보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

V3 IS 8.0, 은폐형 악성코드 원천 봉쇄하는 트루파인드 적용

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • 안철수연구소
  • 2010-05-03

안철수연구소의 통합보안제품인 V3 Internet Security 8.0(이하 V3 IS 8.0)은 국내 최초로 범용 보안제품에 은폐형 악성코드 진단/치료 기술인 트루파인드(TureFine)를 구현했다. 


트루파인드(TrueFind)는 근래 가장 문제가 되고 있는 악성 루트킷과 같은 은폐형 악성코드를 완벽하게 진단/치료할 수 있는 신기술이다. 특히, 은폐 프로세스, 파일, 레지스트리, MBR(Master Boot Record) 및 네트워크 포트 진단 기능까지 은폐에 관한 모든 범위의 악성 프로그램의 진단/치료가 가능하다. 


트루파인드 기술이 적용된 V3 IS 8.0에는 프로세스 검사, 시작 프로그램 검사, 파일 검사 등에 각각 은폐 프로세스, 은폐 레지스트리, 은폐 파일 기능이 포함되어 있다. 이는 그 동안 전용백신으로만 진단/치료 할 수 있었던 최신의 은폐 및 자기 보호 악성 프로그램을 별도의 프로그램 없이 현재 사용하고 있는 V3 IS 8.0으로 진단/치료 할 수 있게 됐다는 점에서 의미가 크다.


은폐형 악성코드란 자기보호기법을 쓰는 악성코드. 응용 프로그램에서 그 존재를 알 수 없게 만드는 것은 물론 백신이나 전문 은폐 진단 툴까지 자신에게 접근하지 못하게 하는 기법을 쓰고 있어 진단 및 삭제가 어렵다. 은폐형 악성코드의 일종인 루트킷(rootkit)은 시스템 관리자의 계정 즉, 유닉스 운영체제들의 root 또는 윈도우의 Administrator 권한을 획득하는 프로그램이라는 의미에서 명명된 것이다. 이후 은폐형 악성코드를 지칭하는 대명사가 되고 있다.

[그림] 트루파인드가 적용된 V3 Internet Security 8.0 System Architecture

 

안철수연구소가 은폐형 악성코드 진단/치료 기술 개발은 사실 어제 오늘의 일이 아니다.
이미 지난 2004년 5월 Agobot 에 대해 최초의 진단/치료 기술을 선보인 바 있다. 당시 이 프로그램에 대해 메모리 엔진을 사용하여 후킹된 함수를 복구하는 기술을 개발하여 이를 국내 최초로 진단 치료하였다.
이어 2006년 5월 은폐 프로세스 진단 기능을 개발했다. 여기에서는 은폐 프로세스는 물론 은폐된 모듈까지 진단하도록 있으며, 커널 모드형 악성코드에 대한 대응이 가능했다.
2008년 6월에는 은폐된 파일뿐만 아니라 타사에서는 제공하지 않았던 은폐 레지스트리 진단과 은폐 네트워크 포트 기능까지 제공되었다.
이후 가상 실행 기술을 이용한 최신 은폐 프로그램의 진단/치료, 원격 핸들 제어, MBR 루트킷 진단/치료 등의 기술들이 계속 추가됨으로써 더욱 강력한 진단/ 치료 룰을 제공할 수 있게 됐다.


이러한 최신 기술이 적용된 V3 IS 8.0은 타사 제품 대비 높은 진단율과 안정성 그리고 빠른 속도로 은폐형 악성코드에 대응할 수 있다. @

  • 안철수연구소 로고
  • 안철수연구소 인터넷사업팀 과장 박정화
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.