HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

바이러스 게놈 지도를 활용한 변형 바이러스 추론 Part I
등록일 :
2006.02.14

[원고출처 : Monthly 사이버시큐리티 2005.12월호]
최원혁 ㈜하우리 바이러스대응센터장
whchoi@hauri.co.kr


실제 국내에서 활동하고 있는 백신(Anti-Virus) 전문가들은 얼마 되지 않는다. 바이러스를 분석하고 분석된 바이러스를 명명하고 거기에다가 치료 백신 개발까지 일명 멀티 플레이어 전문가가 얼마나 되겠는가? 하지만, 하루 동안 분석해야 할 바이러스의 수는 자꾸만 늘어만 가고 있는 것이 현실이다. 결국 전문가들은 나름대로의 분석 과정 및 백신 개발 과정에 대해 자동화에 대한 연구가 필요했고 대부분의 업체들이 이를 진행하고 있다. 그 중 바이러스 게놈 지도를 활용하여 새롭게 등장한 변형(또는 변종) 바이러스를 추론하는 방법에 대해 살펴보도록 하겠다.

1. 개요
바이러스는 전체적으로 2000년이 되면서 확산이 급격히 빨라지고 있다. 가장 큰 주체는 1999년에 제작된 멜리사 바이러스 덕분에 바이러스 제작자들은 확산에 새로운 시각으로 네트워크 공격을 시도하게 되었다. 메일 확산, 네트워크 공유 폴더를 이용한 확산에 이어 취약점까지 발전하게 되었다.

가. 바이러스 증가 추세
최근에는 윈도우 운영체제를 설치한 후 15분만에 웜에 감염된다고 KISA에서 발표했다.[1] 그 만큼 이미 네트워크는 심각하게 바이러스에 오염되어 있고 15분이라는 시간을 실제 보안 패치 및 백신 프로그램을 설치하여 업데이트 하는데 상당히 부족한 시간이다. 하지만, ㈜하우리에서 운영하고 있는 허니팟은 실제 10분을 주기로 바이러스에 감염되지 않은 깨끗한 운영체제(물론 보안패치는 하나도 되어 있지 않다)를 반복적으로 복원하는 방식을 택하고 있는데, 복원 직전에 수정되었거나, 추가된 파일들을 별도로 저장하게끔 설계가 되어 있다. 결국 KISA 발표되로라면 바이러스에 감염되지 않아야 하지만, 매일 평균 40여개의 새로운 신종 바이러스를 허니팟을 통해 받고 있다.[2] 이는 15분보다 더 빨리 바이러스에 감염된다는 사실을 의미한다.




2005년 10월 해킹 바이러스 통계 및 분석 월보에 의하면 2004년 웜/바이러스 피해건 수가 2005년에는 급격히 줄었음을 표1을 통해서 확인 할 수 있다. 이는 실제 웜/바이러스가 줄어들었다기 보다는 사용자의 보안 의식 향상 및 백신에서 진단/치료가 2004년에 비해 좋아졌음을 암시한다. 실제 웜/바이러스에 의한 피해를 접수하는 업체의 경우 웜/바이러스를 진단/치료를 쉽게 처리할 수 있는 바이러스보다 진단/치료가 어려운 바이러스들의 신고가 많은 것이 사실이다. 즉, 진단/치료가 되지 않을 때 고객들은 피해를 신고하기 때문에 위 통계로 얼마만큼 바이러스 피해 신고가 늘어났다를 가늠하기는 힘들다.

따라서 실제 바이러스 백신에 추가된 숫자들을 통해서 간단히 2004년에 비해 얼마만큼 바이러스가 늘어났는지를 체크해 볼 수 있다.



표2에서 보는 바와 같이 바이러스 수는 매년 150~200% 가까이 증가하고 있음을 알 수 있다. 이는 순수 바이러스 명을 기준으로 추가된 개수를 의미하며, 해외 업체들의 경우 패턴 수를 기준으로 하는 것과는 다소 차이가 있다.

나. 분석 인력의 부재
위와 같은 비율로 바이러스는 증가하고 있지만, 실제 분석 인력은 150~200%이상 늘지 않는다. 최근 안철수 연구소의 차민석 주임연구원은 현시점에서 적절한 분석 인력에 대한 흥미로운 내용을 개인 블러그에 올렸다.[5]

가정은 다음과 같다.

- 한달 접수 샘플 : 4,000 개
- 한달 접수 IRC봇 샘플 : 1,000 개
- 한 사람 처리 가능 수 : 최대 10개
- 한달 근무 일 수 : 24일 (평일 22 일 + 토, 일은 4일을 하루)
- 정상 파일 제외. 정상 파일 포함시 + 1,2 명
- 자동 처리 제외
- 엔진 개발, 실행 압축 해제 인원 제외한 순수한 샘플 분석 인력임

결국 위 가정대로라면 실제 분석인력은 18~22명 정도가 있어야지만, 현재 접수되는 바이러스를 효율적으로 처리할 수 있다. 그 이유는 아래와 같다.

- 20명 ( 20 명 * 하루 7 개 * 평일 근무 24 일 = 3,360 개)
- 개인별 하루 10 개 분석 (7개 악성, 3개 정상)
- 한달 근무 시간 24일 (토, 일은 2명-3명이 한달에 한번씩 출근)
- 나머지 샘플 자동차 처리 (변형들)

따라서 20명 정도의 분석 인력을 운영하지 않고서는 현재 나오고 있는 바이러스에 대한 처리는 쉽지 않다는 것이다. 하지만, 문제는 여기에서 그치지 않는다. 실제 분석 인력을 많이 확보하더라도 바이러스 분석 교육을 체계적으로 받은 인력은 극히 미비하므로 결국 교육에 소요되는 시간이 6개월 이상 걸리며, 실전 대응을 6개월 이상 해야지만 어떤 유형의 바이러스도 혼자 분석할 수 있게 된다. 즉, 분석 인력이 되기 위해서는 1년 이상의 시간이 흘러야지만 가능하다는 의미이다. 또 실제 분석 인력을 투입할 시점에는 더 많은 분석 인력이 필요로 할 테니 그 역시 문제이다.

결국 업체들은 분석 인력의 무한정 투입을 막기 위해 바이러스 분석을 최대한 자동화 하려는 노력을 하고 있다.

-- 다음 '바이러스 게놈 지도를 활용한 변형 바이러스 추론 Part II' 에서는
'바이러스 분석의 자동화'에 관해서 알아보겠습니다.
  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top