Q. 최근 APT 공격을 목적으로 만들어진 악성코드를 안티 바이러스 솔루션으로 사전 대응하지 못하는 이유는 무엇인가? 안티 바이러스 기술 중 행위기반의 바이러스 탐지 기능은 APT 악성코드에 어느 정도까지 대응할 수 있는지 궁금하다. 또한, APT 공격을 최소화할 수 있는 최근 안티 바이러스 기술이 있다면 소개를 부탁한다.

A. 대부분의 안티바이러스 업체들은 신종 악성코드가 배포되면 안티바이러스 벤더사에서 해당 악성샘플을 수집, 분석 후 업데이트 패턴을 내놓는 프로세스를 따르고 있다.

악성코드 제작자들은 공격대상 안티바이러스 제품에서 제작한 악성파일을 탐지하는지 먼저 테스트해 미리 미탐지 되는 것을 확인하고 배포하게 된다. 안티바이러스 제품의 주요 탐지 방식은 수집된 악성코드의 특정 지문과 같은 부분을 이용해 탐지하게 된다. 해당 탐지방식을 시그니처 기반 탐지방식이라고 하며 기존에 알려진 악성코드에 대해서는 탐지가 되나 알려져 있지 않는 신종 악성코드는 안티바이러스 벤더사에 해당 샘플을 확보하지 못한 이상은 탐지가 되지 않는 단점이 있다.

해당 단점을 극복하고자 최근 메이저 안티바이러스 업체에서는 알려진 악성코드 뿐만 아니라 알려지지 않는 신종, 제로데이 악성코드에서도 탐지가 가능한 기술이 개발되고 있다. 이와 같은 진보된 기술은 크게 평판, 행위 기반의 탐지 방식을 사용한다. 평판 기반 탐지 방식은 파일을 실행하기 전에 해당 파일에 대한 정보를 안티바이러스사의 분석시스템에 보내서 안전한 파일인지 위험한 파일인지 평가한다.

행위 기반 탐지방식은 자체 가상환경에서 파일을 실제로 실행하여 악성행위를 하는지 감시하는 방식이다(가상환경에서 실행함으로 실제 PC환경에는 피해를 주지 않는다). 위 두 가지 평판/행위 기반 검사로 알려지지 않는 신종 악성코드도 방어하여 신종 APT 공격을 탐지를 최소화 할 수 있다. 최근에 악성코드들은 OS취약점뿐만 아니라 응용소프트웨어(MS오피스군, 한글 워드 프로세서, Adobe소프트웨어) 등의 취약점을 사용한다.

APT 공격을 최소화 할 수 방법은 안티바이러스 제품의 업데이트를 항상 생활화하고 OS 최신 업데이트 뿐만 아니라 응용소프트웨어도 항상 최신으로 업데이트하여 사용하는 것을 권장한다.

(허진성 한국산업기술보호협회 관제운영팀 연구원/iqsecurity@kaits.or.kr)

[민세아 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>