인섹시큐리티는 11월 7일 오전, 서울시 가산동에 위치한 대륭테크노타운 자사 사무실에 ‘인터제르 애널라이즈’ 출시 기자간담회를 개최했다.

이 날 행사는 인섹시큐리티가 공인파트너인 인터제르의 소프트웨어 DNA 매핑 분석 기법 기반 악성코드 탐지 솔루션 ‘인터제르 애널라이즈(Intezer Analyze)’을 발표하기 위해 마련됐으며, 아리 이탄(Ari Eitan) 연구 총괄 부사장 등의 관계자가 참석한 가운데 진행됐다.

아리 이탄(Ari Eitan) 연구 총괄 부사장은 “악성코드 탐지 솔루션 ‘인터제르 애널리시스’는 2년 동안 파일 바이너리를 기반으로 한 조사를 바탕으로 만들어졌다. 윈도우, 리눅스, APK 등의 파일 타입을 지원하며 자체적으로 개발한 ‘게놈 데이터베이스’를 통해 신종 및 변종 악성코드, 파일리스 악성코드까지 탐지한다.”며, “북한의 해커 그룹 라자루스에서 사용한 7% 가량의 코드가 워너크라이에도 동일하게 재사용된 것을 가장 먼저 찾아낸 곳이 바로 ‘인터제르’다.”라고 말했다.

▲ 인섹시큐리티의 ‘인터제르 애널라이즈’ 출시 기자간담회가 개최됐다.

▲ 아리 이탄(Ari Eitan) 연구 총괄 부사장

‘인터제르 애널라이즈(Intezer Analyze)’는 인터제르 고유의 소프트웨어 'DNA 매핑‘ 분석 기법인 ‘악성코드 유전자 분석’(Genetic Malware Analysis)’을 기반으로 파일의 유사성을 비교하여 악성코드를 판별하는 솔루션이다. 인터제르의 ‘악성코드 유전자 분석’ 기술은 소프트웨어에 대한 'DNA 매핑‘ 기술을 이용하여 분석을 수행하며, 파일 또는 바이너리를 수천 개의 조각으로 분리한 후 다시 수십억 개의 코드 조각으로 나눈 후 인터제르의 ‘게놈 데이터베이스(Code Genome Database)’와 비교한다.

이와 함께 ‘인터제르 애널라이즈’는 코드 유사성(Code Similarity), 코드 재사용(Code Reuse), 스트링 재사용(String Reuse) 등을 검사하여 비교 및 판별을 수행한다. 코드 인텔리전스 기술을 이용해 코드 재사용과 스트링 재사용을 검사하고 파일의 유사성을 비교하여 악성코드를 판별하는 ‘코드 유사성(Code Similarity)’을 검사하고, 코드 DNA 매핑 기술을 이용하여 코드 재사용률을 비교하여 파일의 악성(Malicious) 여부와 신뢰(Trusted) 여부를 정확하게 판별하는 ‘코드 재사용(Code Reuse)’을 검사한다. ‘스트링 재사용(String Reuse)’ 검사는 코드 DNA 매핑 기술을 이용하여 스트링 재사용률 비교, 파일의 악성(Malicious) 여부와 신뢰(Trusted) 여부를 정확하게 판별한다.

또한 ‘인터제르 애널라이즈’는 조직의 침해사고 대응(Incident Response)과 실시간 사이버 보안 위협 탐지를 위해 API 연결을 이용하여 플러그-앤-플레이 형태로 간단하게 사용할 수 있다. 직관적이고 사용하기 쉬운 인터페이스를 기반으로 간단하게 설치할 수 있으며, 인섹시큐리티를 통해 SaaS 및 온프레미스 제품으로 구입할 수 있다.

인터제르는 개발자가 악성코드나 제품을 만들 때 대부분 같은 코드를 재사용한다는 점을 이용해 탐지 및 분석할 수 있도록 ‘인터제르 애널리시스’를 설계했다. 파일 없이 드라이브 상에서만 존재하는 파일리스 악성코드나 알려지지 않은 악성코드도 코드 분석을 통해 도출해낼 수 있다.

‘인터제르 애널리시스’는 파일을 업로드만 하면 파일을 실행시킬 필요 없이 ‘게놈 데이터베이스’와 비교해 2~3초 내에 빠르고 정확한 결과를 도출해낸다. 이 때 인터제르의 ‘게놈 데이터베이스’는 타사와 정보를 공유는 물론 허니팟을 사용해 직접 데이터를 수집하고, 내부 분석팀을 통해 실시간으로 정확성과 안전성을 확인해 신뢰성을 구축한다.

이 외에도 ‘인터제르 애널리시스’는 APT에 주로 사용되는 신종, 변종 악성코드의 특징을 식별하여 APT 공격을 탐지하고, 분석 대상 파일을 빠르고 정확하게 분석 및 이해한다. 프로세스 덤프 또는 시스템 메모리 덤프 등 메모리 덤프 파일 분석도 지원한다. 합법적이거나 정상적인 S/W 소스 코드를 인식하여 잘못된 탐지를 최소화하며, 리버스 엔지니어링을 가속화 시켜 기존에 분석했던 S/W 또는 악성코드를 식별하여 동일 대상의 재분석을 방지한다. API를 지원하기 때문에 기존 시스템과 쉽고 빠르게 연동할 수도 있다.

▲ ‘인터제르 애널라이즈’는 ‘악성코드 유전자 분석’을 기반으로 파일의 유사성을 비교하여 악성코드를 판별하는 솔루션이다.

▲ ‘인터제르 애널리시스’의 실제 장비로 데모 시연이 이루어졌다.

<저작권자(c) 아크로팬(www.acrofan.com). 무단전재-재배포금지>