바이너리 블록 간의 유사성을 사용한 악성코드 분류기법에 관한 연구

Abstract

최근 다양한 종류의 악성코드가 제작 및 유포 되어 일반 사용자의 컴퓨터를 감염시키고, 컴퓨터에 저장된 금융정보, ID나 비밀번호와 같은 각종 개인정보를 유출하는 것은 물론, 감염된 컴퓨터를 DDoS 공격 등에 이용하는 등 그 피해가 네트워크 전반에 걸쳐 나타나고 있다. 게다가 악성코드는 보편화된 자동 생성 도구에 의해 쉽게 다양한 변종으로 생성될 수 있어 그 수가 기하급수적으로 늘어날 전망이다. 현재 이러한 악성코드에 대응하기 위해 악성코드의 시그니처를 이용하여 사용자에게 경고하고 네트워크에 유입되는 것을 방어하는 백신 프로그램이 배포되고 있지만 빠르게 변화되는 악성코드의 확산에 대응하기에는 역부족인 것이 현실이다. 또한 대부분의 신종 악성코드의 경우 새롭게 개발된 악성코드보다 기존의 악성코드가 자동 생성 도구에 의해 변화된 악성코드인 것이 대부분이기 때문에 악성코드의 변종을 빠르게 분석하여 분류할 수 있는 기법의 개발이 필요하다. 악성코드의 분석방법으로는 악성코드를 실행하여 발생되는 행위를 기반(behavior-based)으로 하는 동적 분석 방법(dynamic anlaysis)과 악성코드를 구성하는 어셈블리 명령어를 추출하여 악성코드의 구조 및 동작 흐름 그래프 등을 통해 악성코드를 분석하는 정적 분석(static analysis) 방법이 연구되고 있다. 동적 분석 방법의 경우 실제 악성코드를 실행하여 그 행위를 관찰해야 하기 때문에 악성코드가 반드시 실행되어야 하며 행위를 마친 후에 분석을 시작할 수 있다는 한계점을 가지고 있어 빠른 탐지나 분류를 요하는 방법에는 적당하지 않다. 따라서 본 논문에서는 악성코드를 실행하지 않고 바이너리 실행파일로부터 추출된 악성코드의 어셈블리 명령을 기반으로 블록을 설정하고, 블록간의 유사도에 기반하는 악성코드의 분류 방법을 제안하였다. 또한 다양한 악성코드의 샘플을 대상으로 유사도를 계사한 결과 동종 악성코드의 경우 약 0.8 이상의 의 높은 수치를 보였으며 이종 악성코드의 경우 0.6 이하의 낮은 수치를 보여 제안하는 방법으로 악성코드의 분류가 가능함을 보였다. 또한 일반 프로그램 및 타 변종간의 유사성 실험을 통해 제안하는 방법이 가지는 한계를 분석하고 더욱 효과적인 분류 방법에 관한 연구의 방향을 제시하였다.