• 융합보안논문지
• /
• 제10권3호
• /
• pp.51-60
• /
• 2010

인터넷 기술의 급격한 발전으로 인한 편리함과 더불어 다양한 악성코드들이 제작되고 있다. 악성코드의 발생건수는 날이 갈수록 부지기수로 늘어나고 있으며, 변종 혹은 새로운 악성코드에 대한 유포는 매우 심각하여 악성코드에 대한 분석은 절실히 필요한 시점이다. 악성코드에 대한 판단기준을 설정할 필요가 있으며, 알고리즘을 이용한 악성코드 분류의 단점은 이미 발견된 악성코드에 대한 분류는 효율적이나 새롭게 생긴 악성코드나 변종된 악성코드에 대해서는 새로운 탐지가 어려운 단점이 있다. 이에 본 연구의 목적은 시각화 기법의 장점을 이용하여 기존의 다변량의 악성코드에 대한 측정 및 분석뿐만 아니라, 변종 혹은 새로운 악성코드에 대해서도 새로운 패턴 혹은 형태를 도출하여 새로운 악성코드와 변종들에 대해서 대처하는데 있다. 따라서 본 논문에서는 업체에서 제공되는 악성코드 속성을 시각화하여 분석하는 기법을 제안하고자 한다.

• 정보보호학회지
• /
• 제24권1호
• /
• pp.39-44
• /
• 2014

악성코드는 다양해진 감염 경로를 통해 쉽게 노출될 수 있으며, 개인정보의 유출뿐만 아니라 봇넷을 이용한 DDoS 공격과 지능화된 APT 공격 등을 통해 심각한 보안 위협을 발생시키고 있다. 최근 악성코드들은 실행 후에는 메모리에서만 동작하는 방식으로 파일로 존재하지 않기 때문에 기존의 악성코드 탐지 기법으로 이를 찾기가 쉽지 않다. 이를 극복하고자 최근에는 물리 메모리 덤프를 포함하여 악성코드 분석 및 탐지 연구가 활발하게 진행되고 있다. 본 논문에서는 윈도우 시스템의 물리 메인 메모리에서 악성코드 탐지 기술에 대해 설명하고, 기존 개발된 물리 메모리 악성코드 탐지 도구에 대한 분석을 수행하여 도구별 악성코드 탐지 기능에 대한 특징을 설명한다. 물리 메모리 악성코드 탐지 도구의 분석 결과를 통해 기존 물리 메모리 악성코드 탐지 기술의 한계점을 제시하고, 향후 정확하고 효율적인 물리 메모리 악성코드 탐지의 기반 연구로 활용하고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2015년도 춘계학술발표대회
• /
• pp.418-420
• /
• 2015

인터넷이 발전하면서 사이버 공격이 증가하고 있으며, 사이버 공격에 사용되는 악성코드도 점차 지능화 되고 있다. 악성코드 탐지에는 정적분석을 통해 악성코드의 특정패턴을 비교하는 시그니처 기반 접근법이 널리 사용되고 있으며, 높은 탐지율과 빠른 탐지속도를 보인다. 그러나 알려지지 않은 신종 악성코드(0-day)와 실행압축, 난독화 둥에 의한 변종 악성코드를 분석하기에 한계가 있다. 더욱이 악성코드의 정적분석은 많은 노력과 시간이 소모되는 작업이며, 최근 악성코드들은 대부분 정적분석 우회기술이 적용되어 대량으로 유포되는 실정이다. 그러므로 악성코드를 직접 실행시켜 발생되는 이벤트들을 수집하여 의미를 분석하는 동적분석이 활발하게 연구되고 있다. 본 논문에서는 악성코드에 적용된 동적분석 우회기술에 관하여 기술하고 나아가 동적분석 우회기술이 적용된 악성코드를 탐지하기 위한 방법에 관한 기술동향을 소개한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2010년도 한국컴퓨터종합학술대회논문집 Vol.37 No.1(D)
• /
• pp.36-41
• /
• 2010

