[논문]제로데이 어택 방지를 위한 실시간 대응기술

오진태; 장종수; 류재철

문제 정의

사용자들이 이러한 서버를 접속하는 경우 악성코드가 자동으로 다운로드 되는데, 이러한 악성코드 다운로드는 대량 트래픽이 발생하지도 않으며, 정상적인 프로토콜을 사용하므로 악성코드 유입을 탐지하기 더욱 어려워 졌다. 본 논문에서는 이렇게 네트워크 패킷에 포함되어 있는 실행 코드들을 네트워크 상에서 재조합하고 이들의 악성여부를 자동으로 판단해 주는 ZASMIN 시스템에 대해 기술하였다. 또한 ZASMIN에는 재 조합된 모든 악성 코드를 보관하고 있어 상용 백신 등으로 이들이 어떠한 악성 코드인지 쉽게 알 수 있다.
본 연구원에서는 알려지지 않은 공격을 효과적으로 대응하기 위해 ZASMIN을 개발하였다. 이 시스템은 고속으로 전파되는 슈퍼 웜 형태의 이상 공격뿐만 아니라, 네트워크를 통한 악성코드(malware)전파를 탐지하고 대응할 수 있는 시그니처를 실시간으로 생성하여 해당 공격에 의한 피해를 최소화할 수 있는 시스템이다.
일반적으로 공격 코드는 실행 가능한 코드가 대부분이므로 zero-day 공격을 탐지하기 위해 악성코드를 탐지 하는 기술이 필요하다. 본고에서는 네트워크 단에서 실행 가능한 모든 파일을 재조합하고 이들의 악성 여부를 탐지하고 대응하는 기술에 대해 논하고자 한다. 2장에서는 기존의 악성 코드 탐지 기법에 대해 간략히 알아본다.
[7][8] 이 기법은 허니넷으로 유도된 코드가 어떠한 악성행위를 하는지를 분석하는 기법으로 인터넷 사용자들이 변조된 홈 페이지 등을 방문하고 악성코드를 다운로드 받는 등의 경우 악성코드가 허니넷으로 유도되지 않는 예와 같이 허니넷을 유도되지 않는 코드는 분석이 불가능하다. 이 기법은 본 연구원에서 개발하고 있는 시스템에서 수집한 악성 코드를 분석하기 위한 방법으로 적용되기 위해 국제 공동연구를 진행되었다.

제안 방법

시그니처 생성 기능은 이상 행위 트래픽으로 분류되는 것에 대해 해당 패킷에 대한 시그니처를 생성하고, 시그니처 생성에 사용된 패킷들에서 공격 관련 행위가 있는지 확인하는 공격 연관성 분석을 한다. 이 기능은 연관성 분석을 위해 패킷 내의 Contents 분석 기능과 Binary Data 분석 기능으로 이루어진다.
악성코드 분석 기능은 재 조합된 실행 가능 파일은 헤더 분석 기능, 비정상 영역 탐지 기능, 팩(Pack) 탐지 기능을 적용하여 악성 코드인지를 분석한다. 헤더 분석 기능은 실행 가능 파일의 헤더 분석을 통하여 악성 코드가 가지는 전형적인 특성을 탐지하는 기능을 수행한다.
이러한 분석이 가능한 이유는 웜의 경우 내부의 호스트를 감염시키면 감염된 호스트가 다른 호스트를 감염시키기 위해 웜을 발생하는 특성을 이용하여 악성 코드를 탐지하는 것이다. 이 기법에서 비정상적인 패이로드를 찾기 위해 정상적인 패킷들의 N-gram을 이용한 분석 값을 계산하고 네트워크로 입력되는 패킷들의 패이로드에서 N-gram을 계산한 후 이들의 상관관계를 Mahalanobis distance를 이용하여 특정 임계치를 초과는 경우 비정상 패이로드로 선정하고 이들이 네트워크 내부에서 다시 전파되는지 확인하는 방법으로 공격을 찾아낸다. 이 기법은 자동 전파력을 가진 웜 등의 탐지가 쉬운 장점이 있으나, 홈페이지 변조 등을 통해 직접 전달된 악성 코드를 탐지하지 못하고, 초기 정상 패이로드를 어떻게 선정하는가에 따라 탐지 결과가 달라 질 수 있다는 단점이 있다.

