고 상호작용 클라이언트 허니팟을 이용한 효율적인 악성코드 수집 시스템 연구

Abstract

웹을 통한 대규모 악성코드 유포에 대한 위협이 지속적으로 증가함에 따라, 이러한 악성코드 유포 네트워크의 위협에 대응하기 위한 노력들이 더욱 중요해 지고 있다. 공격자들은 악성코드 유포 네트워크의 구조를 빈번하게 변경함으로써 탐지와 차단을 우회하고 있으며, 보다 다양한 전략들을 사용하고 있다. 이러한 이유로, 점차 늘어나는 악성 웹 페이지 및 악성코드에 대응하기 위한 다양한 방법들이 제시되고 있다. 악성코드 유포 네트워크는 Drive-by download 공격을 활용하여 불특정 다수의 사용자들을 대상으로 악성코드를 대규모로 유포하기 위해 사용되며 필요에 따라 임시로 구성되기 때문에, 단순히 악성 웹 페이지를 구분하고 개별 악성코드를 분석하는 기존의 방식으로는 공격자들의 전략에 능동적으로 대응하기 어렵다는 문제가 있다. 이러한 문제를 해결하기 위해 본 논문에서는 가상 머신 기반의 고 상호작용 클라이언트 허니팟을 이용하여, 웹을 통해 유포되는 악성코드를 효율적으로 수집하고 분석하기 위한 시스템을 제안한다. 제안하는 시스템은 Drive-by download 공격이 일어나는 과정을 바탕으로 악성코드의 수집과 분석 과정을 구분하였으며, 이를 통해 악성코드 수집 과정에서의 불필요한 감염을 줄여 가상 머신의 이미지 복원 횟수를 줄였다. 또한 여러 개의 악성 웹 페이지들을 병렬로 분석하여 연속적으로 악성코드를 수집하는 과정에서, 동일한 Exploit tool kit에 의해 생성된 유포 페이지들에 대한 미탐을 줄였고, 가상 머신의 사용빈도를 줄임으로써 전체적인 악성코드 수집 성능을 향상시킬 수 있음을 보였다. 한편, 제안하는 시스템의 필요성과 효과를 증명하기 위해 실제 국내에서 웹을 통한 악성코드 유포에 활용되었던 320개의 악성 웹 페이지를 대상으로 약 3개월 동안 악성코드를 수집하였으며, 수집 데이터를 바탕으로 악성코드의 변화를 추적하고 악성코드 유포 네트워크의 특징을 분석하여 공격자들의 악성코드 유포 전략을 구체적으로 확인하였다. 그리고 제안하는 시스템을 활용한 능동적, 주기적인 악성코드 수집을 통해 기존 악성 웹 페이지 기반의 차단 기술을 보완할 수 있는 2차적인 대응 방안의 가능성을 확인하였다.