KL Technologies, 성공적인 사업 파트너


전 체 [ 131 ]
구매 및 체험 문의 [ 3 ]회원등록 [ 0 ]
보안 및 제품 정보 [ 7 ]바이러스 문제 [ 4 ]
설치 및 제거 [ 21 ]제품 설정 [ 57 ]
트러블슈팅 [ 14 ]기타문의 [ 4 ]

   
  [보안 및 제품 정보 > ] 사전 차단 방역 이란?

사전 차단 방역이란?

앤드류 니키신(Andrew Nikishin)
KASPERSKY LAB


1. 소개

급격한 바이러스의 증가, 뉴스 거리가 되는 해커의 공격, 네트워크 사기, 스파이웨어로 인한 위협, 이 모든 것들이 안티바이러스 솔루션의 판매를 증가시키는데 기여 했습니다.

시장에는 다수의 안티 바이러스 솔루션이 있습니다. 가장 좋은 제품을 고르는 방법은 무엇일까요? 어떤 안티바이러스 솔루션이 가장 낮은 오진율을 가지고 바이러스 검색율 100%를 보장 할 수 있는가? 어떤 안티바이러스 솔루션이 네트워크나 컴퓨터의 모든 악성 프로그램의 위험으로부터 충분히 보호 할 수 있는 기술을 제공하는가? 등 일 것입니다.

안티 바이러스 제품의 가장 중요한 부분은 안티바이러스 엔진입니다. 안티 바이러스 엔진은 악성 프로그램을 검색하고 항목(개체)을 발견하는 모듈입니다. 안티 바이러스 엔진이 악성 프로그램으로 판정하면 안티바이러스 솔루션에 의해 보호 수준이 정해집니다. 그러나 악성 프로그램의 폭발적인 증가 때문에 최근에는 악성코드 사전 차단 방식의 중요성도 증가했습니다. 이러한 방법은 안티바이러스 데이터베이스가 업데이트 되기 전에 악성 프로그램을 발견하는데 도움을 줍니다. 즉, 악성 프로그램이 나타나기 이전에 탐지하는 것입니다. 이런 경우 중요한 것은 가능한 오진율이 낮아야 한다는 것입니다. (이론적으로 이것은 오진이 없어야 합니다.)

이 문서에서는 다른 개발사에 의해 사전 차단 방역 기술로 사용 되고 있는 주요 방법들을 평가하고 설명하였습니다.

이 문서는 주로 안티 바이러스 소프트웨어의 기초적인 작동 원리를 알고 있는 컴퓨터 보안 전문가들을 대상으로 작성 되었습니다.


2. 사전차단 방역

과거 몇 년 동안 악성 소프트웨어를 검사할 때 시그내쳐 기법을 사용하는 고전적인 안티바이러스 솔루션의 “종말”이 정보보호시장에서 쟁점이 되어왔습니다. 첫째 이유는 안티바이러스 데이터베이스가 배포되는 것보다 악성프로그램이 퍼지는 속도가 명백하게 더 빠르다는 것입니다. 게다가 신종 바이러스를 분석하는 것은 언제나 일정 시간이 소요됩니다. 그러므로, 사용자는 악성프로그램이 발견되고 안티바이러스 데이터베이스가 업데이트 되어 사용할 수 있게 되기 전까지 보호를 받을 수 없게 됩니다. 여러 회사들은 이런 상황을 해결 하고자 하는 다른 여러 가지 접근 방법을 찾게 되었습니다.


2.1 휴리스틱 분석기

기존 바이러스의 수가 수 백 개를 넘어서면서 안티 바이러스 전문가들은 아직 알려지지 않는 악성 프로그램을 어떻게 탐지할 것인지 생각하기 시작했습니다. 그 결과 소위 휴리스틱 분석기라고 불리는 것이 개발되었습니다.

휴리스틱 분석기는 일반적인 방법(시그내쳐 기반)으로 파악할 수 없는 모든 종류의 악성 프로그램을 발견하기 위해서 실행 파일, 매크로, 스크립트, 메모리나 부트 섹터를 분석하는 서브루틴 세트입니다.