성능/효과

ZASMIN에서 수집된 실행 코드를 3개의 상용 백신 프로그램으로 검사하여 적어도 하나의 백신에서 악성코드로 탐지된 코드에 대하여 중복되지 않은 악성 코드는 98개로 분류 되었다. 탐지 결과 최고로 많은 공격을 탐지한 백신은 80개의 공격을 탐지하였으며, 최소는 36개의 악성코드를 탐지 하는 결과를 보여 주었다.
이들 중 589개는 악성 코드일 가능성이 있는 것으로 ZASMIN이 분류 하였으며 이중 158개의 파일은 3개의 대표적인 상용 Anti-virus 제품으로 악성 코드임이 확인할 수 있었다. 또한 악성 코드의 대부분이 트로이 목마, IRC-Bot, Back Door 프로그램 등인 것으로 확인되었다. 이 중 IRC-Bot의 경우 악성코드로 인하여 감염됨 PC들이 DDoS 공격지로 악용될 가능성이 있으며, Back Door 프로그램이나 트로이 목마에 감염된 PC의 자료들이 유출되는 등의 2차 피해가 예상되는 악성 코드임을 알 수 있었다.
표 1에서 서버 팜에 설치된 ZASMIN의 경우 평균 트래픽은 800Mbps에 이르지만 재조합된 실행코드는 9,976개로 트래픽 량에 비해 현저히 적은 실행 코드가 재조합 되었으며, 악성으로 분류된 코드도 소량인 것을 확인 할 수 있었다. 또한 악성으로 분류된 코드의 대부분이 Adware 등으로 기업망이나 캠퍼스 망에서 볼 수 있었던 트로이 목마, IRC-Bot, Back-door 등의 악성코드는 확인되지 않았다.
위의 운영 결과에서 우리들은 기업망과 캠퍼스 망의 경우와 같이 사용자들이 인터넷을 통해 다양한 서버에 접속하면서 다량의 실행코드가 유입되고 있으며, 이들 실행 코드 중 1~3%는 ZASMIN에서 악성코드로 분류되고 있다. 또한 이들 중 30~40% 이상이 상용 백신 프로그램들에서도 악성코드로 탐지되는 공격인 것으로 확인 할 수 있었다.
또한 악성 코드의 대부분이 트로이 목마, IRC-Bot, Back Door 프로그램 등인 것으로 확인되었다. 이 중 IRC-Bot의 경우 악성코드로 인하여 감염됨 PC들이 DDoS 공격지로 악용될 가능성이 있으며, Back Door 프로그램이나 트로이 목마에 감염된 PC의 자료들이 유출되는 등의 2차 피해가 예상되는 악성 코드임을 알 수 있었다. 이러한 현상은 캠퍼스 망도 비슷한 결과를 보여 주고 있다.
하지만 이 기간 동안 해당 기업망으로 유입된 실행 가능한 코드는 무려 34,707개나 ZASMIN에서 재조합되었다. 이들 중 589개는 악성 코드일 가능성이 있는 것으로 ZASMIN이 분류 하였으며 이중 158개의 파일은 3개의 대표적인 상용 Anti-virus 제품으로 악성 코드임이 확인할 수 있었다. 또한 악성 코드의 대부분이 트로이 목마, IRC-Bot, Back Door 프로그램 등인 것으로 확인되었다.
마지막으로 팩 (packed) 탐지 기능은 악성 코드의 특성 중 하나인 실행 형 PACKED 코드 탐지를 통하여 악성 유무를 판단하는 기능을 수행한다. 이상의 분석 방법에 의해 분석된 결과들은 악성 코드 특징과 공격 가능성을 정량적 수치로 표기하여 파일 기반의 시그니처 생성 기능으로 전달한다.
하드웨어는 트래픽 용량별 정보, 세션관련 정보, 목적지 주소별 정보 등을 수집하는데, 최소 단위 흐름(Primitive Flow)과 집합 흐름(Aggregation Flow)인 2종류의 트래픽을 수집한다. 첫째, 최소단위 흐름은 micro 분석에 사용되며, 패킷의 IP 헤더에 있는 근원지 IP 주소, 목적지 IP 주소, 프로토콜, 포트로 구분된다. 둘째, 집합 흐름은 이상 트래픽 근원지를 찾아내기 위해 사용되며, 근원지 IP 주소, 포트와 프로토콜 기준으로 분류되는 흐름과 목적지 IP 주소와 프로토콜 기준으로 분류되는 흐름으로 구성된다.
ZASMIN에서 수집된 실행 코드를 3개의 상용 백신 프로그램으로 검사하여 적어도 하나의 백신에서 악성코드로 탐지된 코드에 대하여 중복되지 않은 악성 코드는 98개로 분류 되었다. 탐지 결과 최고로 많은 공격을 탐지한 백신은 80개의 공격을 탐지하였으며, 최소는 36개의 악성코드를 탐지 하는 결과를 보여 주었다. 사용자의 PC에 여러 개의 백신들을 인스톨하는 경우 서로 다른 백신들을 악성코드로 탐지하는 결과를 가져오기 때문에 많은 백신을 하나의 PC에 인스톨할 수 없다.
표 1에서 서버 팜에 설치된 ZASMIN의 경우 평균 트래픽은 800Mbps에 이르지만 재조합된 실행코드는 9,976개로 트래픽 량에 비해 현저히 적은 실행 코드가 재조합 되었으며, 악성으로 분류된 코드도 소량인 것을 확인 할 수 있었다. 또한 악성으로 분류된 코드의 대부분이 Adware 등으로 기업망이나 캠퍼스 망에서 볼 수 있었던 트로이 목마, IRC-Bot, Back-door 등의 악성코드는 확인되지 않았다.
또한 ZASMIN에는 재 조합된 모든 악성 코드를 보관하고 있어 상용 백신 등으로 이들이 어떠한 악성 코드인지 쉽게 알 수 있다. 현재 ZASMIN 시스템은 5곳의 Reference Site에서 성공적으로 운용 중이며 상용백신들로 검사해본 결과 다량의 트로이 목마, Bot, Back Door 등의 악성코드가 유입되는 것으로 확인되었다. ZASMIN을 활용하면 기업망이나 캠퍼스 망 등에서 현재까지 확인 할 수 없었던 악성코드 유입을 관제할 수 있을 것이며, 악성 코드 유입을 확인한 이후에는 이들 악성 코드 유입을 차단하고 대응할 수 있는 시스템이 개발될 것으로 기대한다.

