¡°¶Õ°í ¼ÓÀÌ°í ¼û°í¡± vs.¡°º¸¾È¾÷°è ÁöÇüµµ ºü¸£°Ô º¯ÇØ¾ß ÇÑ´Ù¡±
[º¸¾È´º½º ÁÖ¼ÒÇü] Å©°í ÀÛÀº Á¤º¸ À¯Ãâ ¼Ò½ÄÀÌ ¸ÅÀÏ°°ÀÌ µé·Á¿Â´Ù. ¿ì¼öÇÑ ±â¾÷µéÀÌ ÇØÅ·À¸·Î ÀÔ´Â ¼ÕÇØ ¿ª½Ã À̸¸Àú¸¸ÀÌ ¾Æ´Ï´Ù. À̵éÀÌ º¸¾È °È¸¦ À§ÇØ ´ë´ëÀûÀÎ ÅõÀÚ¿¡ ³ª¼°í ÃÖ÷´Ü ±â¼úÀ» µµÀÔÇصµ ¼Ó¼ö¹«Ã¥ÀÌ´Ù. ¸î ´Þ°£ ÇØÅ· ´çÇÑ »ç½ÇÁ¶Â÷ ¸ð¸£°í ¹æÄ¡µÇ´Â °æ¿ìµµ ºó¹øÇÏ´Ù°í ¾Ë·ÁÁ³´Ù. °ø°Ý À¯ÇüÀÌ °¥¼ö·Ï Áö´ÉÀûÀ¸·Î ÁøÈÇÏ°í Àֱ⠶§¹®ÀÌ´Ù. ÀÌ¿¡ ´ëÇ¥ÀûÀÎ °ø°Ý °æ·Î 3°¡Áö¿Í º¸¾È ·¹ÀÌ´õ¸¦ ÇÇÇØ°¡´Â ±â¼ú 5°¡Áö¸¦ ¤¾îºÃ´Ù.
¡á ¸Ö¿þ¾î °ø°ÝÀ¯Çü 3°¡Áö
¸ðµç Á¤º¸´Â Å©°Ô ¼¼ °¡Áö À¯ÇüÀÇ °æ·Î¸¦ ÅëÇØ À¯ÃâµÈ´Ù. Ç㸦 Â´Â Åë·Î¸¦ ã¾Æ ÀáÀÔÇÑ ¹ÙÀÌ·¯½ºµéÀº °Å¹ÌÁÙó·³ ÆÛÁ®³ª°£´Ù. ÁÖ¿ä ¸Ö¿þ¾îÀÇ ÀáÀÔ À¯ÇüÀº °¡Áö°¢»öÀÌÁö¸¸ ¸Ö¿þ¾î¸¦ ½ÇÇà½ÃÄÑ¾ß ÇÑ´Ù´Â °øÅëµÈ ÀÓ¹«¸¦ ¸Ã°í ÀÖ´Ù.
°ø°ÝÀ¯Çü 1. ºê¶ó¿ìÀú¸¦ ÅëÇÑ ¼Ò¼È ¿£Áö´Ï¾î¸µ: ±×·²µíÇØ º¸ÀÌ´Â URL ÁÖ¼Ò·Î À¯ÀÎÇÏ´Â ÇüÅÂ. ÀÚ¹Ù(Java)¿Í Ç÷¡½Ã(Flash)ÀÇ Ãë¾àÁ¡À» ³ë¸®´Â °ÍÀÌ ÀϹÝÀûÀ̾ú´Âµ¥ ÀÌ ÇüÅ°¡ Á¡Á¡ ÁøÈÇÏ¿© ħÅõÇß´Ù´Â »ç½ÇÁ¶Â÷ ¼û±â±âµµ ÇÑ´Ù.
°ø°ÝÀ¯Çü 2. À̸ÞÀÏÀ» ÅëÇÑ ¼Ò¼È ¿£Áö´Ï¾î¸µ & ½ºÇǾî ÇǽÌ: ¾Ç¼ºÄڵ尡 ´ã±ä À̸ÞÀÏÀ» ¹ß¼ÛÇÏ°í À̸ÞÀÏÀ» ¿¾îº¸´Â ¼ø°£ ¹ÙÀÌ·¯½º°¡ ÆÛÁö´Â À¯Çü.
