이 기술은 내부의 좀비 PC와 명령을 내리며 제어하는 외부의 명령제어(C&C) 서버 간에 역접속이 발생할 경우 통신이 지연되는 시간을 기반으로 악성코드를 탐지하는 기술이다. 역접속(Reverse Connection)은 공격자에 의해 감염 된 내부 좀비 PC가 외부 C&C 서버에 접속 하는 행위로 정상적인 형태를 띠기 때문에 탐지가 어려운 공격 방법이다.

기존의 역접속 탐지기술은 이미 알려진 악성코드의 패턴을 파악하거나 별도의 가상머신을 통해 시스템이 부정하게 조작되는 것을 막는 샌드박스 기술이 대부분이다. 윈스는 만약 알려지지 않거나 샌드박스를 우회하는 악성코드일 경우 역접속의 탐지가 어렵다고 설명했다.

윈스에 따르면 좀비 PC와 C&C 서버간의 송수신 패킷을 사용자 요청 지연시간과 서버 응답 소요시간을 기반으로 통신 지연 시간을 분석해 C&C 서버와의 역접속을 탐지할 수 있다고 설명했다.

이 기술은 윈스에서 제공하는 APT 대응 솔루션 ‘스나이퍼 APTX’ 제품에 적용되어 있으며, 윈스는 계속적인 연구개발로 더 나은 서비스를 위하여 기능 고도화에 노력을 기울이고 있다.

조학수 윈스 연구소장은 “현재 좀비PC 대응 솔루션들이 많이 출시됐지만 탐지를 우회하는 악성코드에 의해 감염된 PC와 C&C 서버의 통신을 통해 발생되는 피해를 막기는 역부족”이라며, “윈스가 새롭게 개발한 기술을 통해 기밀정보 유출 등 2차 피해를 막을 수 있을 것으로 기대된다”고 말했다.