스피어 피싱 대응을 위한 행위기반 판별에 대한 연구 - 악성코드 분석기법-

스피어 피싱 대응을 위한 행위기반 판별에 대한 연구

2 가상머신의 역할과 기능

2.1 악성코드 분석기법

   전통적으로 악성코드를 분석하는 방법은 크게 동적 분석과 정적 분석 2가지가 분류된다. 아래 [그림 2] 악성코드 분석기법은 전통적인 악성코드 분석을 알기 쉽게 표현하였다. 본 연구에서 구현하고자 하는 가상머신을 이용한 유해 행위 탐지시스템은 ‘동적 분석’을 가상머신 화한 후, 자동화한 것이다.

[그림 3] 악성코드 분석 흐름도

   정적 분석(Static analysis)

디버거나 역공학(Revers engineering)기법은 악성코드를 직접 실행하지 않고 분석하는 것으로 실행 조건 없이 악성코드의 구조와 동작 특징을 분석하는 기법이다. 반면 분석 기능을 자동화하기 어렵고, 실행코드 암호화나 패킹(Packing) 등 은닉기술이 적용되어 분석에 많은 인력과 시간, 노력이 필요하다.

   동적 분석(Dynamic analysis)

악성코드를 가상머신 환경에서 실행하여 유해 행위를 탐지하고 분석하는 기법이다. 행위정보를 기반으로 분석하기 때문에 최근에 만들어진 악성코드 탐지 가능성이 높고, 분석 기능의 자동화로 시간을 단축할 수 있는 장점이 있다. 하지만 동작하기 위한 특별한 환경과 조건이 필요하고 분석 환경을 인지하여 회피하는 악성코드를 발견할 수 없다는 단점이 있다. 또한, 실제 분석환경에서 악성코드를 동적 분석하는 분석자의 실수로 인해 PC가 감염되거나 네트워크로 퍼져나가 다른 사용자의 PC에도 감염되기도 하는 사고를 방지하기 위해 가상환경을 구축하기도 한다.