바꾸어 말하면, 휴리스틱 분석기는 알려지지 않은 악성 프로그램을 탐색하는 것입니다.

휴리스틱 분석기의 탐지율은 바이러스 제작자가 휴리스틱 분석기를 속일 수 있는 수 많은 방법을 보유하고 있기 때문에 상대적으로 낮습니다. 게다가, 높은 탐지율을 가진 휴리스틱 분석기는 높은 오진율 또한 가지고 있습니다. 최고의 안티 바이러스 제품이라 할지라도 신종 악성 프로그램 출현시의 탐지율은 25-30%을 넘지 않습니다. 낮은 탐지율에도 불구하고 휴리스틱 방법은 여전히 안티 바이러스 솔루션에서 자주 사용 됩니다. 이유는 간단합니다. 탐지의 정확성은 여러 가지 사전 탐지의 조합으로 향상될 수 있기 때문입니다.


2.2 정책 기반 보안

보안 정책은 IT 위협에 대처하는 보호 전략의 필수적인 부분입니다. 잘 설계된 정책은 해커 공격이나 기밀 정보 유출, 악성 프로그램에 의한 감염 위험 등을 줄입니다.

간단한 예: 사용자가 이메일 첨부파일 열람을 허락하지 않는다면, 컴퓨터를 감염시키는 이메일 웜으로 인한 위험은 사실상 제거됩니다. 이동식 미디어의 사용을 차단하는 것 또한 악성 코드 침입 위험을 줄입니다. 보안 정책은 모든 부서와 회사의 피고용인들을 위하여 그 필요성과 사업 과정을 고려해서 매우 조심스럽게 설계되어야 합니다.

위에서 언급한 것 이외에, 많은 업체들이 보안 자료에 정책 기반 보안에 대해서 언급합니다. 보안을 확고히 하는 이러한 방법에는 현재 몇 가지 방식이 있습니다.

트랜드 마이크로 방식
Trend Micro Outbreak Prevention Services 이 서비스는 바이러스 발생을 막는데 도움을 주는 정책 배포를 기반으로 합니다. 즉, 정책은 안티 바이러스 데이터베이스가 업데이트 되거나 패치가 나오기 전에 배포됩니다. 언뜻 보기에, 괜찮은 해결책으로 보입니다. 하지만, 새로운 악성 프로그램을 탐지하기 위한 절차를 추가하는데 시간이 걸릴 경우 이 해결책의 목적은 느린 업데이트 작업의 "임시 방편"일 뿐입니다. 게다가, 정책 생성은 시간이 걸립니다. (때론 바이러스를 분석하고 AV 데이터베이스에 탐지를 추가하는 것만큼 오래 걸림) 이것은 사용자가 새로운 위협에 대해서 보호받지 못하는 시간이 여전히 발생한다는 것을 의미합니다. 이 방식의 또 다른 단점은 보안 정책이 변경되는 속도입니다. 모든 정책 기반 보안의 장점은 정책이 자주 변경되지 않는데 기반합니다. 이것은 어떤 것을 허락하고 금지하는지 결정하는데 도움을 줍니다. 하지만, 정책이 하루에 몇 번씩 변경된다면 보안 정책이 없는 것과 같으며 혼란만 야기시킬 뿐입니다. 트랜드 마이크로 방식은 정책 기반 보안 방식보다 빠른 정의 업데이트 출시로 보는 것이 더 정확할 것입니다. 따라서, 대부분의 경우 이런 방식은 진정한 사전차단이 아닙니다. 제외는 확실히 소프트웨어 취약점의 이용을 불가능하게 만들어주는 정책입니다.

시스코-마이크로소프트 방식
회사의 보안 정책에 따르지 않는 컴퓨터는 사내 네트워크 접속 제한 (예, 운영 체제 업데이트나 안티 바이러스 데이터베이스 업데이트 등을 하지 않을 경우). 회사 컴퓨터에 보안 정책을 가져오기 위해서 특정 업데이트 서버로만 접속이 가능하게 합니다. 필수 업데이트 정보를 설치하고 보안 정책이 요구하는 작업을 수행한 후에 컴퓨터는 사내 네트워크에 접속이 가능해 집니다.