크래커(Cracker)의 공격으로부터 내부 자원을 보호하기 위한 허니팟 시스템은 크게 두 가지로 구분된다. 하나는 내부 정보자원을 보호하기 위해 크래커의 공격을 유인하는 목적의 허니팟이며, 다른 하나는 방어기법을 연구하기 위해 크래커의 공격을 유도한 후 공격기법을 로그기반으로 수집하는 허니팟이다. 하지만, 최근의 공격은 크래커로 인한 공격보다는 불특정 다수를 공격하기 위해 대량의 악성코드를 통한 공격이 주를 이루고 있다. 따라서, 허니팟의 유형도 변화가 필요하게 되었다. 악성코드에 대한 방어기법을 연구하는 Anti-Virus 연구소에서는 최근의 악성코드 공격으로부터 시스템을 보호하기 위해서는 악성코드를 조기에 수집하는 것이 주요 이슈로 등장하게 되었다. 악성코드 수집을 위한 허니팟은 기존 허니팟과 다른 특징을 가지고 있으며, 이러한 특징을 고려하여 개발되어야 한다. 하지만, 악성코드 수집용 허니팟이 필수적으로 갖추어야 할 조건이 정의된 것이 없으며, 개발을 위한 구현 모델이 존재하지 않아, 실제 구축에는 어려움을 겪고 있다. 따라서, 본 고에서는 기존 허니팟과 비교를 통해 악성코드 수집용 허니팟이 갖추어야 할 7대 요구조건을 개발하고, 이를 토대로 기존에 제시된 적이 없는 악성코드 수집용 허니팟 구현 모델을 제안하였다. 또한, 구현 모델을 통해 실제 악성코드 수집용 허니팟을 개발 및 실제 구축하여, 수집 결과와 함께 구축 시 고려사항을 도출하였다. 앞으로, Anti-Virus 연구소들은 본 구현모델과 구현결과, 고려사항을 통해 악성코드 수집용 허니팟을 개발하여, 확산되는 악성코드를 조기에 수집 및 대응함으로써, 1.25 대란, 7.7 DDoS대란과 같이 악성코드로 인해 발생하는 국가적 정보자산 손실을 미연에 방지하는데 큰 기여를 할 것으로 기대된다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2013년도 추계학술발표대회
• /
• pp.808-810
• /
• 2013

최근 인터넷 사용이 보편화됨과 더불어 정치적, 경제적인 목적으로 웹사이트와 이메일을 악용한 악성 코드가 급속히 유포되고 있다. 유포된 악성코드의 대부분은 기존 악성코드를 변형한 변종 악성코드이다. 이에 변종 악성코드를 탐지하기 위해 유사 악성코드를 분류하는 연구가 활발하다. 그러나 기존 연구에서는 정적 분석을 통해 얻어진 정보를 가지고 분류하기 때문에 실제 발생되는 행위에 대한 분석이 어려운 단점이 있다. 본 논문에서는 악성코드가 호출하는 API(Application Program Interface) 정보를 추출하고 유사도를 분석하여 악성코드를 분류하는 기법을 제안한다. 악성코드가 호출하는 API의 유사도를 분석하기 위해서 동적 API 후킹이 가능한 악성코드 API 분석 시스템을 개발하고 퍼지해시(Fuzzy Hash)인 ssdeep을 이용하여 비교 가능한 고유패턴을 생성하였다. 실제 변종 악성코드 샘플을 대상으로 한 실험을 수행하여 제안하는 악성코드 분류 기법의 유용성을 확인하였다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2004년도 가을 학술발표논문집 Vol.31 No.2 (1)
• /
• pp.457-459
• /
• 2004

최근 악성코드들의 주요한 특징 중 하나는 악성코드와 해킹기법이 결합된 형태이며 기존의 악성코드들 보다 더욱 공격 성향을 내포하고 있다는 점이다. 이러한 악성코드에는 대표적으로 IRC를 이용하는 Bot 계열 악성 코드들이 있으며 해킹과 결합되어 그 피해 또한 스팸성 악성코드들보다 심각하다. 또한 이러한 악성코드들은 다양한 변종이 신속하게 제작 및 유포되고 있어, 백신을 이용한 방어만으로는 적절히 대처할 수 없다는 문제점을 가지고 있다. 본 논문에서는 IRC를 이용하는 공격성 악성코드들을 분석하고, 이들 악성코드들을 효과적으로 탐색하여 감염 여부를 판단할 수 있는 악성 Bot 탐색 시스템의 설계 및 구현에 관하여 기술한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2014년도 추계학술발표대회
• /
• pp.490-491
• /
• 2014

쿠쿠 샌드박스(Cuckoo Sandbox)는 가상머신을 이용해 악성코드를 자동으로 동적 분석할 수 있는 도구이다. 우선 악성코드의 MD5값을 이용하여 VirusTotal을 이용해 종류를 분류하고, 쿠쿠 샌드박스로 악성코드 동적을 분석하여 결과파일을 이용해 악성코드에서 호출한 API들에 대한 정보를 추출하고, 다양한 종류별 악성코드 그룹에 대해서 API빈도를 종합하고, 또한 다른 종류군의 악성코드 그룹과 API 빈도를 비교해 특정 종류의 악성코드 그룹에 대한 특징적인 API를 찾아내어 향후 이런 특징 API들을 이용해 악성코드의 종류를 자동으로 판정하기 위한 방법을 제시한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2010년도 추계학술발표대회
• /
• pp.1281-1284
• /
• 2010

