1장 악성코드 분석 소개

악성코드 분석을 시작하기에 앞서 악성코드 분석에 대한 정의를 하나씩 정리하고 넘어가보자.

악성코드란 무엇인가?

악의적인 행위를 하는 코드로 실행파일, 문서파일, 스크립트 등 다양한 형태로 존재한다. 악의적인 행위의 범위는 크게 사용자의 업무를 방해하는 것에서 세부적으로는 파일 또는 시스템 파괴, 시스템의 성능을 저하 또는 마비 유발, 내부 정보 유출까지를 악의적인 행위로 볼 수 있다.

그렇다면 악성코드 분석은 어떻게 정의할 수 있을까.

악성코드 분석이란 무엇인가?

악성코드가 사용자에게 어떤 피해 (악의적인 행위) 를 주는지, 누가 만들었는지, 백신에서 탐지하기 위한 어떤 특징이 있는지를 분석하는 것을 말한다. 이를 위해 악성코드의 흐름을 추적하고 제작자의 흔적을 찾고 악성코드의 탐지에 사용될 수 있는 지표를 찾는다.

악성코드 분석의 정의만 놓고 본다면 엄청난 일을 하는것처럼 느껴질 수 있는데 시작부터 너무 거리감을 느낄 필요는 없다. 악성코드 분석의 본질은 리버싱이고 리버싱의 초점이 악성행위에 맞춰진 것 뿐이다. 그렇다고해서 악성코드를 가볍게 여겨도 된다는 말은 아니다.

(사실은 파일을 분석해 무슨일을 하는 것인지 보는 것이고, 이 때 보는 대상 프로그램이 주로 해커가 제작한 프로그램이기 때문에 어떤 나쁜 행위를 하는지 보는것을 악성코드 분석이라고 한다.)

악성코드 분석을 위해 무엇을 공부해야할까?

악성코드는 IT 분야의 모든 기술들을 종합해 만드는 하나의 작품이다. 어셈블리어부터 사용자 환경 ( UI ) 에 이르는 모든 분야를 폭넓게 알고있어야한다. 크게 정리해보면 다음과 같다.

• Windows API
• Windows Architecture ( OS Architecture )
• Programming Language
• Data Structure
• Network and Data Transport

대부분의 내용이 프로그래머에게 필요한 지식이 아닌가 생각이 들겠지만 악성코드 분석에 있어서도 기반으로 깔려있어야하는 내용들이다. 제시한 항목에 대한 지식이 충분치 않다면 별도의 공부를 병행하는것이 좋다. 강의를 따라오다보면 공부의 필요성을 느낄것이다. 가장 좋은 공부 방법은 악성코드를 직접 제작해보는 것이다. 만약 악성코드 제작자가 이 글을 보고있다면 위의 지식은 이미 충분히 갖춰진 상태이니 뒤에서 설명할 분석 기법들만 본다면 훌륭한 악성코드 분석자가 될 수 있다.

악성코드는 어떻게 수집할 수 있을까?

가장 쉬운 방법은 돈을 주고 사용하는 것이다. 악성코드를 검색하고 다운로드 할 수 있도록 서비스를 제공하는 사이트들이 이미 구축되어있다. 아래 사이트들은 구독형 서비스로 악성코드 관련 서비스를 제공하는 것들이다.

VirusTotal

Free Automated Malware Analysis Service - powered by Falcon Sandbox

무료로 악성코드 다운로드 서비스를 제공하는 사이트들도 있다. 유료 서비스를 제공하는 사이트보다 다운로드 할 수 있는 악성코드의 수가 적지만 현업에서 촌각을 다투는 악성코드 분석과 대응을 하는 분석자가 아니라면 아래 사이트도 유용하게 사용할 수 있다.

MalwareBazaar | Browse Checking your browser

 

관련 보고서

악성코드 뿐만 아니라 사이버와 관련된 문서들이 꾸준히 발간되고 있다. 참고하면 최신의 사이버 분야 트렌드, 악성코드 유형 등의 정보를 접할 수 있다. 국내는 안랩과 같은 잘 알려진 백신 기업 또는 KISA ( 한국인터넷진흥원 ) 등의 공공기관에서 활발하게 보고서를 배포하고있고 영어가 어렵지 않다면 마이크로소프트와 같은 해외 대기업에서 발간하는 보고서를 참고하는것도 큰 도움이 된다. IT 분야는 영어권 국가들이 앞서있고 해외 대기업들은 전세계에 인프라가 잘 구축되어있어 사이버 공격이나 트렌드에 대한 탐지와 대응이 국내보다 한 발 빠르다.

ASEC BLOG - AhnLab

이스트시큐리티 알약 블로그

KISA 인터넷 보호나라&KrCERT

 

글이 도움이 되었다면 하단의 하트와 구독을 눌러주세요. 하트와 구독은 글을 쓰는데 큰 힘이 됩니다.