이세정보 ‘헤제크’, 악성프로그램 탐지·분석·차단·치료 솔루션
상태바
이세정보 ‘헤제크’, 악성프로그램 탐지·분석·차단·치료 솔루션
  • 데이터넷
  • 승인 2011.07.19 20:42
  • 댓글 0
이 기사를 공유합니다

ㄱ존 보안장비나 악성코드 탐지솔루션은 네트워크 상단 또는 개개인의 PC에 직접 설치되는데 각각의 위치가 틀려 감시/획득할 수 있는 정보가 근본적으로 다르다. 반면 네트워크 장비는 악성코드 판별주체가 순수하게 패킷이기에 네트워크 영역의 사건으로만 악성코드 여부를 판별할 수 있게 된다.

하지만 최근의 공격 기법들은 지능화돼 공격인지 알 수 없도록 작동되고 있어 해당 악성코드를 직접 분석해 보지 않고는 네트워크 장비가 분별할 수 없는 한계가 존재한다. 현재의 보안 프로그램은 악성파일이 유입돼 동작 시 탐지하는 방식으로 상세한 분석이 이뤄지지 않고 제어할 수 있는 방안이 없으며, 이는 사고가 발생한 후에 처리되는 한계로 나타나게 된다.

헤제크는 이러한 한계를 극복하기 위해 출시된 솔루션으로 1.0 버전에서는 네트워크 기술과 에이전트 기술을 결합시켰으며, 최근에는 행위 기반 분석에서 발생할 수 있는 오탐지를 획기적으로 줄일 수 있는 2.0 버전으로 업그레이드됐다. 헤제크 v2.0은 악성파일이 접근하는 2, 3차 사이트를 자동으로 추출하고, 분석 결과를 자동으로 생성한 시그니처를 에이전트에 배포, 실시간으로 치료까지 할 수 있다.


신뢰성 높은 패킷 수집 및 분석
기존 네트워크 장비 패킷 손실이 발생해도 악성 코드를 분석하는데 크게 문제가 되지 안았다. 그러나 최근 악성코드들은 지능화돼 단순 패킷 분석만으로는 한계가 있다. 이를 극복하는 방안은 패킷분석과 파일분석을 병행하는 것이다.

지금까지 파일분석은 에이전트 프로그램만 할 수 있는 것으로 여겨졌고, 여러 가지 에이전트 프로그램이 개발, 출시돼 왔다. 그러나 사용자 PC에 많은 에이전트 프로그램이 설치되다 보니 관리포인트 증가, 에이전트 충돌 등 여러 문제점이 발생하고 있는 게 현실이다.

사용자 PC에 에이전트를 설치하지 않고, 파일분석을 네트워크상에서 할 수 있는 방안은 사용자 환경과 유사한 환경을 네트워크 장비 안에 탑재하는 것이며, 가상화 기술은 이를 대표한다. 가상 머신안에 사용자 PC와 동일 환경을 구축하고, 그 안에서 프로그램을 강제로 실행시켜 악성 파일을 수집, 분석함으로써 에이전트 증가로 인한 문제점을 해소하면서 네트워크 장비의 한계를 극복하게 되는 것이다.

또 패킷분석과 파일분석을 완활하게 하기 위해서는 실시간 패킷 분석(real-time packet scanning) 기술과 파일 버퍼(dynamic reassembly) 기술이 결합한 기술이 필요하다. 이를 실현하기 위한 선결 조건은 패킷을 결합해 파일 형태로 만들어야 하기 때문에 패킷 손실이 0%에 가깝게 구현돼야 한다는 점이다.

헤제크는 패킷 손실을 줄이기 위하여 네트워크 장비의 LAN 카드 드라이버에 직접 프로그램해 패킷을 수집, 획기적으로 패킷 손실을 줄일 수 있으며, 악성 파일을 분석하기 위해서는 PC에서 기동하는 악성 파일과 동일하게 수집되도록 구현돼 있다. 또한 헤제크는 확장자 기반의 원본 파일을 수집하기 때문에 인터넷에서 유입/유출되는 모든 파일을 수집할 수 있다.

