이스트시큐리티(대표 정상원) 연구 산물인 '안드로이드 기반 악성코드 유사도 분석 방법론' 논문이 세계 3대 보안인증기관 중 한 곳인 '바이러스 블러틴'에 게재됐다.
바이러스 블러틴은 '체크마크', 'ICSA'와 함께 세계 3대 보안인증으로 꼽히는 'VB100'을 심사하는 글로벌 보안인증기관이다. 심사 외에도 글로벌 보안업체 지능형지속위협(APT) 분석 보고서와 연구 결과를 논문 형태로 게재한다.
이스트시큐리티 논문은 안드로이드 APK 파일 내 존재하는 코드 영역을 추출한 후 유사도 해시값을 생성, 비교·분석하는 방법론을 제시했다. 이른바 '덱소퍼지'로 이를 실제 변종 악성코드 공격 사례 분석에 적용해 성능과 효과를 검증했다.
회사 측에 따르면 지난 5년간 국내외 백신 기업이 발표한 74개 악성코드 분석 보고서를 이 방법론으로 분석한 결과, 내부 코드 내 함수 간 연관성을 발견해 악성코드 간 연관성을 추적할 수 있었다. 공격자가 더미코드나 변조된 콘텐츠를 삽입, 악성코드 탐지 우회를 위한 방법을 사용한 경우에도 악성코드 연결고리를 추적해 탐지해냈다.
이스트시큐리티는 안드로이드 사이버보안 위협 예방을 목적으로 이번 방법론과 도구를 오픈소스로 공개했다.
김준섭 이스트시큐리티 부사장은 “지난 수년간 안드로이드 사용자가 증가하면서 이를 겨냥한 다양한 변종 악성코드가 증가, 공동 대응 필요성이 대두됐다”면서 “덱소퍼지 기술이 국내외 안드로이드 악성코드 공격 추적과 사이버 생태계 보안 강화에 일조하길 바란다”고 말했다.
오다인기자 ohdain@etnews.com