후속연구

현재 ZASMIN 시스템은 5곳의 Reference Site에서 성공적으로 운용 중이며 상용백신들로 검사해본 결과 다량의 트로이 목마, Bot, Back Door 등의 악성코드가 유입되는 것으로 확인되었다. ZASMIN을 활용하면 기업망이나 캠퍼스 망 등에서 현재까지 확인 할 수 없었던 악성코드 유입을 관제할 수 있을 것이며, 악성 코드 유입을 확인한 이후에는 이들 악성 코드 유입을 차단하고 대응할 수 있는 시스템이 개발될 것으로 기대한다. 현재 개발된 기술은 네트워크 상의 실행 가능한 코드만을 재조합하고 이들의 악성 여부를 판단하는 기술이 개발되었으나, 앞으로 Active-X, 첨부 파일, Encoding 되거나 Zip등으로 압축된 파일에 대한 검사 기능이 개발되어야 할 것으로 보고 있다.

핵심어	질문	논문에서 추출한 답변
	Zero-day 공격이란 무엇인가?	하지만 해킹 문제를 근본적으로 해결하기 위해서는 악성 코드가 PC로 유입되는 1차 단계에 대한 대응 기술이 필요하다. 취약점이 발표되고 이에 대한 패치가 나오기 전까지 발생하는 모든 공격을 Zero-day 공격이라 한다. 이러한 공격의 경우 패치가 적용되지 않은 많은 시스템들이 공격의 대상이 되므로 막대한 피해가 예상되며, 해당 공격을 탐지하기 위한 시그니처도 갖고 있지 않아 더욱 위험한 공격이다.
	Zero-day 공격을 탐지하기 위한 기법으로 어떻게 분류되는가?	Zero-day 공격을 탐지하기 위한 기법들은 네트워크 레벨의 접근과 호스트 기반의 접근으로 분류된다. 네트워크 패킷들에서 반복된 패턴을 찾아내고 공격 시그니처를 생성하는 Earlybird가 있다.
	Zero-day 공격이 더욱 위험한 공격이라고 할 수 있는 이유는 무엇인가?	취약점이 발표되고 이에 대한 패치가 나오기 전까지 발생하는 모든 공격을 Zero-day 공격이라 한다. 이러한 공격의 경우 패치가 적용되지 않은 많은 시스템들이 공격의 대상이 되므로 막대한 피해가 예상되며, 해당 공격을 탐지하기 위한 시그니처도 갖고 있지 않아 더욱 위험한 공격이다. 일반적으로 공격 코드는 실행 가능한 코드가 대부분이므로 zero-day 공격을 탐지하기 위해 악성코드를 탐지 하는 기술이 필요하다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

제로데이 어택 방지를 위한 실시간 대응기술 원문보기

AI 본문요약
AI-Helper

문제 정의

제안 방법

성능/효과

후속연구

질의응답

이 논문을 인용한 문헌

저자의 다른 논문 :

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

제로데이 어택 방지를 위한 실시간 대응기술 원문보기

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

성능/효과

후속연구

질의응답

이 논문을 인용한 문헌

저자의 다른 논문 :

오진태 (24) 장종수 (68) 류재철 (94)

관련 콘텐츠

원문 보기

원문 URL 링크

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

AI 본문요약
AI-Helper