♠세상사는 이야기(코람데오)♠

Signature Heuristic Detecion이란? (서명기반 의심 진단)-IT 정보

비타민님 2015. 5. 28. 04:28




블로그에서 나이가 많다는 동정심이나,

사회에서 성직자,종교 공동체,저명 시인,작가,직책이나 경력 등등 내세우면서

컴퓨터 다루는데 미숙하다는 점을 다른 블로거들에게 설득시키며

바이러스 유포나 악성 코드를 심는 자들이 있습니다.

또 발각이 되면 블로그를 차단하거나 비공개로 전환을 합니다.

가장 저질스런 숫법으로  댓글 쓰기를 차단하는 비열한 숫법도 마다합니다.

선량한 블로그들의 댓글방이 없는 걸 역이용하는 악질 숫법입니다.

이런 짓을 하는 자들의 포스팅을 보면 알 수가 있습니다.

또 촌노는 친구 신청이나 맺기를 한 적이 없는데 

관리 방문 기록에는 친구로 표기가 되어 있다는 겁니다..

촌노는 보안 및 관련 기술에 관하여 전문가는 아니지만 알아 본 봐로는,

악성 코드는 의심 진단에도 안걸리는 새로운 기법이 출현을 한다고 합니다.

글 포스팅 내용에 오류가 있을 수 있습니다.(상세 부분은 넷에서 검색를 하세요)

 

안티 바이러스의 필수 항목이 된 시그니처 휴리스틱 진단에 대해서 살펴봅니다.

 

백신이라고 많이 불리우는 안티바이러스는

기본적으로 Signiture Detection이란 방식을 이용해서 악성코드를 진단합니다

시그니처 진단은 서명 기반 진단 혹은 정의 기반 진단이라고 의역되는데,

이는 악성코드 내의 특별한 코드를 찾아내어 진단하는 방식입니다.

(※ 현재 'Behavior Detection-행동 기반 진단'도 현재 많이 쓰이지만,

이 포스팅에서는 논외로 합니다.)

 

보안 업체는 악성코드를 진단하기 위해 악성코드를 분석(Debugging)해서

내부의 특정 코드를 수집하고, 이를 데이타 베이스화합니다.

DB화한 정의 목록을 파일로 만들어

각 사용자 PC에 배포하게되면(DB 업데이트),

사용자 PC에 설치된 안티 바이러스가 이를 기반으로 악성코드를 진단하게 됩니다

그런데 이러한 DB화된 정의 파일을 이용하여 진단할 때

보통 '정식 진단'을 하였다고 합니다.

이러한 정식 진단은 DB로 정의된 악성코드에 대한 고유의 정보를 포함하고 있어,

정식 진단된 객체는 일반적으로 악성코드라고 볼 수 있습니다.

 

하지만 이런 정식 진단만 가지고는

현재의 악성코드 유포에 대응이 불가능하기 때문에 좀 더 발전되거나,

기존의 진단 방법을 응용하여 진단에 사용하는 기법들이 있습니다.

진단명을 기준으로 볼 때 안티바이러스의 진단 중

'Heur', 'generic' 등이 명칭이 포함된 경우를 종종 볼 수 있는데,

이러한 진단명을 가진 진단은

이른바 Heuristic Detection(의심진단)이라고 불립니다.

 

이번 글에서는 의심 진단 중에서도

서명 기반 의심 진단(Signature Heuristic Detecion)에 대해서 살펴보고,

국내외 제품에서 볼 수 있는 의심 진단명을 검색 참조하시기 바람니다.

 

정식 진단/의심 진단이라고 나뉘었지만,

실제로 사용되는 각종 분석 및 진단 방법은 매우 다양합니다.

이 글에서는 다만 정식 진단과 의심 진단의 차이점과

의심 진단에 대한 간략한 정보만을 살펴보는 것이 목적입니다.

 

의심 진단과 정식 진단의 큰 차이는

의심 진단은 진단되는 객체에 대한 고유의 정보를 포함하고 있지 않다는 점입니다

일반적으로 악성코드들이 갖고 있는 특징적인 혹은 대표적인 코드를 바탕으로,

이와 유사한 패턴의 코드를 가진 경우

악성코드로 '의심'하는 것이 의심 진단의 핵심입니다.

 

촌노가 생각하기에 정식 진단과 의심 진단을 구별할 줄 알아야하는 이유는

두 진단 간에 존재하는 오진 발생율의 차이 때문이라고 봅니다.

의심 진단은 보안 업체의 분석가

또는 자동 진단 시스템에서 직접 객체를 분석하여 진단값이 나온 것이 아닙니다.

매우 다양한 방법을 통해 악성코드로 의심되는 여러 '패턴'을 포착하여

진단하는 진단입니다.

따라서 정식 진단과 달리 정상 파일을 오진할 가능성이 높습니다.

쉽게 말해서 오진을 해서 컴퓨터가 작동이 안되는 경우도 발생합니다.

무섭게 잔인한 사이버 세상이기도 합니다.