• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

CISO 뉴스

보안 제품정보

카이스트 사이버보안연구센터, AI/XAI 기반 문서형 악성코드 탐지 ‘DocScanner’ 개발 2023.07.19

최근 기승 부리는 문서형 악성코드 탐지에 최적화...엔키와 기술이전 MOU
KAIST CSRC 정동재 팀장이 이끄는 연구팀, 지능형 문서형 악성코드 탐지 기술 개발

[보안뉴스 원병철 기자] 최근 문서형 전자 파일에 악성코드를 교묘히 삽입해 이메일 또는 메신저 등의 경로를 통해 무작위로 유포되는 문서형 악성코드가 지속적으로 증가하고 있으며, 코로나19 펜데믹 및 사회적 중요 이슈 등을 이용한 사회공학적 공격 기법 기반의 정상 전자문서를 위장한 지능적이고 정교화된 내부침투형 문서형 악성코드가 폭발적으로 증가하고 있어 사용자들의 주의가 요구된다.

▲AI/XAI 기반 문서형 악성코드 탐지 ‘DocScanner’[이미지=카이스트 CSRC]


이는 전자문서의 보안체계가 상대적으로 취약하다는 점을 이용해 이를 악용해 우회하려는 목적으로 전자문서에 악성코드를 은닉해 유포하는 사례가 빈번하게 발생하고 있으며, 이는 사회적으로 큰 문제가 되고 있다.

이에 카이스트 사이버보안연구센터(센터장 차상길, CSRC)의 정동재 팀장이 이끄는 연구팀은 정밀한 전자문서 분석으로 전자문서의 정보를 식별/추출/분석을 통한 인공지능 기술 기반 지능형 문서형 악성코드 탐지 기술을 개발했다. 이 기술을 통해 주요 정보를 실시간으로 분석 및 탐지하고, 사회공학 공격 기법 기반 내부침투형 문서형 악성코드를 사전에 탐지해, 내부 정보자산 보호 및 보안사고를 선제적으로 차단할 계획이다.

AI/XAI 기반 문서형 악성코드 탐지 ‘DocScanner’는 크게 세 가지 기술로 동작한다. 첫 번째 ‘고속·경량화 전자문서 능동형 역공학 기술’은 다양한 전자문서를 실시간 분석하고, 네트워크 흐름의 지연을 최소화할 수 있는 고속·경량화한 전자문서 범용 포맷 파서를 이용해 악성코드 삽입 영역 및 위험 인자 영역을 식별하고, 식별된 영역의 위험 인자를 분석하기 위한 난독화(복호화) 능동형을 해제해 각 위험 인자의 형태 분류 및 인덱싱하는 기술이다.

두 번째 ‘AI 기반 문서형 악성코드 탐지 및 능동형 대응 기술’은 정적분석 기술로 식별 및 추출된 악성 인자에 대한 위협 판단, 기계학습 및 자가학습 기반의 탐지 정확성 고도화 기술이다.

세 번째 ‘AI 및 인텔리전스 기반 위협 판단 자가 진화형 학습 기술’은 지속적으로 고도화 및 지능화되는 문서형 악성코드의 효과적인 탐지와 선제적으로 사이버 위협에 방어할 수 있도록 개발된 AI 및 인텔리전스 기반의 위협 판단 자가 진화형 학습 기술이다.

전자문서는 배포의 용이성을 위해 전자문서를 구성하는 각각의 콘텐츠들을 압축해 효율적으로 저장하고, 콘텐츠의 보호 및 변조 방지를 위해 난독화 기법을 사용하는데, 공격자들은 압축 및 난독화 기법을 이용해 악성코드를 은닉하여 유포하고 있으며, 이러한 기법이 적용된 전자문서는 정보가 은닉되어 있어 현재의 악성코드 탐지 기술로는 분석이 어려운 실정이다. 또한, 전자문서는 각각의 콘텐츠마다 적용된 압축 및 난독화 기법이 다르기 때문에 더욱 분석이 어려우며, 이러한 압축 및 난독화 기법을 해제해 전자문서 내에 존재하는 악성코드를 식별/추출/분석하기 위해서는 고도의 전자문서 파싱 및 분석을 통한 콘텐츠 추출 기술이 필요하다.

아울러 해당 기술은 문서형 악성코드를 탐지하기 위해 식별 및 추출된 악성 인자 정보의 AI 기반 학습을 통해 매우 높은 악성코드 탐지 정확도를 보인다는 특징이 있다. 특히, XAI 기술을 적용해 탐지 결과에 대한 신뢰성을 높이고, 근거를 제공함으로써 어떤 인자 정보의 영향을 많이 받았는지에 대한 분석이 가능하다.

KAIST 사이버보안연구센터는 엔키와 ‘문서형 악성코드 분석 및 탐지 기술’의 기술이전에 대한 협약을 체결했으며, 향후 지속적인 협력 및 기술 노하우 전수를 위한 업무협약(MOU)을 맺을 예정이다.

또한, 현재 기술을 바탕으로 향후 고도화 추진 계획도 세우고 있다. 먼저 비실행형 전자파일의 경우 문서형 악성코드 이외에도 이미지, 설계문서 등 다양한 비실행형 악성코드를 대상으로 분석 및 악성코드 탐지 기술을 개발할 계획이다. 또한, 악성코드 탐지뿐 아니라 전자문서에 개인정보나 조직 기밀정보의 암호화를 통해 주요 정보를 은닉해 유출하는 공격을 대상으로 은닉 정보를 식별/추출/분석해 정보 유출을 탐지하는 기술을 개발할 계획이다.

마지막으로 엔키와 함께 현재 문서형 악성코드 시스템의 기능 및 성능 고도화를 통해 문서형 악성코드 탐지 솔루션을 SaaS 방식의 탐지/분석 서비스, 웹서비스/자료전송/메일서비스 등의 악성문서 차단 서비스로 발전시켜 상업화를 추진할 계획이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>