본문 바로가기

벌새::Security

국내 보안제품 엔진의 굴욕 - Trojan.Win32.Obfuscated

반응형
1. <Daum 영어 사전> obfuscate 의미
2. 프로그래밍 의미
 - 프로그래밍을 통한 코드가 외부에서 알아보기 어렵게 만들어진 경우


악성코드 진단명에 Trojan.Win32.Obfuscated (Kaspersky 기준)으로 진단되는 악성코드가 있습니다.

사전적인 의미를 보면 타인이 해당 코드를 분석하기 어렵게 만들어 놓았다는 의미 정도로 해석될 수 있을 것 같습니다.

실제 해당 악성코드의 경우 컴퓨터를 감염시키고 추가적인 악성코드를 다운로드하여 악의적인 행동을 하는 등의 역할을 한다고 밝히고 있습니다.

각 보안제품의 엔진은 진단 방식 등에서 많은 차이가 존재할 수 있고, 악성코드를 분류하는 방식도 업체마다 제각각입니다.

최근 국내 보안제품에서 업데이트 되는 진단명을 유심하게 살펴보면 재미(?)있는 부분이 있습니다.

012


하우리, 안철수 연구소, 잉카(nProtect) 업체의 Trojan.Win32.Obfuscated 악성코드에 대한 업데이트 내역입니다.

하루에도 수백개씩에 이르는 해당 악성코드를 잘게잘게 부수어 업데이트를 하면서 최신 악성코드를 진단하려고 노력하고 있습니다.

개인적으로 해당 악성코드의 변종을 여러 차례 수집하여 바이러스 토탈을 통해 초기 검사를 하였을 경우, 상당수의 해외 유명 보안제품이 진단하지 못할 정도로 변종의 보안제품 우회 능력이 우수했던 것으로도 기억에 남습니다.

하지만 세계 최고 중의 보안제품으로 칭찬받는 Kaspersky 업데이트 항목을 통해 Trojan.Win32.Obfuscated 변종의 출현 비율을 살펴보도록 하겠습니다.

Kaspersky의 경우 평균적으로 하루에 해당 악성코드에 대한 변종을 추가하는 진단명은 5개 수준이고 많아도 10여개 이상을 넘어서는 경우는 없는 것으로 보입니다.

여기서 느낄 수 있는 점은 바로 보안제품 엔진의 힘이 아닐까 생각됩니다.

즉, Kaspersky의 경우 Trojan-Downloader.Win32.Obfuscated.epo 라는 진단명 하나로 Win-Trojan/Obfuscated.2179584.B Win-Trojan/Obfuscated.473600.DM Win-Trojan/Obfuscated.482816.ED Win-Trojan/Obfuscated.520192.DS Win-Trojan/Obfuscated.406528.ED Win-Trojan/Obfuscated.929792.C Win-Trojan/Obfuscated.465408.EQ Win-Trojan/Obfuscated.605696.AI Win-Trojan/Obfuscated.341504.BH Win-Trojan/Obfuscated.314368.CP Win-Trojan/Obfuscated.503808.EP Win-Trojan/Obfuscated.579584.BN 등의 악성코드를 진단할 수 있다고 생각할 수 있습니다.(해당 예를 가상적으로 든 예임을 밝힙니다.)

해외 보안제품도 하루에 출현하는 수만개 이상의 악성코드 중 상당수에 대한 업데이트가 이루어지고 있으며, 국내 보안제품 역시 하루에 수천개 이상의 새로운 악성코드를 진단하고 있습니다.

하지만 단순히 진단명 기준으로 따져서는 아무런 의미가 없다는 것이 Kaspersky 엔진을 통한 진단명과 국내 보안제품 엔진에 반영되는 진단명을 보면 확연히 느낄 수 있는 것이 현실인 것 같습니다.

물론 반대의 국내 보안제품이 A라는 진단명으로 다수의 변종을 진단하는 반면 Kaspersky 엔진은 그런 악성코드를 진단하기 위해 여러 개의 진단명으로 진단해야 하는 경우도 종종 있습니다.

전체적인 면에서 볼 때 위와 같은 아쉬운 부분이 너무 눈에 띄는 것을 감안한다면 분명 세계적인 보안제품을 만들기 위해서는 지금의 엔진으로는 다가오는 악성코드의 물결에서 살아남기 어렵지 않을까 생각됩니다.
728x90
반응형