보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

[Special Report] 그것이 궁금하다, ASD 2부 – AhnLab Smart Defense 란 무엇인가

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • 안철수연구소
  • 2010-09-16

그것이 궁금하다, AhnLab Smart Defense!
2부 – AhnLab Smart Defense 란 무엇인가


Cloud 개념의 새로운 접근 방식, AhnLab Smart Defense


AhnLab Smart Defense(이하 ASD) 는 기존에 악성코드에 대한 모든 데이터를 PC로 다운로드 한 후 PC에서 처리하던 방식과 달리 Cloud Computing* 개념을 이용한 새로운 기술이다. 즉, 대규모 파일 DB를 중앙서버에서 관리하며, PC에 설치되어 있는 AhnLab Smart Defense 엔진에서 파일의 악성여부에 대해 문의하면 이에 대해 응답을 해주는 방식이다.


AhnLab Smart Defense 의 작동 방법은 아래와 같다.

 

[그림 1] AhnLab Smart Defense 구성도


PC에 설치된 AhnLab Smart Defense 엔진을 통해 생성된 DB에서 기존에 검사한 파일인지 확인한다. 새로운 파일로 확인되면, AhnLab Smart Defense Center로 파일 DNA*를 전송한다.
AhnLab Smart Defense Center는 전송된 파일 DNA 정보를 대용량 DNA DB에서 해당 DNA의 유형이 있는지 확인하고, 같은 유형의 DNA가 존재하면 기 분석된 DNA정보, 즉 악성코드인지 정상 파일인지 확인하여 알려준다. 만약 전송 받은 파일 DNA가 DB에서 확인이 되지 않으면, 새로운 유형으로 간주하여 분석에 필요한 파일의 특정 부분을 전송 받는다. 전송 받은 파일은 즉시 자동 분석 시스템으로 보내져 새로운 DNA의 악성 여부를 분석하게 된다.

[그림 2] AhnLab Smart Defense Center


AhnLab Smart Defense Center에서는 파일의 기본 정보, 프로그램 디지털 서명 정보 분석, 평판 시스템을 통한 분석, 파일에 대한 Activity 동향 분석, 행위 기반 Activity 분석, 파일간 Relation 분석 등 다양한 기술을 이용하여 파일의 정상 또는 악성 여부를 판단하고, 이를 AhnLab Smart Defense 엔진에 알려준다. 이와 동시에 파일 DNA DB를 업데이트하여 다른 AhnLab Smart Defense 엔진에서 활용할 수 있도록 한다.


파일 DNA Map 분석을 통한 DNA Scan


AhnLab Smart Defense에서 제공하는 두 번째 기능은 DNA Scan 기능이다. DNA Scan 기능은 악성코드가 가지고 있는 DNA를 추출하여 이와 매칭되는 파일을 검출하는 방식이다.


앞서 언급한 클라우드 개념의 접근 방식과 달리 DNA Scan은 악성코드들이 보유하고 있는 악성 DNA만 추출하여 이를 패턴화하고, 이와 동일한 DNA를 가지고 있는 파일을 악성코드로 분류하는 엔진을 기존 Anti-Malware 엔진과 함께 업데이트 하여 진단하는 방식을 취하고 있다.  이 방식을 사용하면 다음의 장점이 있다.

 

■ 신종 악성코드에 대한 사전 대응
AhnLab Smart Defense Database를 분석해본 결과 대부분의 악성코드는 일반 프로그램과 달리 악성코드만 가지고 있는 특징이 존재하였다. 이에 따라 악성코드만 가지고 있는 특징을 DNA Rule로 만듦으로써 현재 나와있는 악성코드뿐 아니라 향후 발생할 수 있는 신종 악성코드에 대해서도 동일한 특징을 가지고 있을 경우 검출 가능해짐에 따라 기존 Anti-malware가 가지고 있던 사후처리 방식의 한계를 극복할 수 있다.

 

■ 엔진 사이즈 증가 이슈 해결
하루에도 수천 ~ 수만 개의 악성코드가 발생하고 있기 때문에 Anti-Malware 솔루션의 엔진 사이즈도 지속적으로 증가하고 있다. DNA Scan 방식을 사용하면 하나의 DNA Rule로 수십 ~ 수 천 개의 악성코드를 탐지 가능해짐에 따라 엔진 사이즈 증가가 거의 없는 상태에서도 높은 진단율을 유지할 수 있게 된다.

 

■ 오진 대응을 위한 검증 시스템 구축
일반적인 휴리스틱 진단 방식은 분석가의 지식에 의해 방식이 추가되고, 기본적인 화이트 리스트 테스트를 통해 배포될 수 밖에 없다. 이에 따라 대규모의 화이트 리스트에 대한 검증에는 시간이 오래 걸리므로 오진에 취약한 구조를 가지고 있다.
DNA Scan의 경우 악성코드의 패턴을 생성할 때마다 수백억 개의 정상 파일 DNA와 매칭한 후 이상이 없을 경우에만 배포함으로써 사전 진단 율은 높이면서도, 오진의 위험도는 극적으로 낮추는 엔진의 개발이 가능해졌다.


ASD에 적용된 주요 기술 소개


AhnLab Smart Defense의 핵심은 HAS (Hybrid Analysis System) 라고 명칭 되는 대규모 자동 분석 시스템이다. 신종 악성코드가 하루에도 수백 ~ 수만 개씩 새로이 생성되는 현재 상황에서 이를 분석가가 일일이 손으로 확인하는 것은 물리적으로 불가능하다. HAS는 새로이 수집된 파일을 자동으로 파일의 기본 정보, 프로그램 디지털 서명 정보, 평판 시스템, 파일에 대한 Activity 동향, 행위 기반 Activity, 파일간 Relation 등 다양한 기술을 이용하여 분석하고, 파일의 악성 유무를 판단하는 방식을 취하고 있다.


AhnLab Smart Defense는 그간 다양한 OS를 지원해야 하고, PC의 리소스 사용을 최소화 해야 하는 등의 이슈로 안티멀웨어 솔루션에 적용하기 힘들었던 다양한 분석 방식을 서버의 컴퓨팅 파워를 활용하여 분석함으로써 보다 정밀한 내용을 최단 시간에 분석할 수 있는 장점이 있다.


두 번째 주요 기술은 악성코드의 DNA 추출을 위한 DNA 맵 구성이다. 인간의 질병연구를 위해 DNA 맵을 그리는 게놈 프로젝트를 진행하였듯이 AhnLab Smart Defense에서는 악성코드의 DNA를 추출하기 위해 AhnLab Smart Defense Database에 보유하고 있는 1억 개 이상의 파일을 대상으로 500억 개 이상의 특장점을 분류하여 인간의 DNA 맵과 같이 파일 DNA 맵을 구성하였다.

 

[그림 3] 사람의 DNA와 파일 DNA 비교


이렇게 구성된 DNA 맵을 분석하여 악성코드만이 보유하고 있는 특정 DNA를 추출하여 Rule로 만듦으로써 기존의 휴리스틱 진단법과는 다른 높은 효율의 사전 방역 기능과 오진 가능성을 최소화 시킨 새로운 악성코드 대응 방법이 가능해졌다.@

  • 안철수연구소 로고

보안정보의 저작권은 저자 및 ㈜AhnLab에 있으므로 무단 도용 및 배포를 금합니다.

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.