은 물론 원인 분석에 걸리는 시간을 단축해 유사하거나 연관성이 있는 침해사고에 대한 대응책을 보완하고 강화할 수 있게 되는 장점이 있다고 설명합니다.
인터넷진흥원의 악성코드 분석 담당 팀이 현재 이 기술에 대한 검증을 진행 중이며, 향후 침해사고 정보공유 시스템(C-TAS)과의 정보공유 추진을 통한 침해사고 대응과 분석에 활용할 계획입니다. 프로파일링 기술은 국내는 물론 미국에서도 실전 적용을 앞두고 있습니다. 미국 국방부 산하 방위고등연구계획국(DARPA)는 수집한 악성코드 샘플을 유사점에 따라 묶어 고유의 특성을 가진 데이터베이스(DB)로 구성하는 작업을 진행 중입니다.

인텔시큐리티가 지난해 조사한 바에 따르면 사이버 침해사고로 인한 세계적인 경제 피해 규모는 연간 최고 5750억달러(약 665조8500억원)에 이릅니다. 국내에서도 사이버 침해사고에 따른 경제적 피해규모가 연간 3조6000억원 수준으로 추산됩니다.

이는 자연재해로 인한 피해규모인 1조7000억원의 두 배를 상회하는 수치입니다. 사물인터넷(IoT)과 5세대 이동통신 시대를 맞아 세계는 초연결사회로 가고 있습니다. PC뿐 아니라 서버와 스마트폰, 심지어 가전제품까지도 인터넷에 연결되며 동시에 보안 위협에 노출돼 있습니다.

최근 3년 동안 악성코드 유포시도는 3.6배 이상 증가했고, 새로운 보안 취약점도 2.4배 이상 보고됐습니다. 랜섬웨어와 같은 새로운 유형의 공격도 점차 증가하고 있습니다. 늘어만 가는 사이버 공격에 대응하기 위해서라도 프로파일링 기법의 실전 적용은 시급한 상황입니다.

인터넷진흥원은 이 기술을 모니터랩, 윈스 등 민간 보안업체에 이전해 사업화를 지원하고 있습니다.

이재운기자 jwlee@dt.co.kr

도움말=한국인터넷진흥원

서울특별시 중구 새문안로22
☎ 02) 3701-5500
등록번호 : 서울 아01699
등록일자 : 2011.07.15
발행일 : 2000.03.03
발행인/편집인 : 박학용

[알아봅시다] 악성코드 탐지에 프로파일링 접목

이 시간 핫클릭

핫 이슈!