2.3 침입 방지 시스템 (IPS)

침입 방지 시스템은 안티 바이러스 데이터베이스가 업데이트되기 전에 새로운 위협을 차단하기 위해서 악성 프로그램에 의해서 자주 사용되는 컴퓨터의 취약점을 사전에 차단합니다. 침입 가능성이 있는 포트를 차단하고 더 나아가 디렉토리, 개인 파일로의 접근을 제한하는 정책 생성, 네트워크상의 감염 자원 탐지하고 이러한 자원과의 통신을 차단합니다. 이 기술은 해커 공격, 본체가 없는 웜, 바이러스에 대해서는 효과적이지만 이메일 웜, 전형적인 바이러스와 트로이목마 프로그램에 대해서는 효과적이지 않습니다.


2.4 버퍼 오버런에 대한 보호

이 기술의 의도는 워드, 엑셀, 인터넷 익스플로러, 아웃룩과 SQL 서버를 포함한 일반적인 프로그램, 윈도우 서비스 등의 버퍼 오버런을 막는데 있습니다. 오늘날 대부분의 공격은 버퍼 오버런을 포함한 다양한 취약점을 그 대상으로 합니다. 버퍼 오버런 방지는 모든 악성 코드나 공격에 의해 이용되는 취약점을 차단하는 것이므로 사전 보호로 간주될 수 있습니다.


2.5 행동 기반 차단 (Behaviour blockers)

행동 기반 차단의 역사는 13년 이상 거슬러 올라갑니다. 이 타입의 안티 바이러스 소프트웨어는 8~10년 전에는 대중적이지 못했지만 새로운 IT 위협이 나타남에 따라 행동 기반 차단이 다시 거론되었습니다. 이러한 차단 방역의 중심 이론은 프로그램의 행동을 분석하여 위험한 행위가 발생할 때 차단하는 것입니다. 이론적으로, 행동 기반 차단은 알려진 바이러스 또는 알려지지 않은 바이러스 둘 다 어떤 바이러스의 배포도 방지 할 수 있습니다. 이것은 대부분의 안티 바이러스 소프트웨어 개발자들이 향후 나가야 할 방향이기도 합니다. 이 기술은 이미 많이 구현되고 있으며, 대부분의 메일 웜 방역 시스템은 최근 행동 기반 차단 메커니즘을 기반으로 개발되고 있습니다.


2.5.1 «초기» 행동 기반 차단

행동 기반 차단의 첫 세대는 90년대 중반 DOS 바이러스 시대의 절정기에 나타났습니다. 운용 원리는 간단합니다. 잠재적으로 위험한 행동이 발견되면 사용자는 허용할 것인지 차단할 것인지 선택하기 위해 대기 합니다. 대부분의 경우 이러한 방식은 효과적이지만 “의심” 행동은 합법적인 프로그램(OS 포함)에 의해서 수행되기도 하며, 사용자가 충분한 수행 능력이 없는 경우에 안티 바이러스 프로그램의 절차는 혼란을 야기시킵니다. 개인용 컴퓨터가 점차 보급되면서 사용자의 평균 운용 능력은 감소되었고 행동 기반 차단 방식의 첫번째 세대의 요구도 약화 되었습니다.


2.5.2 VBA를 이용한 행동 기반 차단(KAV Office Guard)

위에서 언급한 바와 같이 초기 행동 기반 차단의 주요 단점은 빈번하게 사용자에게 행동의 판단을 기다리는 것입니다. 이것은 행동 기반 차단이 특정 행동이 악성 코드 인지 아닌지 결정하기가 불가능하기 때문입니다. 그러나, VBA로 만들어진 프로그램은 악성 프로그램을 구별하기 쉽고 매우 정확합니다. 이것이 KAV Office Guard 가 ‘강제적’ 이지 않은 이유 입니다. 그러나, 사용자에게 묻는 빈도수는 낮음에도 불구하고 이 차단은 좀더 신뢰할 수 있습니다. 이것을 사용하는 사용자는 거의 모든 매크로 바이러스와 아직 존재 하지 않는 바이러스로부터 보호됩니다. 바꾸어 말하면 조작 환경에 의해 제공되는 장점을 이용하여 유저로부터 얻는 정보와 신뢰도 사이의 합리적인 균형을 이루는 것이 가능하게 되었습니다. 그러나 주요 조작의 관점에서 보면 KAV Office Guard는 아직 초기 행동 차단 방역에 불과합니다.