°ø°ÝÀ¯Çü 3. °³ÀÎ ·Î±×ÀÎ Á¤º¸ ÇØÅ·: ÀÌ¿ëÀÚÀÇ ·Î±×ÀÎ Á¤º¸¸¦ ÇØÅ·ÇÏ¿© ¿ø°Ý Á¶Á¤ÇÏ´Â »çÅ·ΠÀ̾îÁú ¼ö ÀÖ´Â ÇüÅÂ.
¡á º¸¾È¸ÁÀ» ÇÇÇÏ´Â 5°¡Áö ±â¼ú
¸Ö¿þ°¡°¡ ħÀÔÇÒ ¶§, ±×¸®°í ħÀÔÇÑ ÈÄ¿¡ °¢Á¾ º¸¾È¸ÁÀ» ÇÇÇϱâ À§ÇÑ ±â¼ú 5°¡Áö¸¦ »ìÆìºÃ´Ù.
±â¼ú 1. ·¡ÇÎ(wrapping): ÁÖ·Î ¸Ö¿þ¾î¸¦ ÀÏ¹Ý ÆÄÀÏ¿¡ ÷ºÎ½ÃÄÑ ÇØÅ·ÇÏ·Á°í ÇÒ ¶§ »ç¿ëµÇ´Â ±â¼úÀÌ´Ù. ¸» ±×´ë·Î ·¡ÇÎ(Wrapping)ÇÏ´Â °ÍÀÌ´Ù. º»ÀÎÀÇ Á¤Ã¼¸¦ °¨Ãß°í Æ÷ÀåÇÏ´Â °Í°ú ºñ½ÁÇÏ´Ù. ƯÈ÷, ÀÌ ±â¼úÀº À©µµ¿ì¿Í OS X»ó¿¡¼ ¸¹ÀÌ »ç¿ëµÈ´Ù. ¾ÆÀ̽ºÆ÷±×(IceFog)·Î ¾Ë·ÁÁø ¸Ö¿þ¾î´Â Ŭ¸°¸¶À̸Æ(CleanMyMac)À¸·Î °¡ÀåÇØ OS X ÀÌ¿ëÀÚµéÀ» ¼ÓÀδÙ. ¾îµð¾ðµàÅ©(OnionDuke)ÀÇ °æ¿ì´Â ¾îµµºñ(Adobe) ¼³Ä¡¸¦ °¡ÀåÇØ ¿øµµ¿ì¿¡¼ ¸¹ÀÌ ÀÌ¿ëµÈ´Ù.
±â¼ú 2. ³µ¶È(Obfuscation): ¸» ±×·¡µµ ³µ¶ÈÇØ º¸¾È ·¹ÀÌ´õ¸¦ È¥¶õ½º·´°Ô ÇÏ´Â À¯ÇüÀÌ´Ù. ÀÌ´Â ¸Ö¿þ¾î°¡ ³ëÃâµÇÁö ¾Ê°Ô µµ¿ÍÁØ´Ù. ÆÄÀÏ À̸§À̳ª URL µî°ú °°Àº ÀϺθ¸ ³µ¶È½ÃÄѵµ Å« È¿°ú¸¦ °ÅµÑ ¼ö ÀÖ´Ù. ³µ¶È¸¦ ÇÏ·Á¸é ÀÎÄÚµùÀÌ ÇÊ¿äÇѵ¥ XORÀÌ ÇÑ ¿¹´Ù.
±â¼ú 3. ÆÐÄ¿½º(Packers): ¡®³µ¶È¡¯ ±â¼úÀÇ ¶Ç ´Ù¸¥ ÇüÅ·Πº¸¸é µÈ´Ù. ¹ÙÀ̳ʸ® ÆÄÀÏÀ» ¾ÏȣȽÃÅ°´Â °ÍÀÌ´Ù. À¯ÇÇ¿¢½º(UPX), ÇÇÀÌÄÄÆúÆ®(PEComport), ¾Æ¸¶µô·Î(Armadillo) µî°ú °°Àº ¹æ¹ýÀÌ ÀÖ´Ù.
