안연구소, 은폐형 악성코드 진단 기술 특허 획득

일반입력 :2009/11/02 10:17

이설영 기자

안철수연구소(대표 김홍선)는 2일 '커널 모드의 악성 행위 검출 시스템 및 그 방법'이 특허를 획득했다고 발표했다.

이 특허 기술은 운영체제(OS)의 기반이 되는 영역이라 할 수 있는 커널 모드에서 동작하는 악성코드를 진단하는 기술이다. 기업 PC용 통합백신인 'V3 인터넷 시큐리티 8.0'에 첫 탑재된 '트루파인드' 기술의 핵심으로서 최근 자주 출몰하는 은폐형 악성코드를 완벽하게 진단·치료할 수 있다. 추후 무료백신 'V3 라이트', 유료 보안 서비스인 'V3 365 클리닉'에도 탑재될 예정이다.

과거에는 대부분의 악성코드가 응용 프로그램 형태로 동작하거나 특정 응용 프로그램을 감염시켰다. 최근에는 커널 모드에서 동작하는 악성코드가 다수 등장하는 추세다. 이런 악성코드는 OS의 구조 중 아랫단에 저장되기 때문에 보안 제품으로 진단·치료하기가 어렵다. 특히, 커널 모드 내에 있는 배정 함수 주소를 변경하는 은폐형 악성코드는 진단·치료가 더욱 어렵다.

이에 대한 대책으로 지금까지 대부분의 국내외 백신은 악성코드에 의해 변경된 커널 모드 내 배정 함수 주소에 대해 악성코드의 실행 명령을 분석해 원본 함수 주소를 찾아내고 이를 다시 커널 모드에 저장하는 방법으로 대응했다. 그러나, 이는 많은 시간이 소요되며 정확한 대응이 어렵다는 한계가 있다.

이번 특허 기술은 이런 문제점을 해결하기 위해 가상 실행으로 산출된 배정 함수 주소를 토대로 실제 커널 모드의 구동에 따른 함수 주소의 변조 여부를 확인하고 이를 복구해준다. 가상 실행 환경을 적용하기 때문에 실제 실행 중인 컴퓨터 환경에는 아무런 영향을 주지 않고 안정적으로 동작한다

관련기사

이번 특허 기술이 탑재된 'V3 인터넷 시큐리티 8.0'은 'V3 뉴 프레임워크'가 적용돼 이전 버전에 비해 악성코드 검사 속도가 약 2배 빨라졌고, 메모리 점유율은 절반 이하로 줄었다.

컴퓨터에 불필요한 프로그램 또는 악용 소지가 있는 프로그램의 실행을 사전에 차단하는 '블랙리스트 차단 기술'과, 최근 자주 출몰하는 악성 루트킷과 같은 은폐형 악성코드를 완벽하게 진단·치료할 수 있는 '트루파인드' 기술이 탑재됐다.