보안

이스트시큐리티, 탐지 우회하는 악성코드 추적 방법론 발표

이종현
[디지털데일리 이종현기자] 이스트시큐리티가 안드로이드 기반 탐지를 우회하는 악성코드를 추적·탐지하는 방법론을 개발해 오픈소스로 공개했다.

이스트시큐리티(대표 정상원)은 국제 공인 보안 평가 기관 ‘바이러스 블러틴’에 ‘안드로이드 기반 악성코드의 유사도 분석 방법론’을 주제로 한 논문을 게재했다고 2일 밝혔다.

바이러스 블러틴은 ‘체크마크’, ‘ICSA’와 함께 세계 3대 보안 인증으로 꼽히난 ‘VB100’을 심사하는 글로벌 보안 인증 기관이다. 보안 인증 심사 외에도 글로벌 보안 업체의 지능혁지속위협(APT) 분석 보고서나 연구 결과를 논문 형태로 게재하고 있다. 카스퍼스키, 시만텍, 맥아피 등 글로벌 보안 업체들이 매년 바이러스 블러틴에 논문을 발표한다. 이스트시큐리티의 이번 논문 게재는 회사 자체로는 첫 번째, 국내 회사로는 두 번째다.

이스트시큐리티에 따르면 이번에 게재된 논문은 안드로이드 APK 파일 내부에 존재하는 코드 영역을 추출한 뒤, 추출한 코드의 유사도 해시값을 생성해 이를 비교·분석하는 방법론을 제시했다. 이시트시큐리티는 이를 ‘덱소퍼지’라 명명했다.

이스트시큐리티는 지난 5년간 국내·외 백신 기업이 발표한 약 74개의 악성코드 분석 보고서 내용에 해당 방법론을 적용해 분석한 결과, 내부 코드 내 함수 간의 연관성을 발견해 악성코드 간의 연관성을 추적했다.

실제로 공격자가 더미코드나 변조된 콘텐츠를 삽입해 악성코드 탐지를 우회할 경우 이 방법을 통해 악성코드의 연결고리를 추적해 악성코드를 탐지해냈다.

이스트시큐리티는 안드로이드 사용자의 사이버 보안 위협을 예방하기 위해 이 악성코드 유사도 분석 방법론과 해당 도구를 오픈소스로 공개했다.

김준섭 이스트시큐리티 부사장은 “지난 수년간 안드로이드 운영체제(OS) 사용자가 증가함에 따라 안드로이드 기반 변종 악성코드가 증가하고 있다”며 “보안 기업으로서 사이버 생태계 전반의 보안 강화를 위해 사회적 의무를 다하기 위해 이번 연구 내용을 오픈소스로 공개했다. 논문을 통해 공개된 덱소퍼지 기술이 국내·외 안드로이드 악성코드 공격 추적과 사이버 생태계 보안 강화에 일조하길 바란다”고 말했다.

<이종현 기자>bell@ddaily.co.kr
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널