안랩(대표 김홍선)은 자사 악성코드 분석자동화시스템인 ‘아레스(AhnLab Researcher's analysis Environment System)’에 적용된 신기술인 ‘악성코드 자동판별 장치 및 방법’이 국내 특허를 획득했다고 27일 밝혔다.
‘아레스’는 실행 가능한 악성코드 행위 기반 데이터를 추출, 분석 보고서 출력 및 악성 여부를 판별해 진단 시그니처를 추출하는 일련의 과정을 자동 처리하는 시스템이다. 아레스에 적용된 특허기술은 기하급수적으로 늘어나는 악성코드 샘플을 모두 분석하지 않아도 새로운 악성코드를 자동 분류해 판별할 수 있다. 이를 통해 악성코드 처리율과 분석량, 대응력을 향상시켜준다.
특허 획득으로 안랩은 ‘트러스와처’와 V3 등 자사 제품 사용자에게 급증하는 신종 악성코드에 대해 높아진 실시간 대응력을 제공하게 됐다. ‘트러스와처’는 지능형지속가능위협(APT) 공격 대응용 네트워브 보안 장비로 세계 최초로 악성문서 검증 기술인 DICA(Dynamic Intelligent Contents Analysis)를 탑재했다.
악성코드 진단을 위해 기존에는 발견된 악성코드 샘플을 수집해 악성코드 특유 문자열을 추출하고, 문자열이 특정 컴퓨터 파일 등에 존재하는지 악성코드 감염 여부를 판단했다.
그러나 이 방법은 새로운 악성코드 정보가 보안 프로그램에 추가되기 전에는 대비가 불가능하다는 것이 문제였다. 많은 수의 악성코드 검사를 위해서는 각 각 문자열을 구비해야하는 것은 물론 소요시간도 지속적으로 증가할 수 밖에 없었기 때문이다.
관련기사
- 스마트폰 악성코드 방지 10계명2012.03.27
- 보안위협 탈출...'악성코드 네트워크' 잡아라2012.03.27
- 스턱스넷 악성코드 '듀큐' 변종 등장2012.03.27
- 안랩, 웹 악성코드 감염 사전차단 기술 특허2012.03.27
특허기술은 코드의 행동에 따라 악성여부를 판별한다. 분석대상 파일을 실행해 동작을 관찰하고 메모리 이미지를 생성하는 것이다. 관찰된 동작을 동적 분석룰과 비교해 악성코드에 포함된 문자열과 데이터를 정적분석룰과 비교해 악성코드 유무를 판별한다. 또한, 동적 데이터가 없는 파일도 정적 분석을 통해 악성코드 판별을 할 수 있으며, 은폐 및 인젝션 기법을 사용하는 악성코드도 판별 가능하다.
조시행 안랩 연구소장은 “점차 지능화하는 각종 보안 위협에 대응하려면 자체 개발한 솔루션은 물론 24시간 365일 멈추지 않는 실시간 대응 인프라가 필수적”이라면서 “안랩은 악성코드 및 해킹 위협에 대응하는 시큐리티대응센터(ASEC)와 침해사고대응센터(CERT), 분석자동화시스템(ARES) 등의 기술 체계를 강화해 글로벌 기업의 위상을 높여나가겠다”고 밝혔다.