정상 행위 기반의 악성코드 탐지를 위한 응용 프레임워크

Abstract

최근 사용자의 편의를 제공하기 위하여 컴퓨팅을 이용한 다양한 서비스가 제공됨에 따라 공인인증서나 카드정보, 로그인 정보 등과 같은 중요한 정보들을 컴퓨팅 기기에 저장하는 횟수가 증가하였다. 하지만 이를 악용하는 사례가 빈번히 발생하고 있어 정보의 보호에 대한 관심과 필요성이 높아지고 있다. 종래의 시그니처기반 탐지 기법은 악의적인 프로그램의 코드를 분석하여 악성코드마다의 시그니처 패턴을 찾아야 하기 때문에 변종에 대해 실시간으로 대응할 수 없다는 단점이 있다. 본 논문에서는 외부 모니터링 프로세스와 내부 모니터링 모듈이 상호 협력하여 악성코드의 신종 및 변종을 실시간으로 탐지할 수 있는 정상행위 기반 악성코드 탐지 응용 프레임워크를 제안하고자 한다. 응용 프레임워크는 인증된 응용 프로그램의 자원을 보장하기 위해 응용 프로세스 내부에서 작동하는 모니터링 모듈과 외부에서 작동하는 모니터링 모듈 및 이들의 협업을 이용하여 응용 프로그램의 내외부의 비정상행위를 탐지하고 차단하는 프레임워크를 제안한다. 본 응용 프레임워크는 악성코드가 실행될 수 있는 4가지 환경에 대하여 비정상 행위를 차단할 수 있다. 첫 번째는 내부 프로세스에서 악성코드가 실행될 때 악성코드가 정상적인 행위로 가장하기 위하여 내부 모니터링 장치를 통해 API 호출을 한 경우이며 두 번째는 내부의 모니터링 장치를 거치지 않고 OS의 API를 직접 접근하는 경우이고, 세 번째는 프로세스 외부에서 악성코드가 실행될 때 해당 응용프로세스가 이미 실행 중일 경우와 마지막으로 응용프로세스가 실행 중이지 않을 경우이다. 기존의 행위기반 탐지의 경우에는 비정상행위의 존재 여부를 확률적으로 판별하는 반면, 본 연구에서는 내부 모니터링 장치와 외부 모니터링 장치의 상호협력을 통해 비정상행위의 존재 여부를 확정적으로 탐지하는 것이 가능하다.