[2025 우수 정보보호 기술]악성코드검거단 '하이퍼바이저 기반 비실행형 악성코드 탐지 기술'

악성코드검거단의 자체 개발 경량 하이퍼바이저 기반 비실행형 악성코드 탐지 기술은 차세대 보안 기술을 바탕으로 한 악성코드 탐지 솔루션이다. 비실행형 악성코드 탐지 기술의 난제였던 오피스프로그램별 취약점, 상용 소프트웨어 사용요금, 고성능 하드웨어 구성에 따른 비용, 느린 분석 속도 등 문제를 해결하기 위해 개발됐다.

자체 개발 경량하이퍼바이저로 컴퓨터 자원 사용을 최적화하고, 자체 개발 악성코드 발현 오피스 프로그램을 사용해 SW 사용료 발생이 없는 기술로 통한다. 원가가 저렴해 보안 사각지대에 놓인 중소기업, 소상공인, 및 개인에게도 공급할 수 있다는 게 강점이다. 아마존웹서비스(AWS) 등 클라우드에서도 구동 가능하다.

구체적으로 쾌속 샌드박스(HSS)는 악성코드 탐지에 최적화된 자체개발 운영체계(OS)로 세부 구성요소인 위협감지트랩(EDT)와 메모리 오동작 탐지 트랩(UMAT)를 초고속으로 구동한다.

악성코드검거단 관계자는 “악성코드 탐지 외에 불필요한 요소가 없어 수백가지의 실행 경로에도 분석 소요시간이 수초 이내”라고 강조했다.

EDT는 모든 유형의 행위 패턴을 구현해, 마치 악성코드가 사람이 실행시키는 것처럼 인식하도록 해 악성행위를 유발하고, 이 과정에서 원격파일 다운로드행위, 스크립트를 추출하며, 난독화를 해제하고, 악성코드의 탐지방해 기법을 회피한다. 또 UMAT는 자체 개발 중앙처리장치(CPU) 대행기(에뮬레이터) 임무를 수행하며, 악성파일이 EDT에서 실행하도록 강제하는 동시에 메모리 오동작을 감시하며 취약점 공격도 탐지한다.

특히 악성코드검거단의 기술은 최신 세대로 분류되는 기술로, 진화하는 악성코드에 대응하는 보안 기술이라는 게 강점으로 꼽힌다. 지능형지속공격(APT), 비실행 파일을 이용한 공격은 물론 스크립트 파일을 이용한 공격도 탐지할 수 있으며, 기존 기술 대비 필요한 연산 능력이 절감되고, 신속하게 분석한다. 또 문서파일 실행 시 발생하는 행위를 탐지하고 이상 행위까지 리포트로 도출하는 근원적 탐지 기술이라는 평가다.

악성코드검거단 관계자는 “자체 개발 하이퍼바이저 소프트웨어와 탐지기술로 수요처에 적합한 악성코드 탐지솔루션을 개발하고 보급한다”며 “보안 사각지대에 놓인 중소기업도 도입할 수 있는 가격대를 실현하는 등 기능과 가성비가 뛰어나고 도입 후 사용이 간편한 보안 솔루션을 지향한다”고 말했다.

전상현 악성코드검거단 대표

조재학 기자 2jh@etnews.com

[Copyright © 전자신문. 무단전재-재배포금지]