스피어피싱 대응을 위한 행위기반 판별에 대한 연구 - 시스템 구성 -

스피어 피싱 대응을 위한 행위기반 판별에 대한 연구 

1.7 시스템 구성

최근, 클라이언트 시스템이 아닌 가상머신을 활용해 의심되는 파일을 직접 실행해보며 유해 행위가 포함되어 있는지 탐지하는 기술이 보편화 되고 있다. 가상머신을 이용하는 기술은 대상 파일을 직접 실행하여 유해 행위를 탐지하는 기술이다. [그림 1]은 스피어피싱 대응을 위한 변종 악성코드 판별에 대한 전체 시스템의 동작 구성도다.

[그림 1] 가상머신을 이용한 유해 행위 탐지시스템 동작 구성도


   가상머신서버를 활용하면 하나의 시스템에 여러 개의 가상머신을 동작시킬 수는 장점이 있다. 악성코드 분석가가 동적 분석을 사용해 악성코드가 설치되거나 시스템이 망가지게 되면 이를 재설치하는 데 많은 시간이 소요되게 되는데, 가상머신을 활용하면 빠르게 초기화(Snapshot)가 가능하며 동시에 여러 개의 악성코드를 분석할 수 있다는 장점이 있다. 가상머신을 활용한 악성코드 탐지 시스템을 구현함으로써 분석가는 분석가 시스템과 독립적인 공간에서 다양한 운영체제에 악성코드 실행하며, 분석가의 시스템에는 어떠한 악영향도 미치지 않는다. 

   가상머신을 이용한 유해 행위 탐지시스템의 흐름은 이메일 서버에 사용자의 이메일이 도착하면, 해당 이메일에 첨부파일이 존재하는지 확인하고 존재하면 이메일에 첨부된 첨부파일을 가상머신 클러스터로 전송한다. 가상머신 클러스터는 먼저 해당 첨부파일을 시그니처 탐지 가상머신으로 전송하고 첨부파일의 시그니처 검사를 통해 악성코드 유무 검사 후, 악성코드로 판명되면 즉시 폐기 처분하고 사용자에게 알린다. 악성코드로 판명되지 않은 첨부파일은 다음 단계로 행위기반 검사 가상머신으로 전송하며 대상 첨부파일의 유해 행위 여부를 검사하게 된다. 유해 행위를 하는 것으로 판명되면 해당 첨부파일을 이메일 서버에서 폐기하고 폐기한 이유를 사용자에게 알린다.