안랩(대표 김홍선 www.ahnlab.com)은 11일 APT(Advanced Persistent Threat, 지능형지속보안위협) 대응 솔루션 ‘트러스와처 2.0(이하 트러스와처)’에 탑재한 기술이 첫 특허를 획득했다고 밝혔다.
 
이번 특허 기술은 ‘악성 파일 검사 장치 및 방법’으로서 워드, 아래아한글, PDF, 플래시 플레이어, 문서 및 스크립트 등의 비실행 파일이 악성코드를 포함하고 있는지를 신속하고 정확하게 검사할 수 있는 기술이다. 안랩이 장기간 심혈을 기울여 세계 최초로 개발한 ‘DICA(Dynamic Intelligent Contents Analysis) 기술’의 핵심적 요소이다.
 
특허 기술은 비실행 파일 포맷(non-executable format)의 리더나 편집기의 종류에 상관 없이 악성 문서 파일을 검출한다. 또한 향후 발견될 취약점을 이용한 신종 악성 파일에도 근본적으로 대응하는 획기적인 기술이다.
 
이 기술은 문서 프로그램이 구동될 때 정상적으로 로드되는 모듈의 ‘정상 주소 범위 정보’를 획득한다. 이후 프로그램 모듈 내 각 명령어가 실행될 때 출력되는 실행 주소가 ‘정상 주소 범위 정보’를 벗어나면 악성코드가 포함된 것으로 판단한다. 이로써 악성코드가 실행되기 전에 악성 파일을 정확하게 탐지해낸다. 따라서, 악성 비실행 파일의 취약성을 이용한 APT 공격을 효과적으로 방어할 수 있다.
 
최근 APT 공격에는 다양한 형태의 악성코드가 활용되는데, 그 중에서도 초기 침입 단계에서는 탐지가 거의 안 되는 주로 악성 문서 파일을 이용해 이루어진다(보충설명1). 기존 시그니처 기반 검사 방법은 대량의 시그니처 데이터베이스를 보유하고 있어야 하기 때문에 현실적으로는 악성 비실행 파일을 이용한 공격을 방어하기 어렵다. 또한, 행위 기반 검사 방법은 설계 방법 등의 정보가 필요하기 때문에 오탐과 미탐이 많이 발생하는 문제점이 있다. 안랩의 특허 기술은 이러한 문제를 해결하기 위해 개발된 것으로서 비실행 파일이 악성코드를 포함하고 있는지를 신속하고 정확하게 검사할 수 있다.
 
한편, 트러스와처는 최근 종전의 강력한 탐지 기능에 다차원 행위기반 분석 기능을 업그레이드했다. 이에 따라 트러스와처는 시그니처 기반 분석 엔진, 행위 기반 분석 엔진, 동적 콘텐츠 분석 엔진 등 세 가지 주요 악성코드 탐지 기능으로 다차원적인 악성코드 분석 및 탐지를 제공한다.
 
안랩 연구개발 총괄 조시행 전무는 “안랩은 세계적으로 독보적인 기술력으로 APT 공격을 효과적으로 방어한다. 이번 국내 특허 획득에 이어 미국 특허 출원을 진행함으로써 국내외 APT 방어 솔루션 기술을 주도해나가겠다.”라고 강조했다.
 
안랩은 창립 이래 연구개발에 적극 투자해 혁신 기술 개발을 선도해왔다. 누적 특허 획득 건수가 114건으로 국내 보안 소프트웨어 업계 중 최고 기록을 보유하고 있다. 해외에서는 PCT(보충설명2) 국제 출원 50건, 국가 별 출원 21건으로 국내뿐 아니라 해외에서도 세계적 소프트웨어 기업들과 어깨를 나란히 하고 있다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com