위협인자 및 공격 패턴 기반 HWP 문서형 악성코드 탐지 시그니처 생성

Abstract

최근 코로나19로 재택근무가 증가함에 따라 업무에서 주로 사용되는 전자 문서에 악성코드를 삽입한 문서형 악성코드 공격이 활발하게 발생되고 있다. 문서형 악성코드는 메신저, 이메일, 웹사이트와 같은 다양한 경로에서 유입되고 있으며, 문서형 악성코드는 문서 내에 악성코드를 인코딩하거나 난독화하여 숨기기 때문에 기존의 행위 기반 보안 솔루션 및 내부 메일 모니터링 서버를 쉽게 우회할 수 있다. 따라서 본 논문에서는 HWP 문서의 포맷 구조 분석을 통해 총 5가지의 위협인자를 분류하였고 위협인자의 공격코드 패턴 분석을 통해 악성 HWP 문서를 탐지할 수 있는 시그니처를 생성하였다. 이를 통해 최신 악성 HWP 문서를 효과적으로 탐지할 수 있는 시그니처 생성 방안을 제안하며 향후에는 시그니처 생성 및 탐지에 기계학습을 적용하여 연구를 확장할 계획이다.