악성코드 분석 관점

기업 보안 담당자를 위한 악성코드 분석

아래 옮기는 글은 며칠 전에 개인 블로그에 올렸던 글이다. 브런치에도 그대로 올려서 더 많은 분들이 내 글을 읽고 의견을 공유했으면 좋겠다.

어제 야근을 하고 오늘 아침에 퇴근해서 오침을 했더니 잠이 오질 않는다.

또 여러가지 생각들로 머리가 가득차서 더 잠이 오질 않는다.

출판, 강의, 자기계발, 코딩 등 여러가지 생각들과 아이디어들이 소용돌이 치고 정리가 되질 않는다.

자기 전에 떠오른 생각 하나만 적어보자.

악성코드 분석을 할 때 분석자의 포지션에 따라서 접근 방법이 달라진다.

상세한 정적 분석은 사실 백신 회사의 전문 리버서가 아니라면 일반 기업이나 공공기관의 보안 담당자들이 할 수가 없고 할 시간도 없다.

분석 대상 파일은 점점 많아지고 할 일은 많고 사람은 항상 부족한게 보안 현장일 것이다.

보안담당자 입장에서 시급히 할 일은
1. C&C 주소 파악 및 차단
2. 감염 사용자 네트워크 분리
3. 감염 경로 파악

정도가 될 것인데 사실 1번만 바로 할 수 있는 일이고 2, 3번은 원격에서 이루어지는 일이므로 담당자가 바로 어찌 할 수 있는 일이 아니다.

2번은 추가 감염 및 전염을 막기 위한 것이고(피해 확산 방지)

3번은 동일한 사례가 재발하지 않도록 하기 위한 조치이다.

이런 급한 불을 끈 다음에라야 자세한 고급 정적 분석이 들어가고 시그니처까지 작성해서 유사 변종 사례에 대한 예방까지가 최선일 것이다.

인터넷에서 얻을 수 있는 악성코드에 대한 정보는 사실 개인 사용자에 초점이 맞춰져 있다. 기업 보안 담당자들끼리의 네트워크가 활발히 이루어질 수 있는 오픈 플랫폼은 없을까?

또 있다 하여도 굉장히 폐쇄적이다. 아무래도 기업 보안이라는게 공개적으로 자료를 쉐어한다는 것이 쉽지 않은 일일 것이다.

요즘은 악성코드 자체에 대한 분석보다는 프레임워크나 거시적인 시스템 관리에 더 관심이 간다.

자자.