[보도자료] 김기홍 대표 “악성코드 프로파일링과 위협 인텔리전스 정보공유 필요해”

멀웨어스닷컴, 리얼머신 행위분석으로 프로파일링 만들고 위협 인텔리전스 생성


“악성코드 유포지의 최대 근원지는 웹사이트다. 대부분의 웹사이트는 방화벽에서 열려 있기 때문에 방화벽으로 차단하기도 힘들고 IPS를 도입해도 SSL 등을 이용하거나 IPS 탐지 사이트를 우회해 유입되고 있다. 또 한번 악성코드에 감염되면 계속 업데이트를 하고 제2, 3의 공격이 이어진다. 이러한 악성코드는 하루 40만~50만개가 생성되고 있고 이를 백신업체 분석 전문가들이 모두 분석하는 것은 불가능한 상황이다.”

 

지난 15일 국내 처음으로 개최된 ‘대한민국 정보보호 인텔리전스 컨퍼런스 K-ISI 2015’에서 김기홍 세인트시큐리티 대표(사진)는 ‘내부 시스템과 중요 정보를 노리는 악성코드 공격과 대응방안’이란 주제로 발표를 진행했다.





김기홍 대표는 “알려지지 않은 많은 제로데이 취약점을 이용해 복합된 멀티공격들이 증가하고 있다. 이런 공격들은 특정 기업 혼자는 절대 방어할 수가 없다”며 “외부 전문 기관의 도움과 지속적인 관리 운영으로 스스로 대응할 수 있는 방어 체계를 구축해야 한다”고 강조했다.

 

기업들 스스로 악성코드에 대응할 수 있는 방안은 무엇이 있을까. 김 대표는 구글 ‘바이러스토탈(Virus Total)’과 세인트시큐리티가 자체 개발해 2014년 4월 1일 정식 오픈한 ‘멀웨어스닷컴(malwares.com) 활용을 적극 권장했다.

 

멀웨어스닷컴의 특징은 국내 환경에 특화된 수집 기술을 기반으로 바이러스토탈과 데이터를 연동중에 있으며 또 자체 개발한 행위분석 엔진을 사용해 수집, 분석 정보를 이용한 프로파일링에 있다. 현재 10억개 프로파일링 정보가 450테라에 달하며 계속 증가 중이다.

 

김 대표는 “바이러스토탈과 멀웨어스닷컴의 차이가 무엇이냐는 질문을 많이 받았다. 우선 바이러스토탈과 멀웨어스닷컴은 상호 긴밀한 협력관계에 있다. 바이러스토탈은 인텔리전스 세부 검색 기능 지원, Hunting 기능 지원(yara rule 매치 시 탐지 결과 제공), Clustering 기능 지원(악성코드 유형별 분류 기능), 빅데이터 기반 프로파일링 및 태그 검색 지원, 평판 분석 및 커뮤니티 기능 지원 등이 주요 기능이다. 한편 malwares.com의 주요 기능은 강력한 행위분석 결과 및 검색기능 제공과 인텔리전스 세부 검색 기능 지원, 리얼머신 분석 결과 제공, 빅데이터 기반 프로파일링 및 악성코드 특징 태그 검색 지원, yara rule 매치 시 탐지 결과 제공 등이다”라고 설명했다.

 

특히 김 대표는 malwares.com의 에코시스템에 대해 강조했다. 멀웨어스닷컴의 에코시스템은 세계 각지의 신 변종 악성코드를 수집하고 리얼머신 행위분석을 통한 연관관계 추적 프로파일링을 만들고 위협 인텔리전스를 생성해 위협 식별 및 사전예방이 가능토록 하는 체계를 말한다.




또 국내 150만개 주요 웹사이트를 하루 1번 모니터링하고 주요 모니터링 대상은 하루에 2번 이상, 바이너리 변조 확인을 위해 감염된 것은 여러 번 방문한다. KISA C-TAS, ZeroCERT와 협력하고 있으며 정보공유를 위해 ‘CyDrone 프로젝트 페이지’를 통해 국내에서 서비스 하고 있다.

 

김기홍 대표는 “멀웨어스닷컴은 악성코드 정적분석 엔진과 자체 개발한 동적 분석 엔진을 활용하고 있으며 동적분석 엔진은 현재 2번째 버전이 개발 완료됐다. 이를 통해 수집 정보와 분석 정보를 활용한 프로파일링 정보가 생성되고 연관관계 추적이 가능하다”며 “분석된 정보는 다시 활용 가능하고 한번 감염된 정보는 버리지 않고 계속 보유하고 악성여부 판단과 피해 여부에 대해 빠른 식별이 가능하다. 또 정상-감염-정상-감염 식의 혼란을 주는 정보도 모두 프로파일링 가능하다”고 설명하며 멀웨어스닷컴의 프로파일링 기능을 강조했다.

 

이외에도 멀웨어스닷컴은 현재 ISP, 금융, 공공기관 등의 사이버 공격 대응을 위해 활용되고 있으며 클라우드 드라이브, 스미싱 차단 시스템, IoT 시스템 등과 연계 연동이 가능하다.

 

김기홍 대표는 “멀웨어스닷컴은 앞으로 더 많은 분석 정보와 프로파일링 된 정보를 확보해 나갈 것이며 모바일과 PC 악성코드의 연관관계 추적도 가능해 진다. 또 확실한 정보는 즉시 공유할 수 있도록 CyDrone을 통해 악성코드와 C&C 정보를 실시간 공유할 것”이라며 “관제 시스템과 클라우드 기반 시스템 등과의 연동을 통해 빅데이터 기반 관제에서 중요 팩터로 작용할 것”이라고 말했다.

 

김기홍 세인트시큐리티 대표의 K-ISI 2015 발표자료는 데일리시큐 자료실에서 다운로드 가능하다.

 

★정보보안 대표 미디어 데일리시큐!★

 

<데일리시큐 길민권 기자> mkgil@dailysecu.com


기사원본: http://www.dailysecu.com/news_view.php?article_id=10928






이 글을 공유하기

댓글

Designed by JB FACTORY