안철수연구소, 제로데이 공격 사전 차단 기술 특허 획득
- 격리된 가상 공간에서 악성코드 실행..시스템 보호
- 사용자 신고 전에 제로데이 공격 사전 대응
- 망분리 솔루션 ‘트러스존’, V3에 적용 가능
이 특허 기술은 사용자가 신고한 샘플을 확보하지 않고도 사전에 제로데이 공격(zero-day attack)을 무력화할 수 있다. 또한 격리된 가상 공간에서 악성코드를 실행하므로 시스템을 안전하게 보호할 수 있다.
이를 위해 프로그램이 수행하는 의심스러운 행위를 수준 별로 분류하고, 분류 결과에 따라 격리된 가상 공간에서 실행한다.
악성 행위의 수준 분류는 컴퓨터에서 작동하는 프로그램의 행위를 모니터링해 악성인지 정상인지, 악성의 정도는 어느 수준인지 분류하는 것이다. 이에 따라 사용자가 신고한 샘플을 확보하지 않고도 제로데이 공격(zero-day attack)을 무력화할 수 있다.
또한 악성 코드에서 주로 사용되지만 정상 코드에서도 가끔 사용되는 행위를 가상 공간에 격리해 실행한다. 가상 공간에서 악성코드를 실행하므로 시스템을 안전하게 보호할 수 있다. 또한, 사용자에게 의심스런 행위의 코드를 실행할 것인지 일일이 묻지 않기 때문에 사용자에게 불편을 주지 않는다.
이 특허 기술은 악성코드 대응 기술 중 시그니처(signature) 기반 대응 방법과 기존 사전 방역 방법의 문제점을 극복한 것이다(보충설명 참고).
이 기술이 적용될 수 있는 망분리 솔루션 ‘트러스존’은 소프트웨어와 하드웨어가 융합된 것이 장점이다. 사용자는 격리된 인터넷 영역에서도 응용 프로그램을 동일하게 사용할 수 있고 보안에 대한 걱정 없이 인터넷 뱅킹 등을 자유롭게 사용할 수 있다. 또한 4가지의 특허 기술이 탑재돼 있어 단계 별로 해킹 및 침입을 차단하고, V3와 연계해 철저한 보안성을 제공받을 수 있다.
- 보충설명
(1) 시그니처(signature) 기반 대응 방법
시그니처 기반 대응 방법은 사용자가 신고한 웹사이트를 차단하거나, 다운로드되는 파일을 보안 소프트웨어로 검사함으로써 악성코드를 배포하는 웹사이트를 식별해내는 기술이다. 이 방법은 악성코드 피해자의 사후 신고로 샘플을 수집하거나, 허니 팟(honey pot)으로 악성코드 시그니처를 추출한다. 따라서 일정한 수의 피해자가 발생할 수밖에 없고, 보안 취약점에 대한 패치가 발표되기 전에 이루어지는 제로데이 공격을 방어하기 어렵다.
(2) 기존 사전 방역 방법
기존 사전 방역 방법은 프로그램의 행위에 기반해 악성코드 여부를 판단한다. 그런데 탐지된 행위가 의심스러워도 정상 코드도 같은 행위를 하는 경우가 많기 때문에 100% 확실하게 판단하지 못 한다. 따라서 의심스러운 행위를 발견했을 때 그 코드를 계속 실행할 것인지를 알림 창 등을 이용해 사용자에게 묻는다. 알림 창이 빈번하게 생성되면 사용자는 불편함을 느낀다. 또한 경고를 하더라도, 전문가가 아닌 일반 사용자가 실행 여부를 결정하는 것은 사실상 어렵다.
안랩 개요
안랩(www.ahnlab.com)은 1995년 3월 창립된 소프트웨어 기업으로서 세계적 수준의 보안 기술력과 전문적인 소프트웨어 제품 및 서비스 역량을 갖춘 신뢰도 높은 기업이다. 설립 이래 꾸준히 성장해 2012년에 국내 패키지 소프트웨어 업계 최초로 매출 1000억을 돌파하는 성과를 거둔 바 있다. 세계적으로 정보보안 시장이 형성되기 시작한 1988년부터 쌓은 정보보안 노하우를 기반으로 시장을 개척해왔으며, 국내 보안 업체 중 유일하게 5대 국제 인증을 모두 획득해 글로벌 기업들과 대등한 기술력으로 경쟁하고 있다. 네트워크 및 엔드포인트 보안 솔루션, 보안 컨설팅, 보안 관제 등 최신 보안 위협에 다층적인 해법을 제공한다. 지능형 지속 위협(APT)에 대응하는 트러스와처, 디도스 등 네트워크 침입을 탐지/차단하는 트러스가드, 모바일 및 PC용 악성코드를 진단/치료하는 V3가 대표적 제품군이다.
웹사이트: http://www.ahnlab.com
연락처
안철수연구소 커뮤니케이션팀
황미경 부장
02-2186-6033
이메일 보내기
