글로벌 통합보안 기업인 안철수연구소(대표 김홍선 www.ahnlab.com, 약칭 ‘안랩’)는 22일 망분리 솔루션 ‘트러스존’, V3에 적용 가능한 가상화 기술이 특허를 획득했다고 발표했다. 특허 기술 명칭은 ‘의심스러운 행위의 수준별 분류 및 격리 실행을 통한 악성 코드 사전 대응 장치, 방법 및 그 방법을 실행하기 위한 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체’이다.

이 특허 기술은 사용자가 신고한 샘플을 확보하지 않고도 사전에 제로데이 공격(zero-day attack)을 무력화할 수 있다. 또한 격리된 가상 공간에서 악성코드를 실행하므로 시스템을 안전하게 보호할 수 있다.

이를 위해 프로그램이 수행하는 의심스러운 행위를 수준 별로 분류하고, 분류 결과에 따라 격리된 가상 공간에서 실행한다.

악성 행위의 수준 분류는 컴퓨터에서 작동하는 프로그램의 행위를 모니터링해 악성인지 정상인지, 악성의 정도는 어느 수준인지 분류하는 것이다. 이에 따라 사용자가 신고한 샘플을 확보하지 않고도 제로데이 공격(zero-day attack)을 무력화할 수 있다.

또한 악성 코드에서 주로 사용되지만 정상 코드에서도 가끔 사용되는 행위를 가상 공간에 격리해 실행한다. 가상 공간에서 악성코드를 실행하므로 시스템을 안전하게 보호할 수 있다. 또한, 사용자에게 의심스런 행위의 코드를 실행할 것인지 일일이 묻지 않기 때문에 사용자에게 불편을 주지 않는다.

이 특허 기술은 악성코드 대응 기술 중 시그니처(signature) 기반 대응 방법과 기존 사전 방역 방법의 문제점을 극복한 것이다(보충설명 참고).

이 기술이 적용될 수 있는 망분리 솔루션 ‘트러스존’은 소프트웨어와 하드웨어가 융합된 것이 장점이다. 사용자는 격리된 인터넷 영역에서도 응용 프로그램을 동일하게 사용할 수 있고 보안에 대한 걱정 없이 인터넷 뱅킹 등을 자유롭게 사용할 수 있다. 또한 4가지의 특허 기술이 탑재돼 있어 단계 별로 해킹 및 침입을 차단하고, V3와 연계해 철저한 보안성을 제공받을 수 있다.

- 보충설명
(1) 시그니처(signature) 기반 대응 방법
시그니처 기반 대응 방법은 사용자가 신고한 웹사이트를 차단하거나, 다운로드되는 파일을 보안 소프트웨어로 검사함으로써 악성코드를 배포하는 웹사이트를 식별해내는 기술이다. 이 방법은 악성코드 피해자의 사후 신고로 샘플을 수집하거나, 허니 팟(honey pot)으로 악성코드 시그니처를 추출한다. 따라서 일정한 수의 피해자가 발생할 수밖에 없고, 보안 취약점에 대한 패치가 발표되기 전에 이루어지는 제로데이 공격을 방어하기 어렵다.

(2) 기존 사전 방역 방법
기존 사전 방역 방법은 프로그램의 행위에 기반해 악성코드 여부를 판단한다. 그런데 탐지된 행위가 의심스러워도 정상 코드도 같은 행위를 하는 경우가 많기 때문에 100% 확실하게 판단하지 못 한다. 따라서 의심스러운 행위를 발견했을 때 그 코드를 계속 실행할 것인지를 알림 창 등을 이용해 사용자에게 묻는다. 알림 창이 빈번하게 생성되면 사용자는 불편함을 느낀다. 또한 경고를 하더라도, 전문가가 아닌 일반 사용자가 실행 여부를 결정하는 것은 사실상 어렵다.
저작권자 © 뉴스데일리 무단전재 및 재배포 금지