안철수연구소, 은폐형 악성코드 진단 기술 특허 획득
과거에는 대부분의 악성코드가 응용 프로그램 형태로 동작하거나 특정 응용 프로그램을 감염시켰지만, 최근 커널 모드에서 동작하는 악성코드가 다수 등장하는 추세다. 이런 악성코드는 OS의 구조 중 아랫단에 저장되기 때문에 보안 제품으로 진단/치료하기가 어렵다. 특히, 커널 모드 내에 있는 배정(Dispatcher; 작업 처리 목적으로 배정되는 것) 함수 주소를 변경하는 은폐형 악성코드는 진단/치료가 더욱 어렵다.
이에 대한 대책으로 지금까지 대부분의 국내외 백신은 악성코드에 의해 변경된 커널 모드 내 배정 함수 주소에 대해 악성코드의 실행 명령을 분석해 원본 함수 주소를 찾아내고 이를 다시 커널 모드에 저장하는 방법으로 대응했다. 그러나, 이는 많은 시간이 소요되며 정확한 대응이 어렵다는 한계가 있다.
이번 특허 기술은 이런 문제점을 해결하기 위해 가상 실행으로 산출된 배정 함수 주소를 토대로 실제 커널 모드의 구동에 따른 함수 주소의 변조 여부를 확인하고 이를 복구해준다. 가상 실행 환경을 적용하기 때문에 실제 실행 중인 컴퓨터 환경에는 아무런 영향을 주지 않고 안정적으로 동작한다
이번 특허 기술이 탑재된 V3 IS 8.0은 ‘V3 뉴 프레임워크’가 적용돼 이전 버전에 비해 악성코드 검사 속도가 약 2배 빨라졌고, 메모리 점유율은 절반 이하로 줄었다. 컴퓨터에 불필요한 프로그램 또는 악용 소지가 있는 프로그램의 실행을 사전에 차단하는 ‘블랙리스트(Blacklist) 차단 기술’과, 최근 자주 출몰하는 악성 루트킷과 같은 은폐형 악성코드를 완벽하게 진단/치료할 수 있는 ‘트루파인드(TrueFind) 기술’이 탑재됐다. 안티바이러스, 안티스파이웨어 기능 외에도 PC방화벽 및 IPS(침입방지시스템), 안티 피싱(Anti-Phishing), PC최적화 등의 기능을 제공한다. 특히 웹사이트 필터링, 파일 완전 삭제, 실행 차단 등의 기능은 V3 IS 8.0만의 독보적인 기능이다.
*커널 모드(Kernel Mode) :
커널은 컴퓨터 운영체제의 다른 모든 부분에 여러 가지 기본적인 서비스를 제공하는 핵심적인 역할을 한다. 일반적으로 커널은 종료된 입출력 연산 등을 처리하며, 어떤 프로그램들이 어떤 순서로 커널의 처리 시간을 공유할 것인지를 결정하며, 스케줄이 끝나면 실제로 각 프로세스들에게 컴퓨터의 사용권을 부여하기도 한다. 또한, 메모리나 저장장치 내에서 운영체제의 주소공간을 관리하고, 이들을 모든 주변장치들과 커널의 서비스들을 사용하는 다른 사용자들에게 고루 나누어준다.
안랩 개요
안랩(www.ahnlab.com)은 1995년 3월 창립된 소프트웨어 기업으로서 세계적 수준의 보안 기술력과 전문적인 소프트웨어 제품 및 서비스 역량을 갖춘 신뢰도 높은 기업이다. 설립 이래 꾸준히 성장해 2012년에 국내 패키지 소프트웨어 업계 최초로 매출 1000억을 돌파하는 성과를 거둔 바 있다. 세계적으로 정보보안 시장이 형성되기 시작한 1988년부터 쌓은 정보보안 노하우를 기반으로 시장을 개척해왔으며, 국내 보안 업체 중 유일하게 5대 국제 인증을 모두 획득해 글로벌 기업들과 대등한 기술력으로 경쟁하고 있다. 네트워크 및 엔드포인트 보안 솔루션, 보안 컨설팅, 보안 관제 등 최신 보안 위협에 다층적인 해법을 제공한다. 지능형 지속 위협(APT)에 대응하는 트러스와처, 디도스 등 네트워크 침입을 탐지/차단하는 트러스가드, 모바일 및 PC용 악성코드를 진단/치료하는 V3가 대표적 제품군이다.
웹사이트: http://www.ahnlab.com
연락처
안철수연구소 커뮤니케이션팀
황미경 차장
2186-6033
이메일 보내기
-
5월 29일 10:17
