해시 코드를 이용한 악성프로그램 실행차단시스템 설계 및 구현

Abstract

본 논문에서는 APT공격, 봇공격, 개인정보탈취 등 지능적이고 체계적으로 진화하는 사이버 공격에 대한 대응방안으로서 기업과 기관이 악성프로그램의 식별정보를 관리하고 클라이언트 PC에서 악성프로그램의 실행을 차단하는 방안을 연구하였으며, 악성프로그램 발견 이후 OS나 Anti-Virus 개발사의 패치가 실시되기 전에 발생하는 악성프로그램의 확산으로 인한 피해를 방지하는데 목적이 있다.

제안 시스템은 기관 및 기관의 보안부서가 악성프로그램을 식별할 수 있는 식별 코드를 서버의 정보DB에 입력하게 되고, 입력된 정보는 실시간으로 전사 클라이언트PC에 전송되어 동기화되고, 각 클라이언트는 동기화된 악성프로그램 정보를 바탕으로 PC에서 실행되는 프로그램에 대한 통제를 실시할 수 있도록 구현되었으며, 통제하고자 하는 악성프로그램을 타 일반 프로그램과 구별하기 위하여 128비트 길이의 결과값을 갖는 MD5 Hash 코드를 이용하였다.

실험을 통하여 Hash 코드가 전사 클라이언트PC로 배포되는데 소요되는 시간과 Hash 알고리즘의 변경에 따른 Hash 코드 추출 시간의 변화를 측정하였으며, MD5 Hash 코드를 이용한 경우가 파일 속성을 이용한 프로그램 식별에 비하여 2%의 전송시간 감소와 수십 배의 저장공간 감소 효과가 있으며, SHA-1 알고리즘에 비하여 40%의 속도 개선효과가 있음을 확인하였다.