악성코드 분석•네트워크 보안 기술이 융합된 보안 솔루션

 
트러스와처(AhnLabTrusWatcher)는 점차 정교해지는 APT 방식의 보안 위협에 대응할 수 있는 네트워크 보안 장비로, 안랩이 20년 이상 축적한 악성코드 분석 기술과 네트워크 보안 기술이 융합돼 최상의 시너지 효과를 발휘한다.

 
Feature 1. 다차원적 악성코드 분석 및 탐지 제공

트러스와처는 시그니처 기반 분석엔진, 행위기반 분석엔진, 동적 콘텐츠 분석엔진 등 세가지 주요 악성코드 탐지 기능을 통해 다차원적인 악성코드 분석 및 탐지를 제공한다.

트러스와처는 최초로 수집한 파일을 안랩의 클라우드에 저장된 방대한 악성코드 정보를 통해 파일의 악성여부와 평판 정보를 확인하는 시그니처 기반 분석을 실행한다. 이후 알려지지 않은 실행파일을 가상 OS 상에서 가동시켜 다차원 행위기반 분석을 진행한다.

행위 기반 분석은 실행파일의 단순 개별 행위를 분석하는 것뿐만 아니라 관련 파일과 접속하는 URL/IP의 위험도, 평판 정보 및 종합적 행위를 다차원적으로 분석해 악성코드를 보다 정교하게 분석한다. 이러한 행위기반 분석을 위해 트러스와처는 20개의 가상 OS를 제공하며, 이를 통해 더욱 신속하게 분석 작업을 진행할 수 있다.

동적 콘텐츠 엔진(DICA, Dynamic Intelligent Contents Analysis)은 악성문서 파일을 정밀 검사한 후, 지능적 탐지 알고리즘을 통해 차단하는 방식이다. 즉, 문서 및 비실행 파일을 별도의 동적 콘텐츠 분석과정을 통해 일반 파일(non-PE, 비 실행 파일)들의 제로데이 취약점*을 동적으로 분석한다.

* 제로데이 취약점; 소프트웨어의 보안 취약점을 공격하는 기술적 위협으로, 해당 취약점에 대한 소프트웨어 제공사의 패치가 나오지 않은 시점에서 이루어지는 공격을 말한다.

Feature 2. 악성코드 감염 파일에 대한 신속•정확한 대응 및 오진 최소화

트러스와처는 2단계 정밀 분석 검증 시스템을 구축해 적용하기 때문에 악성코드 감염 파일에 대한 진단 정확도가 탁월하다.

우선 클라우드 기반 악성코드 분석 시스템인 ASD(AhnLab Smart Defense) 기술을 활용해 1차 분석을 실행한다. ASD엔 2억 개 이상의 악성 및 정상 파일 정보가 수록돼 있어 악성 파일 탐지 정확도가 높다. 이는 경쟁 제품과는 다른 트러스와처만의 독보적인 기능이다.

2차 분석 단계에선 솔루션에 내장된 가상 머신(virtual Machine) 기반 기술을 통해 악성 파일의 행위를 분석한다. 1차 분석에서 미처 탐지되지 않은 새로운 파일을 가상 머신에서 실행한 뒤, 해당 파일이 레지스트리 값 변경, 파일 삭제 및 생성 등 이상 행위를 하는지 검증하는 방식이다. 이를 통해 오탐율을 낮출 수 있다.

또한 트러스와처는 효율성을 높이기 위해 엔진별 탐지 성능 차이를 토대로 분석 샘플 종류를 블랙리스트(blacklist) 기반, 화이트리스트(whitelist) 기반, 그레이리스트(graylist) 기반으로 구분한 뒤, 이에 따른 분석 엔진을 탑재했다. 아울러 전통적인 시그니처 기반의 악성코드 탐지 기술과 최신 기술을 적재적소에 배치해, 실제 위협 상황에서 효율적이고 신속•정확한 대응을 할 수 있다.

Feature 3. 신종악성파일 탐지 및 APT 방어 신기술

트러스와처에는 안랩이 세계 최초로 개발한 ‘동적 콘텐트 엔진(DICA, Dynamic Intelligent Contents Analysis) 기술’이 탑재됐다.

최근 이뤄지는 APT 공격엔 다양한 형태의 악성코드가 활용된다. 특히 초기 침입 단계에선 탐지가 거의 안 되는 악성 문서 파일을 이용한 공격이 증가하고 있다. 악성코드가 문서 파일에 포함돼 있을 경우, 파일을 변경해 손쉽게 변종 악성코드를 만들 수 있고, 기존의 행위기반기술로도 탐지가 힘들다.

이 솔루션에 탑재된 동적 콘텐츠 엔진은 워드, 아래아한글, PDF 등 각종 문서 리더 및 편집기를 비롯해 플레이어나 웹브라우저의 취약점을 이용해 전파되는 문서 및 스크립트 악성 파일을 효과적으로 검출해낸다. 또한 향후 발견될 취약점을 이용한 변종 악성 파일에도 대응한다. 현재 최대의 보안 위협인 APT 공격을 아예 초기 단계에서 원천 차단해 주는 엔진이다.

Conclusion
트러스와처는 안랩이 실제 사이버 재난의 실전 대응 경험을 통해 축적한 역량과 기술, 대응 시스템과 프로세스를 종합해 신개념 보안장비로 구현한 솔루션이라는 점에서 의미가 크다

최근 APT 방식의 보안 위협은 더욱 정교화하고 특정 타깃을 노리는 방향으로 진화하고 있다. 트러스와처는 점차 정교해지는 APT 방식의 보안 위협에 대한 대응 역량을 한층 더 강화하기 위해 악성코드 탐지 성능, 분석 기능 향상 등 지속적으로 진화하고 있는 솔루션이다.

김보위 기자
저작권자 © 데일리그리드 무단전재 및 재배포 금지