참고

• 문헌 : 인공지능 보안을 배우다 (서준석)

1. 개요

0. 순서 및 배경

• 악성 소프트웨어는 기업과 소비자 시스템상에서 계속적으로 진화하고 있음
• 악성 코드 개발자는 악성 코드에 대한 취약점 조치 즉, 방어가 형성되는 즉시, 시스템 손상인 파괴가 가능한 새로운 변종을 만듬
• 악성 코드는 국가와 글로벌 조직을 향한 무기로 활용되고 있음
• 기업, 기관 등 조직의 데이터 유출 사고는 특정 목표를 달성하기 위해 악성 코드를 사용한 것과 관련된 요소들 갖고 있으며, 경제 부문에서의 조직들은 악성 코드 문제에 직면해 왔다. 특히 WannaCry, Petya와 같은 랜섬웨어 공격이 추가됨에 따라 조직들은 이러한 공격에 대처할 수 있는 조치를 취해야 함
• 사고 대응 분석자는 악성코드 감염에 위험 때문에 악성코드 분석을 위한 방법과 도구에 대해 어느 정도의 지식을 가지고 있어야 함
• 악성코드 개요
• 정적 분석
• 동적 분석
• 분석 도구
• Sandbox 도구 및 기술

1. 악성코드 개요

• 악성 소프트웨어 또는 악성코드(malware)란? → 악성코드의 정의
  • 악성코드는 컴퓨터에 악영향을 끼칠 수 있는 모든 소프트웨어, 코드, 프로그램을 의미하고, 컴퓨터 시스템을 손상시키고 망가뜨리거나 그리 반갑지 않은 상태로 만들기 위해 만들어진 모든 소프트웨어를 통칭하는 용어이며, 기능적으로는 매우 광범위하게 분류된다.
  • 바이러스, 악성코드, 악성 프로그램이라는 다양한 이름을 혼용해 사용하고, 대한민국 법령에서는 악성 프로그램이라는 용어를 사용하며 아래와 같이 정의.
    • 정보통신시스템, 데이터 또는 프로그램 등을 훼손, 멸실, 변경, 위조하거나 그 운용을 방해할 수 있는 프로그램 - 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제2항의 규정
  • 1970년대 최초로 제작된 ‘자가 복제 바이러스’ 크리퍼를 시작으로, 현재는 다양한 악성코드가 존재.
• 분석자는 침해된 시스템이 악성 코드 감염 이후 어떻게 인터넷에 통신을 보내는지 혹은 감염된 시스템상에서 수행되는 활동은 무엇인지와 같은 특정한 동작들을 관찰함으로써 악성코드의 유형과 공격자가 가진 최종 목적을 판단할 수 있다.