APT 공격 패턴 분석, 세계 최초로 악성문서파일 통한 공격 탐지
트러스와처는 안랩의 악성코드 분석 기술과 네트워크 보안 기술이 융합된 보안 솔루션이다. 이번에 공개한 트러스와처 2.0에는 안랩이 세계 최초로 개발한 'DICA(Dynamic Intelligent Contents Analysis) 기술'이 탑재됐다. 클라우드 기반 사전 분석 기술과 자체 가상 머신을 이용한 실제 악성 행위 분석 기술을 보유한 트러스와처 2.0은 DICA 신기술 탑재로 APT를 비롯한 지능적 보안 위협에 더욱 강력한 대응력을 확보하게 됐다.
최근 APT 공격에는 다양한 형태의 악성코드가 활용되는데, 그 중에서도 초기 침입 단계에서는 탐지가 거의 안 되는 주로 악성 문서 파일을 이용해 이루어진다. 각종 문서 관련 애플리케이션들의 기능이 확장되고 복잡해짐에 따라 운영체제(OS)만큼 많은 취약성이 발견되기 때문이다. RSA사의 알고리즘 유출 사고, 5년 6개월 동안 조직적으로 이루어진 오퍼레이션 셰이디 RAT가 대표적인 악성 문서 파일을 이용한 공격 사례로 꼽히고 있다.
안랩이 장기간 심혈을 기울여 개발한 DICA 기술은 바로 이러한 악성 문서 파일(Unknown Document Malware)를 정밀하게 검사하고 지능적 탐지 알고리즘에 의해 차단한다. 즉, 워드, 아래아한글, PDF 등 각종 문서 리더 및 편집기를 비롯해 플래시 플레이어나 웹브라우저의 취약점을 이용해 전파되는 문서 및 스크립트 악성 파일을 효과적으로 검출해낸다. 트러스와처 2.0은 현재 최대의 보안 위협인 APT(Advanced Persistent Threat) 공격을 아예 초기 단계에서 근원적으로 차단해주는 것이다.
안랩은 APT 공격이 보고된 초기부터 내부 비밀 프로젝트로 APT 공격 패턴을 분석하고, 이에 대한 전방위 대응 방안을 개발해온 결과 이번에 'DICA' 기술을 발표하게 된 것으로 전해진다.
안랩이 발표한 DICA 기술은 워드, 아래아한글, PDF, 플래시 플레이어, 문서 및 스크립트 등의 비 실행 파일 포맷(non-executable format)의 리더나 편집기의 종류에 상관 없이 악성 문서 파일을 검출한다.
김정은 기자
jekim92@itdaily.kr