[데이터넷] 인섹시큐리티(대표 김종광)는 국내 총판을 맡고 있는 조시큐리티의 악성코드 정밀 분석 솔루션 ‘조샌드박스(JoeSandbox)’의 심층 URL 분석 기능이 강화됐다고 20일 밝혔다.

조샌드박스는 정적에서 동적, 동적에서 하이브리드, 하이브리드에서 그래프 분석까지 자동화해 정교하고 정확한 심층분석 정보를 제공한다. 가상머신(VM), 베어메탈 노트북, PC, 휴대폰을 포함한 물리적 시스템과 연동·분석해 VM(가상환경)을 우회하는 악성코드 분석도 가능하다.

지능적인 피싱 탐지 우회 시도 인식

이 제품은 템플릿 이미지와 일치하는 이미지 영역을 찾는 디지털 이미지 처리 기술을 사용, 브랜드 이미지 탐지 회피 시도를 막는다. 대다수의 피싱 페이지는 위장하려는 브랜드와 로고 이미지를 사용하는데, 이를 탐지하기 위해 샌드박스는 피싱 프레임워크에서 자주 사용허는 디자인을 맵핑할 수 있는 대규모의 템플릿 데이터베이스를 사용해 이 시도를 막는다.

또 웹 페이지 이미지 등 캡처 데이터를 분석해 탐지하는 것을 넘어, 조샌드박스는 부분 해싱 이미지 처리 기술을 추가해 이미지 내 의미 있는 데이터와 블랙리스트를 쉽게 대조하기 위해 해시로 축약한다.

일부 피싱 페이지는 브랜드 이미지를 전혀 사용하지 않고 텍스트 혹은 이미지의 일부로 구성돼 있어 피싱 탐지 기술을 피한다. 조샌드박스는 광학식 문자 인식 기능을 적용하여 캡처된 스크린샷 내 텍스트를 인식한다.

일반적인 디지털 이미지 처리 기술은 매우 우수한 효과를 나타내지만 CPU에 많은 부하를 발생시키는데, 전체 분석 시간을 줄이기 위해 모든 데이터에 해당 기술을 적용하기 어려운 경우가 많다. 조샌드박스는 이런 경우를 위해 캡처 데이터와 매칭되는 대규모 야라룰(Yara Rule)과 행위기반 시그니처를 활용하여 빠른 분석을 지원한다. 이런 분석 방법은 빠른 속도와 이미지가 포함되어 있지 않은 피싱 페이지 탐지에 유용하게 사용된다.

숨겨진 링크 차단·자동 로그인 방지 지원

공격자들은 피해자에게 직접 링크를 보내는 대신 난독화 된 HTML 파일, 마이크로소프트 오피스 파일에 링크를 숨겨 샌드박스 분석을 피한다. 이 공격을 막기 위해서는 이메일 게이트웨이 등 분석 시스템에서 문서 열기와 다운로드, 클릭, 링크 연결 등 모든 행위를 자동화할 수 있어야 한다. 조샌드박스는 광범위한 사용자 행위 기반 시뮬레이션 엔진을 통해 이런 공격을 탐지하고 있다.

피싱페이지에 캡챠를 추가하면 기계적인 자동 공격 등이 최종 페이지 도달하는 것을 차단할 수 있다. 조샌드박스는 템플릿 매칭 및 수작업 시그니처를 통해 캡차로 보호되는 페이지까지도 탐지할 수 있다.

탐지를 회피하기 위해 일부 피싱 페이지는 방문자 접속 정보를 적용해 차단 정책을 사용한다. 특정 국가의 방문자만 페이지에 액세스할 수 있도록 하는데, 이 페이지는 방문자 IP 및 지역 조회 서비스를 사용하여 국가를 확인한다. 조샌드박스는 로컬라이즈 된 인터넷 익명화 기능을 통해 이러한 차단을 우회하며, 분석가는 분석 전에 특정 국가를 선택할 수 있으며, 분석하는 동안 모든 트래픽은 해당 국가를 통해 라우팅 된다.

페이지를 동적으로 분석하는 시점에 이미 다운되었을 때에는 피싱 페이지가 제공되지 않기 때문에 모든 탐지 기술도 유명무실하게 된다. 조샌드박스는 이런 경우에도 대응할 수 있도록 아비라(Avira), 슬래쉬넥스트(SlashNext), URL스캔(URLScan) 등의 써드파티 URL 평판 서비스를 사용한다.

김종광 인섹시큐리티 대표는 “심층 URL 분석은 조샌드박스의 핵심 구성요소 중 하나로 끊임없이 진화하고 있는 피싱 기법에 대해 광범위하고 정확한 탐지 및 회피 분석 기법을 제공하는 최고의 솔루션이고, 국내 외 수사 기관, 정보기관, 공공기관, 기업에서 적극적으로 활용하고 있다”고 말했다.

김선애 기자 다른기사 보기