문서 등 비실행 파일 내 악성코드 유무 검사...APT 공격 효과적 대응

[보안뉴스 김태형] 글로벌 정보보안 기업인 안랩(구 안철수연구소, 대표 김홍선 www.ahnlab.com)은 13일 APT(Advanced Persistent Threat, 지능형지속보안위협) 대응 솔루션 ‘트러스와처(해외제품명 AhnLab MDS)’에 탑재한 기술이 특허를 획득했다고 밝혔다.

이번 특허 기술은 워드, 아래아한글, PDF, 플래시 플레이어, 문서 및 스크립트 등의 비실행 파일이 악성코드를 포함하고 있는지를 악성코드가 실행되기 전에 신속하고 정확하게 검사할 수 있는 기술이다.

따라서 악성 비실행 파일의 취약성을 이용한 APT 공격을 효과적으로 방어할 수 있다. 안랩이 세계 최초로 개발해 ‘트러스와처’에 탑재한 ‘DICA(Dynamic Intelligent Contents Analysis) 기술’의 핵심 요소이다.

특허 기술명은 ‘디버그 이벤트를 이용한 악성 쉘 코드 탐지 장치 및 방법’이다. 응용 프로그램 동작 시(원래 실행 가능한 영역이 아닌) 메모리 영역에서 일어나는 비정상적인 코드의 실행 여부를 판별해내는 것이 이번 특허 기술의 특징이다.

트러스와처에는 이번 특허 기술 외에 다양한 기술이 탑재되었다. 시그니처 기반 분석 엔진, 행위 기반 분석 엔진, 동적 콘텐츠 분석 엔진으로 다차원적인 악성코드 분석/탐지를 제공하는 것이 강점이다.

최근에는 메모리 보호 기능을 우회하는 ROP 공격(Return-Oriented Programming)을 포착해내는 신기술을 탑재했다. 이는 제로데이 공격(보충설명3)도 놓치지 않고 감지하는 세계적으로도 앞선 기술이다. 이 기술력을 인정 받아 세계적 권위의 정보보안 어워드인 ‘인포 시큐리티 글로벌 엑설런스 어워드’에서 ‘신제품 출시(New product launch)’ 부문 동상을 수상하기도 했다.

안랩 CTO 조시행 전무는 “안랩은 APT 공격을 효과적으로 방어하는 글로벌 수준의 원천 기술을 보유했다. 앞으로도 국내는 물론 글로벌 시장을 이끌어가는 혁신 기술을 끊임없이 개발해나가겠다”라고 강조했다.

한편, 안랩은 창립 이래 연구개발에 적극 투자해 혁신 기술 개발을 선도해왔다. 현재까지 유효한 누적 특허 획득 건수가 134건으로 국내 보안 소프트웨어 업계 중 최고 기록을 보유하고 있다. 해외에서는 PCT(보충설명4) 국제 출원 58건, 국가 별 출원 21건으로 국내뿐 아니라 해외에서도 세계적 소프트웨어 기업들과 어깨를 나란히 하고 있다.

*디버그(debug)란 디버깅되고 있는 프로세스에서 발생하는 모든 이벤트를 말하며, 시스템에 의해 디버거에 전달되고 그 종류가 다양하다. 응용 프로그램이 동작할 때 간혹 예외적으로 메모리 영역에서 코드가 실행되는 경우가 있다. 메모리는 원래 실행 가능한 영역이 아니므로, 메모리에서 코드가 실행되는 것은 비정상적이다.

이 때 발생하는 디버그 이벤트를 이용해 비실행 파일에 악성코드가 있는지 여부를 검사하는 것이 이번 특허 기술의 특징이다.

*ROP(Return-Oriented Programming) 공격 기법은 운영체제(OS) 메모리 상에 존재하는 정상 코드 조각들을 조합해 악의적인 공격 코드를 실행시키는 방법. 최근 APT 공격에 많이 이용된다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>