2.5.3 차세대 행동 기반 차단

행동 기반 차단의 두 번째 세대는 각각의 행동기반 보다는 일련의 행동들을 분석한다는 점에서 다르며, 이러한 분석을 이용하여 특정 소프트웨어가 악성인지 아닌지 판단합니다. 이것은 사용자의 응답을 기다려야 하는 빈도를 확실하게 감소시킴과 동시에 신뢰할만한 감지율을 보입니다. 예를 들면 차세대 행동 감지 차단기로써 카스퍼스키 랩의 사전 방역 모듈(Proactive Defense Module)을 들 수 있습니다.


2.6 사전 방역에 대한 다른 접근

2.6.1 다른 방법

행동 차단을 기반으로 한 새로운 세대의 상업용 사전 방역 시스템의 첫 번째 제품인 Storm Front는 침입 감지 및 보호 시스템 개발 전문 업체인 Okena 에서 출시되었습니다. 2003년 1월에 Okena는 Cisco Systems에 의해서 합병되었고 Storm Front 는 Cisco Security Agent 로 출시 되었습니다. 이 제품은 기업 고객을 대상으로 전통적인 행동 차단 방식으로 설계되었습니다. 이 제품은 사용하기 전에 유능한 관리자에 의해 설정을 해야 할 필요가 있었습니다.

맥아피는 기업용 제품군에 사전 방역 차단 기술을 도입하기 위해 활발한 개발 활동을 보였으며, 이 제품들은 안티 바이러스 데이터 베이스의 업데이트가 이루어지기 전에 새로운 위협에 대하여 컴퓨터의 취약점을 막는 것이 가능합니다. 이것은 컴퓨터에 침투되어 감염 가능성이 있는 포트를 막는 것을 포함하며 복제, 각각의 파일이나 디렉터리에 접근을 제한하는 정책 생성, 네트워크상의 감염 근원을 찾고 그것과의 더 이상의 통신을 막습니다. 또한, 이러한 제품들은 약 20개의 일반 프로그램과 워드, 엑셀, 인터넷 익스플로러, 아웃룩, SQL 서버를 포함한 윈도우 서비스의 버퍼 오버런 방지가 가능하며, 사전 방역으로 간주될 수 있습니다. 개인용 제품은 오직 이메일을 통해 배포되고 주소록을 통해 인가되지 않은 다량의 이메일을 발송하는 컴퓨터에서 활동하는 의심 개체를 차단하는 인터넷 웜을 탐지하는 향상된 휴리스틱 기술인 WormStopper 만을 사용합니다.

판다의 TruPrevent는 세 개의 요소로 구성됩니다.

  • 시스템 상에서 실행중인 프로세스 행동과 의심 개체를 탐지 하는 프로세스 행동 분석기
  • 휴리스틱 분석기
  • 악성 패킷을 탐지하고 버퍼 오버런을 보호하는 IDS 기능

본 제품은 판다 소프트웨어에 의해 알려지지 않은 악성 소프트웨어에 대한 이차 방역 으로 자리 잡고 있으며(전통적인 안티 바이러스 솔루션은 1차 방역 시스템) 퍼스널 컴퓨터 상에서 퍼지는 알려지지 않은 신종 바이러스 탐지 목적으로 설계되었습니다. 이 제품은 개인 사용자용이며 관리자용이 아닙니다.

