이메일 기반 좀비PC·봇넷 탐지 기술도 개발...상용화 진행 중

[보안뉴스 김태형] 악성코드 경유·유포지에 대한 자동 탐지와 분석기술이 상용화돼 웹사이트 보안강화에 큰 효과를 보고 있는 것으로 나타났다.  

한국인터넷진흥원(KISA, 원장 이기주)은 18일 코엑스인터컨티넨탈호텔에서 개최된 ‘2013 지식정보보호산업인의 밤’ 행사에 앞서 개최된 ‘2013 정보보호 세미나’에서 R&D과제로 개발한 ‘악성코드 경유/유포지 탐지 및 자동분석 기술’과 ‘이메일 기반 좀비PC/봇넷 그룹 탐지 기술’을 수요처별로 적용해 상용화했다고 밝혔다.

이날 세미나에서 발표를 진행한 이창용 KISA 선임연구원은 “악성코드 대응기술과 관련된 연구개발 결과, 악성코드 대부분이 웹사이트를 통해 전파되고 있으며 특히 Drive-by Download 기법으로 전파되고 있다”라고 설명했다.

그는 또한 “자바, IE, 플래시 등의 제로데이 취약점을 이용해 악성코드가 전파되는 경우가 많아 심각한 피해가 우려되고 있어 악성코드 유포지를 찾아 대응하는 것이 가장 좋은 방법이라고 판단했다. 사실 악성코드 유포지는 직접 방문해 보기 전에는 악성인지 아닌지 판단하기가 어렵고 실질적으로 시간·비용적인 측면에서 불가능한 방법”이라고 말했다.

이에 KISA는 이를 자동화하는 기술을 개발했다. 다중 브라우저 및 멀티프레임을 이용한 대규모 웹사이트 고속 방문 기능을 구현해 악성여부를 고속으로 동시 판별이 가능해진 것.

이창용 선임연구원은 “이 기술은 상관분석을 통해 악성사이트를 고속으로 판별하는 기술로 올해 1월 1일부터 지난 10월 31일까지 국내 등록된 180만개 웹사이트 대상으로 테스트를 진행한 결과, 악성URL 5,520개를 탐지했다. 주로 쇼핑몰과 웹하드 사이트가 대부분이었다”고 말했다.

아울러 KISA는 ‘이메일 기반 좀비PC/봇넷그룹 탐지 기술’도 개발했다. 2012년 기준으로 한국악성코드 감염율 세계 1위를 기록했다. 전 세계 스팸메일의 65%는 좀비 PC에서 발송된다는 점에 착안해 이 기술을 개발했다.

이 선임은 “상용 포털사이트의 적용을 통해 대량의 좀비PC 탐지 조치와 대규모 봇넷 그룹 및 주요 광고사이트의 탐지가 필요하다고 판단해 이메일 기반의 좀비PC와 봇넷 그룹의 탐지기술을 개발하게 됐다”면서 “이는 이메일 스팸 대부분이 좀비PC에 의해 발송되기 때문에 이러한 이메일 분석을 통해 좀비IP를 탐지할 수 있다”고 설명했다.

KISA는 이 기술을 활용해 상용 이메일 서버에 적용한 결과, KISA 이메일 서버에 유입된 스팸메일 분석결과 약 75%의 좀비 IP를 탐지했다. 일 평균 2만건의 스팸 메일 중 천여개의 IP를 좀비 PC로 탐지한 것이다.

KISA는 이러한 기술을 각 수요처별로, 스팸차단 솔루션 및 백신 분야 등의 보안 업체, 공공기관, 그리고 포털사 등에 적용해 상용화하고 있다.

[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>