좀비PC, 패턴분석 아닌 '행동분석'으로 접근한다

[구윤희기자] '진화'하는 좀비PC용 악성코드를 '행동분석'으로 접근하는 솔루션이 출시됐다.

엔피코어(대표 한승철)는 23일 서울 JW메리어트 호텔에서 '디도스 및 좀비PC 방어를 위한 세미나'를 열고 네트워크 패턴이나 트래픽을 분석하는 기존 방식과 달리 악성코드를 '행동분석'으로 접근하는 솔루션 '좀비제로'를 소개했다.

'좀비제로'의 멀티행위 분석기법은 ▲트래픽 감시 ▲프로세스 행동 감시 ▲파일변조 감시 등 악성코드에 감염될 때 일어날 수 있는 다양한 PC 행위를 연관 분석해 악성코드에 감염됐는지를 확인하는 '역추적' 시스템이다.

한승철 엔피코어 사장은 "3·4 디도스 공격에서 볼 수 있듯 봇넷은 탐지·차단 회피를 위해 다양한 형태로 진화하고 있다"면서 "시그니처 기반으로는 알려진 공격만 탐지가 가능하고 봇넷 변동 사항을 파악하기 어렵다"고 주장했다.

그는 특히 "행위 기반으로는 봇넷이 명령이나 패턴을 변경할 때 탐지 못하는 일이 발생한다"며 "단순한 패턴방식이 아니라 이상 행위를 발견하면 관련 프로세스를 중지시키고 해당 파일을 추출해 즉시 치료하는 방식으로 신종이나 변종 악성코드를 치료할 수 있다"고 설명했다.

한 사장은 "3·4 디도스 때 이용된 악성코드에서도 볼 수 있듯, 최근 악성코드는 디도스 공격을 일으킨 뒤 하드디스크 파괴 명령까지 이어지므로 발견 즉시 치료까지 이뤄지는 것이 중요하다"고 강조했다.