시만텍 제품은 시스템상의 특정 행동을 기반으로 알려지지 않은 변종 바이러스를 탐지할 수 있는 휴리스틱 분석기가 내장된 사전 방역 기능과 악성코드에 의해 시스템에 침투되는 대부분의 경로를 방지(Prevention)하고 의심스러운 행동들을 탐지(Detection)하는 IPS/IDS 컴포넌트를 포함 합니다. 또한, 특정 위험 및 인터넷 위협이 발생한 경우 바이러스 확산 알림을 제공하며, 시만텍은 취약점이 발견되었을 때 사전에 경고하는 “사전 경고 서비스(Early Warning Services)를 제공합니다. 이 서비스는 현재 새로운 시스템인 글로벌 인텔리전스 서비스에 포함되었습니다.

마이크로 소프트 또한 악성코드에 대한 사전 방역 기법을 개발하고 있으면 자세한 사항은 알려지지 않았습니다.

트렌드 마이크로의 피시 실린 인터넷 시큐리티 2005는 휴리스틱 분석기를 포함하며 새로운 위협에 대하여 사전에 알려주는 확산 알람 시스템이 있습니다. 기업용 제품인 트렌드 마이크로 오피스 스캔 Corporate Edition 6.5는 확산 방지 서비스를 사용하며 안티 바이러스 데이터 베이스가 업데이트되기 전에 자동으로 방역 규칙을 설정합니다. 이 기능은 개인용 제품에서는 사용이 불가능 합니다.

비트 디펜더의 사전 방역 제품은 시스템상(시스템 파일, 레지스터, 인터넷 모니터링)의 특정 행위를 분석하여 악성 프로그램을 차단하는 행동 분석 기반 제품입니다.

새로운 카스퍼스키 랩 제품들은 최신 사전 방역 기술과 통합한 당사 고유의 휴리스틱 분석기를 이용합니다. 카스퍼스키 랩 제품은 몸체가 없는 바이러스와 해커의 공격에 대항할 수 있도록 침입 탐지 및 방역 시스템(IPS/IDS)을 사용합니다. 시스템 알림은 사용자에게 바이러스 확산과 보안 관련 정보를 알려줍니다. 그러나 새로운 위협과 싸우는 관점의 중요한 혁명은 차세대 행동 기반 차단입니다. 차단 기능은 악성코드가 수행한 작업을 “롤백”하는 중요한 기능을 가집니다. 이것은 시스템이 사용자에게 질의하는 빈도수를 확실하게 줄이며 새로운 악성 소프트웨어가 탐지 되기 전에 시스템이 입는 손상을 최소화 합니다.


2.7 요약

상기의 내용을 요약하면 다음의 사전 차단 방역 방법이 현재 시장에서 유용하게 사용되고 있다고 말할 수 있습니다.

1. 시스템 상에서 동작하고 있는 감염 의심 행동(알려지지 않은 악성 프로그램)을 하는 프로세스를 분석하는 행동 분석 프로세스
2. 새로운 변형 바이러스에 의해 사용될 가능성이 있거나 기존 바이러스가 사용하는 포트를 막아 컴퓨터의 바이러스 침입 가능성을 제거하는 방법(IPS/IDS 컴포넌트)
3. 바이러스가 공격에 가장 많이 사용하는 윈도우 프로그램과 서비스의 버퍼 오버런을 방지(IPS/IDS 컴포넌트)
4. 네트워크 상의 감염원을 탐지하고 차단하여, 파일과 디렉터리의 접근을 제한하고, 확산을 막아서 감염에 의한 손상을 최소화하는 방법(IPS/IDS 컴포넌트)

따라서 사전 차단 방역 기술은 전문가의 흥미 또는 컴퓨터 매니아의 도구로부터 발전되었고 안티 바이러스 소프트웨어 회사의 영역으로 진행되고 있다고 말할 수 있습니다.


2.8 사전 차단 방역의 장단점

2.8.1 휴리스틱 분석

장점:

  • 잘 알려지고 증명된 기술
  • 잦은 업데이트가 필요 없음

단점:

  • 많은 CPU 자원을 소모
  • 낮은 탐지율 (25-30%)
  • 높은 오진율 (탐지율이 높을 수록 더 높아짐)

이 기술은 모든 안티 바이러스 제품에 사용됩니다. (워크스테이션과 파일, 메일 서버, 인터넷 게이트웨이 등). 휴리스틱 분석기는 현재 모든 안티바이러스 제품에서 효과적으로 사용할 수 있는 유일한 사전차단 기술입니다.


