[NES2015] 한국트렌드마이크로 “APT 분석, 맞춤형 샌드박스 필요”

실시간
뉴스

솔루션

[NES2015] 한국트렌드마이크로 “APT 분석, 맞춤형 샌드박스 필요”

디지털데일리 발행일 2015-04-17 09:48:52

이대호

URL복사

[디지털데일리 이대호기자] 최근 늘어나는 지능형지속위협(APT)의 탐지를 위해 샌드박스(가상환경) 내 동적 분석이 추천되고 있지만 이를 우회하는 멀웨어들이 속속 나오고 있다. 이에 멀웨어의 샌드박스 우회를 막기 위한 방안으로 ‘맞춤형 샌드박스’ 기술이 거론되고 있다.

최영삼 한국트렌드마이크로 실장<사진>은 16일 <디지털데일리> 주최로 반포동 JW메리어트호텔에서 열린 ‘차세대 기업보안 세미나 NES2015’ 발표에 나서 이 같이 ‘맞춤형(커스텀 스마트) 샌드박스’의 필요성을 강조했다.

최 실장은 “정형화된 샌드박스 분석환경을 인식하고 실행을 회피하는 멀웨어가 증가하고 있다”며 “맞춤형(커스텀 스마트) 샌드박스 기술이 필요하게 된 것”이라고 현황을 전했다.

한국트렌드마이크로에 따르면 지난해 한국수력원자력(한수원) 내부정보 탈취 공격에서 사용된 아래아한글 파일(HWP)은 2007버전에서 파괴 동작을 보였다. 이 때문에 보안솔루션에서 샌드박스 분석을 하더라도 한글 프로그램 버전이 다르거나 한글이 없다면 멀웨어가 제대로 동작하지 않게 된다. 맞춤형 샌드박스가 필요한 이유다.

최 실장은 “커스텀 스마트 샌드박스는 사용자 환경과 동일한 OS(운영체제) 및 애플리케이션 버전으로 구성된다”며 “사용자 조직을 타깃한 공격을 정확히 탐지하게 된다”고 설명했다.

멀웨어에서 샌드박스 우회를 위해 체크하는 항목은 가상기기, 네트워크 주소, 바이오스/액티베이션 코드, 가상 드라이버, CPUID 등 다양하다. 최근엔 멀웨어가 마우스 클릭 여부까지 체크해 우회를 노리기도 한다. 또 무한정 시간을 가지고 분석이 불가능한 허점을 노려 실행을 지연하면서까지 샌드박스를 회피하는 멀웨어도 나오고 있다.

이에 맟춤형 샌드박스에선 취약점 키트를 통해 플래시, 자바 스크립트, VB스트립트 등을 실행해 테스트되는 모든 코드에 대한 정보를 효과적으로 수집하게 된다. 또 메모리 스캔과 C&C 통신(IP주소, 도메일, URL) 탐지, 글로벌 보안 인텔리전스 등으로 다중 검사를 시행한다.

이날 최 실장은 “실행회피 멀웨어의 증가로 알려지지 않은 멀웨어 분석엔 관리자, 운영자의 판단 기준이 개입돼야 한다”며 “샌드박스 분석 기능에 너무 의존하는 기술은 한계가 있다는 의견도 있다”고 APT 대응에 주의를 기울일 것을 당부했다.

<이대호 기자>ldhdd@ddaily.co.kr