오늘날 인터넷 기술의 발전과 대중화와 함께 다양한 악성코드가 빠르게 제작, 유포되고 있다. 최근 빠르게 증가하는 악성코드를 신속하게 대응하기 위해 자동화된 분석 기법에 대한 연구가 활발히 진행되고 있다. 자동화된 악성코드 분석 결과로 생성되는 데이터는 안티바이러스 업체나 관련 기관 등에서 알려지지 않은 악성코드에 대응할 수 있는 시그니처를 생성하는데 활용된다. 따라서 저장되는 악성코드 분석 결과는 악성코드 사이의 행위와 특성 관계가 고려되어 저장되어야 한다. 즉, 자동화된 악성코드 분석 결과를 효율적으로 저장할 수 있는 DB 설계가 필요하다. 본 논문에서는 악성코드의 대부분을 차지하는 PE를 대상으로 자동화된 악성코드 분석 결과를 효율적으로 저장할 수 있는 DB 설계를 제안하고자 한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2010년도 춘계학술발표대회
• /
• pp.762-765
• /
• 2010

크래커(Cracker)의 공격으로부터 내부 자원을 보호하기 위한 허니팟 시스템은 크게 두 가지로 구분된다. 하나는 내부 정보자원을 보호하기 위해 크래커의 공격을 유인하는 목적의 허니팟이며, 다른 하나는 방어기법을 연구하기 위해 크래커의 공격을 유도한 후 공격기법을 로그기반으로 수집하는 허니팟이다. 하지만, 최근의 공격은 크래커로 인한 공격보다는 불특정 다수를 공격하기 위해 대량의 악성코드를 통한 공격이 주를 이루고 있다. 따라서, 허니팟의 유형도 변화가 필요하게 되었다. 악성코드에 대한 방어기법을 연구하는 Anti-Virus 연구소에서는 최근의 악성코드 공격으로부터 시스템을 보호하기 위해서는 악성코드를 조기에 수집하는 것이 주요 이슈로 등장하게 되었다. 악성코드 수집을 위한 허니팟은 기존 허니팟과 다른 특징을 가지고 있으며, 이러한 특징을 고려하여 개발되어야 한다. 하지만, 악성코드 수집용 허니팟이 필수적으로 갖추어야 할 조건이 정의된 것이 없으며, 개발을 위한 구현 모델이 존재하지 않아, 실제 구축에는 어려움을 겪고 있다. 따라서, 본 고에서는 기존 허니팟과 비교를 통해 악성코드 수집용 허니팟이 갖추어야 할 7 대 요구조건을 개발하고, 이를 토대로 기존에 제시된 적이 없는 악성코드 수집용 허니팟 구현 모델을 제안하였다. Anti-Virus 연구소들은 본 구현모델을 통해 악성코드 수집용 허니팟을 개발하여, 확산되는 악성코드를 조기에 수집 및 대응함으로써, 1.25 대란, 7.7 DDoS 대란과 같이 악성코드로 인해 발생하는 국가적 정보자산 손실을 미연에 방지하는데 큰 기여를 할 것으로 기대된다.

• 한국시뮬레이션학회논문지
• /
• 제18권1호
• /
• pp.63-70
• /
• 2009

본 과제의 목표는 윈도우 환경에서 동작하는 악성코드를 분류하기 위한 방법론을 제시하고, 시험용 분류 시스템을 개발하는 데 있다. 악성코드를 크게 9개의 그룹으로 분류하고, 이를 다시 그룹의 특성이 맞는 여러 개의 클러스터로 구분하였다. 해당 클러스터에 속하는 악성코드는 최소한 클러스터의 기본 속성은 만족시킨다. 또한 악성코드가 소속되는 각각의 클러스터에서는 기준점을 기반으로 악성코드의 유사도가 계산되며, 이 유사도에 의해서 악성코드 분석가들은 기존의 악성코드와 새로운 악성코드의 유형 및 관련 정도를 파악하게 된다. 악성코드 분류 시스템은 정량적 분석과 정성적인 분석에 대한 결과를 보여주며, 챠트를 통하여 보기 쉽게 내용을 파악할 수 있다. 매일 수천 건의 악성코드가 발견되는 상황에서 악성코드 분석가들에게 기존 악성코드와의 유사도를 제공함으로써 분석의 시간과 노력을 줄여 줄 수 있다. 본 연구의 성과물은 향후 악성코드 예측 시스템의 초석으로 활용될 수 있을 것이다.