2.8.2 정책-기반 보안

장점:

  • 보안을 위해 어떤 내부적인 조치가 필요한 경우 필수적인 부분
  • 소프트웨어 형태를 가리지 않음

단점:

  • 탐지율에 대한 의미가 없음. 탐지율을 측정할 방법이 없음
  • 트랜드 마이크로 방식은 사전차단 방식이 아닙니다. 정의 기반의 일종일 뿐입니다.

그래서, 대부분의 경우 이 방식은 사전차단이 아닙니다. 정책 기반 보안은 크기, IT 인프라 등을 고려하지 않아도 되는 회사에게 일부 사용될 수 있습니다. 더욱이, 잘 설계된 정책은 사실상 비용 부담 없이 IT 보안위협을 줄이는데 도움을 줍니다.


2.8.3 침입 방지 시스템 (IPS)

장점:

  • 해커 공격, 웜 바이러스 등을 효과적으로 차단

단점:

  • 기타 형태의 악성 프로그램 탐지에는 적합하지 않음
  • 공격 정의 업데이트가 필요
  • 이 기술은 워크스테이션과 인터넷 게이트웨이 보호에 매우 효과적입니다. IDS는 메일 트래픽 보호에는 사용할 수 있습니다.


2.8.4 버퍼 오버런에 대한 보호

장점:

  • "버퍼 오버런"과 같은 취약점을 이용한 악성 프로그램의 공격을 차단하는 좋은 기술
  • 업데이트가 필요 없음
  • 사실상 오진이 없음

단점:

  • 기타 형태의 악성 프로그램 탐지에는 사용할 수 없음
  • 요즘 대부분의 컴퓨터는 하드웨어 레벨에서 이 기술을 지원하므로, (AMD CPU의 NX flag, Execution Disable Bit-Intel) 소프트웨어적인 실행을 요구하지 않음

요즘의 모든 프로세서가 하드웨어 레벨에서 버퍼 오버런 보호를 지원한다고 말하지만, 향후에도 소프트웨어적인 실행이 필요하지 않을 것이라고 확신하지는 못합니다.

그래서 워크스테이션, 인터넷 게이트웨이와 기타 인터넷에 바로 연결되는 서버 등의 버퍼 오버런 보호가 필요합니다.


2.8.5 행동 기반 차단

장점:

  • 상대적으로 높은 탐지율(60-70% 이상)
  • 잘 알려진 증명된 기술력
  • 빈번한 업데이트 불필요
  • 어떠한 종류의 악성코드도 탐지
  • 휴리스틱 분석기에 비교하여 적은 CPU 시간과 자원 사용

단점:

  • 오진 가능성
  • 행동 기반 차단을 결정하기 위해서 사용자에게 많은 질문을 요구함
  • "롤백" 기능 필요(악성 코드에 의해 변경된 시스템 복구)

행동 기반 차단 기능은 의심 프로그램이 실행 가능한 경우에만 적용됩니다. (예, 워크스테이션) 메일 서버, 파일 서버, 게이트웨이에서 의심 프로그램은 거의 실행되지 않으며 따라서 행동 차단 기반의 필요성이 없습니다.


3. 결론

악성 프로그램 사전 탐지 방법의 모든 내용은 위에 기술하였으며 행동 기반 차단 방식이 가장 유효합니다. 위에 기술한 결점 보완 측면에서 볼 때 침입 탐지 및 방지 시스템, 휴리스틱 분석 기법 또한 필요합니다. 그러나 이중 한가지만으로는 오진율을 최소화 하면서 최대한 많은 악성 프로그램에 대처 할 수 없습니다. 오로지 이런 기법들을 통합한 접근 방법만이 목적을 이룰 수 있습니다.



   

메시지 남기기