±â¼ú 4. ¾ÈƼµð¹ö±ë(Anti-debugging): ÀÌ ±â¼ú ¶ÇÇÑ ³µ¶È¿Í ºñ½ÁÇÏ´Ù. º¸¾È ·¹ÀÌ´õ°¡ ºÐ¼®À» ÇÏ´Â ÀÛ¾÷À» ¹æÇØÇÏ´Â ±â¼úÀÌ´Ù. ¿ª°øÇÐ ¿ø¸®¿¡ ±â¹ÝÇÏ¿© ÀÛµ¿µÈ´Ù. Á¦·Î¿¢¼¼½º(ZeroAccess)°¡ ¾ÈƼµð¹ö±ëÀÇ ´ëÇ¥ÀûÀÎ ¿¹Àε¥, µð¹ö±ëÀÌ ´À²¸Áö¸é ÀÚµ¿À¸·Î ¹æÇظ¦ ½ÃÀÛÇÏ´Â °ÍÀÌ´Ù.
±â¼ú 5. ¸ÂÃãÇü(Targeting): ¸ÂÃãÇü ±â¼úÀÌ´Ù. 1´ë1·Î ´ëÀÀÇÏ´Â °ÍÀÌ´Ù. À©µµ¿ì XP¸é À©µµ¿ì XP¿ë, ÀÎÅÍ³Ý ÀͽºÇ÷η¯ 10ÀÌ¸é °Å±â¿¡ ¸Â´Â ±â¼úµéÀÌ ÀÛµ¿ÇÏ¿© ·¹ÀÌ´õ¸¦ ÇÇÇÏ´Â °ÍÀÌ´Ù. ÀÌ ±â¼úÀÇ ´ÜÁ¡Àº »÷µå¹Ú½º(Sandbox) ¾ÈÀÇ ·¹ÀÌ´õ¿¡ ´ëÇؼ¸¸ ´ëÀÀÀÌ °¡´ÉÇÏ´Ù´Â °ÍÀÌ´Ù. °¢°¢ÀÇ È£½ºÆ®µéÀº ´Ù¸£°Ô °ø°Ý¹Þ±â ¶§¹®ÀÌ´Ù.
¸Ö¿þ¾î°¡ º¸¾È ·¹ÀÌ´õ¸ÁÀ» ÇÇÇÏ´Â ±â¼úµéÀÌ °è¼Ó ¹ßÀüÇÏ´Â ¸ð¾ç»õ´Ù. ÀÌ¿¡ ¹ß¸ÂÃç º¸¾È¾÷°è ÁöÇüµµ ºü¸£°Ô º¯ÇØ¾ß ÇÑ´Ù. º¸ÀÇ Áøȸ¦ À§Çؼ´Â ºÐ¼® ¹× ¿¬±¸°¡ ÇÊ¿äÇѵ¥ À̸¦ À§ÇØ ´Ù¾çÇÑ Á¤º¸ °øÀ¯°¡ ½Ç½Ã°£À¸·Î ÀÌ·ç¾îÁ®¾ß ÇÑ´Ù. ÀڽŰú °ü°è¾ø´Â ¸Õ ³ª¶ó À̾߱Ⱑ ¾Æ´Ï´Ù. ´Ùµé Àû±ØÀûÀÎ ÀÚ¼¼·Î µ¿ÂüÇÒ ÇÊ¿ä°¡ ÀÖ´Ù. ¿äÁò ¸Ö¿þ¾îÀÇ Çൿ¹Ý°æÀ» º¸¸é ´©±¸µçÁö ¾ðÁ¦µçÁö ÇÇÇØÀÚ°¡ µÉ ȯ°æ¿¡ ³õ¿© Àֱ⠶§¹®ÀÌ´Ù.
@DARKReading
[±¹Á¦ºÎ ÁÖ¼ÒÇü ±âÀÚ(sochu@boannews.com)]
<ÀúÀÛ±ÇÀÚ: º¸¾È´º½º(http://www.boannews.com/) ¹«´ÜÀüÀç-Àç¹èÆ÷±ÝÁö>