정적 분석 정보와 동적 분석 정보를 활용한 랜섬웨어 탐지 모델 연구

Abstract

컴퓨터의 활용도가 높아질수록, 취약점이나 위험성 등 보안과 관련된 문제점이 부각된다. 최근, 사용자의 파일을 암호화하고 금품을 요구하는 ‘랜섬웨어(Ransomware)’라는 악성코드가 나타났다. 국내의 경우, 2015년에 처음으로 랜섬웨어 피해가 발생하였다. 한국 랜섬웨어 침해대응 센터가 발표한 보고서에 의하면, 2015년에 1,090억 원의 손해를 입었고 2016년에는 3,000억 정도의 손해를 입었다[1]. 안랩의 보고서에 의하면, 만약 공격자가 랜섬웨어를 공격자의 이익에 도움이 된다고 인식했을 경우, 공격자는 더 진화된 랜섬웨어를 유포하게 된다. 이는 결국 새로운 피해자를 양산하게 된다[2]. 이러한 악순환을 끊기 위해선, 랜섬웨어를 사전에 탐지하여 피해를 최소화하는 것이 중요하다. 따라서 본 학위 논문에서는 랜섬웨어의 정적⦁동적 특징정보들을 활용하여 랜섬웨어 탐지 모델을 제안한다. 본 학위 논문에서 제안하는 랜섬웨어 탐지 모델은 먼저 Cuckoo Sandbox를 활용하여 랜섬웨어 의심 파일을 동적⦁정적 분석 기법을 통해 분석한다. 그 후 PE Imphash 데이터베이스를 활용하여 이미 탐지한 랜섬웨어를 탐지한다. 만약 PE Imphash 데이터베이스로 탐지를 못하면, 기계학습 기법을 활용하여 랜섬웨어를 탐지한다. 만약 랜섬웨어 의심 파일이 랜섬웨어로 판별 되면, PE Imphash 데이터베이스에 PE Imphash 값을 추가하고 랜섬웨어가 탐지되었음을 알리고 탐지모델을 종료한다. 만약 양성 소프트웨어로 탐지되면 정상 파일이라고 알리고 탐지모델을 종료한다. 본 학위 논문에서 제안한 랜섬웨어 탐지 모델로 기존 랜섬웨어 99.71%, 신종 랜섬웨어 97.62%로 높은 탐지율을 보였다.