북한이 악성 프로그램 분석을 자동화하고 오검출을 줄이는 방안을 연구하고 있다.

7월 2일 대북 소식통에 따르면 북한 김일성종합대학은 ‘악성 프로그램 표적자동생성의 실현’이라는 글을 최근 홈페이지에 게재했다.

글은 “악성 프로그램은 정보체계에 대한 중요한 보안위협의 하나로 되고 있다”며 “세계적으로 매일 수많은 새로운 악성 프로그램들이 출현하고 있으며 그 수는 계속 증가하고 있다”고 설명했다.

글은 악성 프로그램 검출을 위한 기본방법이 표적에 의한 방법이라며 이에 대한 연구를 진행했다고 밝혔다. 글은 “새로운 악성 프로그램이 출현하면 보안전문가는 그것을 분석해 계열을 확인하고 표적자료기지(DB)를 갱신해 배포한다”며 “그러나 이와 같은 수동적인 방법은 시간과 품이 많이 들며 중요하게는 새로운 악성 프로그램들의 출현에 원만히 대응하기 어렵다. 그러므로 악성 프로그램의 분석과 표적생성을 자동화해야 할 필요성이 제기된다”고 주장했다.

북한 연구원은 표적생성의 자동화에서 중요한 것이 오검출을 극히 적게 하는 것이라며 정상 파일을 악성 프로그램으로 오검출하는 현상을 없애야 한다고 지적했다.
북한 연구원은 오검출의 원인이 표적으로 선택한 바이트열이 특정한 악성 프로그램에만 존재하는 고유한 프로그램이 아니라 정상 파일에서도 나타나기 때문이라고 설명했다. 이것이 표적을 서고함수 부분에서 추출하거나 혹은 악성 행위를 수행하는 프로그램이 아니라 정상프로그람들에서도 흔히 볼 수 있는 프로그램 부분에서 추출했을 경우에 발생한다는 것이다.

글은 일반 프로그램 작성자들과 마찬가지로 악성 프로그램 제작자들도 비주얼 스튜디오(Visual Studio)와 같은 개발도구나 서고를 이용해 악성 프로그램을 제작할 수 있으며 이때 파일 입출력, 문자열 조작, 도형처리 등과 같은 기능을 수행하는 서고함수들이 악성 프로그램에 포함될 수 있다고 설명했다. 이런 서고함수들은 정상 프로그램들에서도 자주 나타날 수 있다는 것이다. 이런 문제를 줄이기 위해 북한 연구원들은 악성 프로그램 분석 시 서고함수 부분들을 제거해야 한다고 주장했다.

이후 서고함수를 제거한 나머지 프로그램 부분에서 악성 프로그램에 고유한 프로그램이라고 볼 수 있는 부분들에서 표적 후보들을 선택해야 한다고 밝혔다.

또 생성된 표적후보들의 바이트열이 임의의 정상 파일에서 존재하는지 검사해 표적의 신뢰성을 검증하는 단계를 거쳐야 한다고 북한 연구원들은 설명했다.

북한 연구원들은 제안한 자동표적생성 방법의 효과성을 검증하기 위해 320개의 악성 프로그램 표본에 대해 자동 생성된 표적들의 적합성과 오검출에 대한 실험을 진행했다고 한다. 그리고 실험결과 95% 이상의 표본들에서 자동 생성된 표적이 적합한 것으로 평가됐고 모든 표적들에서 오검출은 확인되지 않았다고 주장했다.

강진규 기자  maddog@nkeconomy.com

* 독자님들의 뉴스레터 신청(<-여기를 눌러 주세요)이 NK경제에 큰 힘이 됩니다. 많은 신청 부탁드립니다.