본 기술은 리눅스 플랫폼 상에서 동장하며 네트워크상에서 전송되는 실행파일인 PE(Portable Executable) 파일을 탐지하고, 이를 재구성하여 원본 실행파일을 도출하는 기술에 관한 것이다.
- 최근 10년 간 PC 기반의 악성코드는 꾸준히 증가하고 있으며 2013년에는 약 1.9억 개의 악성코드가 유포되고 있는 현황이다. 또한 과거 3.20, 6.25 사이버테러 등과 같이 사이버 침해의 대상이 특정 기업, 기관 및 주요 시설을 겨냥하고 있어 그 피해 규모가 사회, 국가적으로 확대되고 있음.
- 이에 고도화된 침해공격에 대한 증거보존, 신속한 원인 분석을 하기 위한 사이버 블랙박스 시스템은 네트워크 트래픽을 수집하여 내부 유입 실행파일의 재구성과 메타정보의 추출을 통해 악성패턴을 탐지하는 기능을 제공함.
- 또한, 악성파일을 탐지함에 있어서 최근에는 알려지지 않은 형태의 악성프로그램을 이용하여 공격이 시도되고 있는바, 알려지지 않은 악성프로그램에 대한 탐지 기술이 매우 중요한 상황임
- 본 기술이전이 포함하고 있는 기술은 네트워크상에서 실행파일을 탐지하고 재구성하여 재구성된 실행파일의 악성여부를 판별할 수 있는 메타정보를 제공하는 기술임.
- 본 기술은 과거의 기술에 비하여 네트워크 프로토콜의 분석 없이 실행파일을 재구성할 수 있다는 점이 타 기술에 비해 비교 우위에 있다는 장점을 가지고 있음
- 본 기술은 네트워크상에서 송수신되는 네트워크 패킷을 분석하여 PE파일의 존재여부를 판단하고, PE파일이 포함되어 있는 경우, 해당 세션에 속하는 네트워크 패킷을 수집함
- 네트워크 패킷으로부터 PE파일에 포함되는 데이터만을 추출하여 PE파일을 재구성함
- 이때, PE파일 자체에는 PE파일의 전체 크기에 대한 정보가 들어있지 않기 때문에 이에 대한 정보를 계산하여 전체 파일크기를 결정하고 해당 크기만큼 파일을 재구성함
- 본 파일 재구성기술은 네트워크 패킷으로부터 직접 PE파일이 존재하고 있음을 확인하여 재구성함으로써 네트워크 응용이나 프로토콜에 대한 해석과정이 필요 없어서 재구성 성능이 매우 높다는 장점을 가지고 있음
가. 기술이전의 내용
- 네트워크상에서 전송되는 실행파일인 PE(Portable Executable) 파일을 탐지하고, 이를 재구성하여 원본 실행파일을 도출하는 기술
A. 기술명: 사이버블랙박스의 실행파일 수집 및 재구성 기술
- 네트워크 트래픽 모니터링 및 PE파일이 포함된 세션 데이터 수집 기술
- PE파일에 포함되는 데이터만을 추출하여 실행파일 재구성 기술
- 악성여부 판단 기술과의 연동 기능
나. 기술이전의 범위
A. 기술명 : 사이버블랙박스의 실행파일 수집 및 재구성 기술
- 소스코드: 실행파일 수집 및 재구성 프로그램
- 문서: 시스템 설계서, 개발문서, 기술문서
- 본 기술은 네트워크 보안관제 서비스 업체에서 해당 관리대상 서버의 보안성 강화를 목적으로 활용될 수 있음.
- 고도화된 사이버 침해공격에 대한 조기 탐지/대응하고, 증거보존 및 신속한 원인 분석의 기술적 기반을 제공할 것으로 예상됨.
- 기존 장시간이 소요되었던 PC 기반의 디지털 포렌식 기술의 한계를 보완하여 침해사고 분석시간 단축, 침해사고 증거 선별 및 효율적인 관리를 위해 사이버 수사에 활용될 수 있음.