디지털포렌식 및 네트워크 보안 전문업체인 인섹시큐리티(대표 김종광, www.insec.co.kr )는 오늘, 멀웨어 분석 솔루션 기업인 조시큐리티(JoeSecurity)의 악성코드 정밀 분석 솔루션인 ‘조샌드박스(JoeSandbox)’가 심층 URL 분석 기능이 강화되었다고 밝혔다.

조샌드박스는 정적에서 동적, 동적에서 하이브리드, 하이브리드에서 그래프 분석까지 모두 자동화해 정교하고 정확한 심층분석 정보를 제공한다. 가상머신(VM), 베어메탈 노트북, PC, 휴대폰을 포함한 물리적 시스템과 연동·분석해 VM(가상환경)을 우회하는 악성코드 분석도 가능하다. 새롭게 강화된 탐지 분석 기술은 다음과 같다.

 템플릿 매칭(Template Matching): 대다수의 피싱 페이지가 브랜드 및 로고 이미지를 악용(오용)하여 정체를(정체성을) 숨긴다는 점을 착안하여(활용해) 템플릿 이미지와 일치하는 이미지 영역을 찾는 디지털 이미지 처리 기술을 사용한다. 일부 피싱 페이지의 경우 브랜드 이미지 탐지를 회피하기 위해 (어렵도록) 은닉하는(숨겨두는) 경우가 있어 조샌드박스는 피싱 프레임워크에서 자주 사용되는 디자인을 맵핑할 수 있는 대규모의 템플릿 데이터베이스가 탑재되어 있다.

 부분 해싱(Template Matching): 웹 페이지의 이미지 등의 캡처 데이터를 분석하여 탐지하는 경우가 많은데 조샌드박스는 부분 해싱이라는 이미지 처리 기술을 추가했다. 이미지 내 의미 있는 데이터와 블랙리스트를 쉽게 대조하기 위해 해시로 축약하는 방식이다.

 OCR(광학 문자 인식): 일부 피싱 페이지 중에는 브랜드 이미지를 전혀 사용하지 않고 텍스트만 구성되어 있거나, 텍스트 또한 이미지의 일부로 구성되어 있는 경우, 조샌드박스는 광학식 문자 인식 기능을 적용하여 캡처된 스크린샷 내 텍스트를 인식한다.

 핸드크래프트 지원(Hand Crafted): 일반적인 디지털 이미지 처리 기술은 매우 우수한 효과를 나타내지만 CPU에 많은 부하를 발생시키는데, 전체 분석 시간을 줄이기 위해 모든 데이터에 해당 기술을 적용하기 어려운 경우가 많다. 조샌드박스는 이런 경우를 위해 캡처 데이터와 매칭되는 대규모 야라룰(Yara Rule)과 행위기반 시그니처를 활용하여 빠른 분석을 지원한다. 이런 분석 방법은 빠른 속도와 이미지가 포함되어 있지 않은 피싱 페이지에 유용하게 사용된다.

한편, 조시큐리티는 피싱 공격 트렌드가 탐지를 회피하기 위해 점점 더 진화하고 있다고 분석하고 있다. 최근 확인된 사례는 다음과 같다.

 숨겨진 링크(Hidden Links): 공격 표적에게 직접 링크를 보내는 대신 난독화 된 HTML 파일, 마이크로소프트오피스(Microsoft Office) 파일에 링크를 숨겨두는 공격이 늘어나고 있다. 이러한 공격으로부터 보호받기 위해서는 이메일 게이트웨이와 같은 분석 시스템에서 문서 열기 및 다운로드, 클릭, 링크 연결 등 모든 행위을 자동화할 수 있어야 한다. 조샌드박스는 광범위한 사용자 행위 기반 시뮬레이션 엔진을 통해 이런 공격을 탐지하고 있다.

 자동 로그인 방지(Captch): 피싱페이지에 캡차(Captcha)를 추가하면 기계적인 자동 공격 등이 최종 페이지 도달하는 것을 차단할 수 있다. 조샌드박스는 템플릿 매칭 및 수작업 시그니처를 통해 캡차로 보호되는 페이지까지도 탐지할 수 있다.

 지리적 차단(Hidden Links): 탐지를 회피하기 위해 일부 피싱 페이지는 방문자 접속 정보를 적용하여 차단 정책을 사용한다. 특정 국가의 방문자만 페이지에 액세스할 수 있도록 하는데, 이 페이지는 방문자 IP 및 지역 조회 서비스를 사용하여 국가를 확인한다. 조샌드박스는 로컬라이즈 된 인터넷 익명화 기능을 통해 이러한 차단을 우회하며, 분석가는 분석 전에 특정 국가를 선택할 수 있으며, 분석하는 동안 모든 트래픽은 해당 국가를 통해 라우팅 된다.

 페이지 다운(Hidden Links): 페이지를 동적으로 분석하는 시점에 이미 다운되었을 때에는 피싱 페이지가 제공되지 않기 때문에 모든 탐지 기술도 유명무실하게 된다. 조샌드박스는 이런 경우에도 대응할 수 있도록 아비라(Avira), 슬래쉬넥스트(SlashNext), URL스캔(URLScan) 등의 써드파티 URL 평판 서비스를 사용한다.

조시큐리티 ‘조샌드박스’의 공식 총판사인 ㈜인섹시큐리티의 김종광 대표는 “심층 URL 분석은 조샌드박스의 핵심 구성요소 중 하나로 끊임없이 진화하고 있는 피싱 기법에 대해 광범위하고 정확한 탐지 및 회피 분석 기법을 제공하는 최고의 솔루션이고, 국내 외 수사 기관, 정보기관, 공공기관, 기업에서 적극적으로 활용하고 있다”고 말하였다.