안랩이 워드나 HWP 또는 PDF문서에 악성코드가 숨었는지 가려내는 기술에 대해 특허를 취득했다.
안랩(대표 김홍선)은 지능형지속가능위협(APT) 대응 솔루션 '트러스와처 2.0(이하 트러스와처)'에 적용한 악성코드 탐지기술이 국내 특허를 획득했다고 11일 밝혔다.
이 기술은 '악성 파일 검사 장치 및 방법'에 대한 것으로 마이크로소프트 워드, 아래아한글, PDF, 플래시 플레이어, 문서 및 스크립트 등 자체 실행되지 않는(비실행) 파일이 악성코드를 포함하고 있는지 알아내는 방법을 다룬 것이다.
안랩에 따르면 특허 핵심은 다이내믹 인텔리전트 콘텐츠 어낼리시스(DICA)다. DICA는 비실행 파일의 '뷰어'나 편집기의 종류에 상관없이 악성 문서 파일을 검출하는 기술이다. 이를 활용하면 아직 알려지지 않은 취약점을 이용한 신종 악성 파일에도 대응할 수 있다.
DICA의 원리는 문서 뷰어나 편집기 프로그램이 정상 구동될 때의 메모리영역 범위를 파악하고, 이후 프로그램이 내부 명령어를 실행시 출력하는 주소가 앞서 파악된 범위를 벗어날 경우 악성코드가 포함된 것으로 판단하는 것이다. 이 경우 악성코드가 실행되기 전에도 그것을 탐지해 악성 비실행 파일의 취약성을 이용한 APT 공격을 방어할 수 있다고 회사측은 설명했다.
최근 APT 공격에는 다양한 형태의 악성코드가 활용되고 있다. 그 중에 탐지가 되지 않는 악성 문서 파일을 이용해 공격대상 PC에 대한 초기 침입이 이뤄진다. 기존 시그니처 기반 검사 방법은 대규모'시그니처 데이터베이스'를 갖춰야 가능해, 현실적으로는 악성 비실행 파일을 이용한 공격을 방어하기 어렵다.
또한 행위 기반 검사 방법은 설계 방법 등의 정보가 필요하기 때문에 오탐지와 미탐지 상황이 자주 발생한다. 안랩의 특허 기술은 이러한 문제를 해결하기 위해 개발된 것으로서 비실행 파일이 악성코드를 포함하고 있는지를 신속하고 정확하게 검사할 수 있도록 했다.
이 기술이 적용된 트러스와처는 시그니처 기반 분석 엔진, 행위 기반 분석 엔진, 동적 콘텐츠 분석 엔진 등 세 가지 주요 악성코드 탐지 기능으로 다차원적인 악성코드 분석 및 탐지를 제공한다.
관련기사
- 안랩, 보안업계 첫 매출 1천억 돌파2012.12.11
- 안랩 V3클릭 美 시장 공략 강화2012.12.11
- 안랩, 융합관제 사업 호조...전년비 50%↑2012.12.11
- 안랩, IT기반 에너지절감사업까지 진출2012.12.11
안랩 연구개발 총괄 조시행 전무는 안랩은 APT 공격을 효과적으로 방어하고 있다며 국내 특허 획득에 이어 미국 특허 출원을 진행해 국내외 APT 방어 솔루션 기술을 주도해나가겠다고 강조했다.
이 회사는 누적 특허 획득 건수가 114건으로 국내 보안 소프트웨어 업계 중 가장 많은 특허를 보유하고 있다. 해외에서는 특허협력조약(PCT)을 통해 국제 특허 50건을, 나라별로는 21건을 출원했다.