행위 기반 분석 기술
시그니처 기반의 기술은 사후 대응방식으로 새롭게 생성되는 악성파일에 실시간 대응하기 어려운 근본적인 한계점이 존재한다. 또 생성된 악성 파일의 숫자만큼 시그니처가 필요하며, 계속된 시그니처 추가로 인한 부담도 존재한다. 악성 프로그램이 행하는 일련의 행위를 정의하고, 정의된 행위를 조합해 악성파일을 탐지하는 행위기반 기술은 적은 수의 시나리오 정책을 기반으로 알려진 악성파일은 물론 새롭게 출현하는 악성파일과 변종까지 신속하게 탐지함으로써 시그니처 기반 기술의 한계를 극복한다.

반면 행위기반 기술의 단점은 오탐이다. 이는 행위기반 기술이 보편성을 획득하는 걸림돌로 작용해왔다. 하지만 이세정보는 ‘이상 행동기반 유해 프로그램 검출 시스템’, ‘프로세스의 행위 분석을 통한 유해 프로그램을 실시간으로 탐지하고 차단하는 시스템’ 등 행동/행위기반 기술에 대한 특허를 획득, 검증된 기술로 보다 정확한 행위기반 탐지/차단을 제공한다.

예를 들어 행동기반으로 임의의 프로세스가 정상 프로세스인지 유해 프로세스인지 구분하는데 있어서 운영체제가 지원하는 어떤 행동들은 단일 행동으로는 전혀 위험하지 않은 것도 존재하며, 단일 행동으로도 매우 위험한 행동들이 존재한다. 만일 각각의 행동들을 행하는 프로세스를 차단하게 된다면 운영체제 자신도 차단돼 정상 프로그램도 차단될 수 있는 대규모 오탐이 발생하게 된다.

이에 필요한 것이 시나리오 개념이다. 행동 시퀀스인 시나리오를 통해 연속된 서로 다른 행동타입을 제시, 그것에 모두 매칭되는 것을 유해 프로그램으로 간주함으로써 오탐 없는 보다 정교한 방어가 가능하게 되는 것이다.

시나리오 내부에는 1개 이상의 행동타입과 행동횟수가 들어가며, 이러한 조건이 많아질수록 정상 프로그램은 탐지되지 않을 확률이 높게 된다. 복합 시나리오 n개가 PC의 프로세스 감시모듈에 설정되면 헤제크의 감시모듈은 프로세스의 행동발생시 아주 빠른 비교/매칭을 위해 해시 데이터 구조와 다이나믹 프로그래밍 기법을 기반으로 해당 행동을 포함하고 있는 시나리오와 또 그 시나리오를 포함하는 복합시나리오를 빠르게 검색해 오탐 없는 빠른 탐지를 구현한다.

이러한 기법을 통해 헤제크는 1% 미만의 낮은 오탐률을 자랑한다. 사용자의 정상PC를 좀비PC로 만드는 알려진 악성파일과 악성 실행 파일은 물론 알려지지 않은 신종/변종 악성 파일까지 차단함으로써 좀비PC로 인한 다양한 문제를 해소한다. 또 아웃바운드 트래픽까지 검사해 내부에 이미 감염 된 PC, 서버가 외부로 분산서비스거부(DDoS) 공격을 진행하는 것도 자동 차단할 수 있다는 점도 헤제크의 장점으로 꼽힌다.

헤제크를 공급하는 지컴네트웍스는 “순수 국내 기술로 개발돼 최초로 상용화된 좀비PC 방지 솔루션으로 이미 시장에서 성능과 보안 강화 효과를 검증받았다”면서 “외산 장비에 비해서도 악성파일 탐지률에서 높은 성능을 보이고 있다”고 자신했다.

■ 문의 : 지컴네트웍스
■ 전화 : 02-594-2782
www.gcomnetworks.co.kr

저작권자 © 데이터넷 무단전재 및 재배포 금지
데이터넷
데이터넷 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사