▲ ‘브이엠레이 애널라이저’

[아이티데일리] 융합 보안 SW 전문기업 쿤텍(대표 방혁준)은 독일 브이엠레이(VMRay)의 악성코드 공격 탐지 및 대응을 위한 하이퍼바이저(Hypervisor) 레벨 샌드박스 ‘브이엠레이 애널라이저(VMRay Analyzer)’를 국내에 출시한다고 31일 밝혔다.

독일에 본사를 둔 사이버 보안 기업 브이엠레이는 악성코드 분석 및 대응 기술력에서 강점을 갖고 있다. 브이엠레이의 ‘브이엠레이 애널라이저’는 하이퍼바이저 기반의 지능형 동적 분석 가능 솔루션이며, 클라우드 기반 서비스 및 온프레미스(On-premise) 방식으로 제공된다.

샌드박스(Sandbox)는 특정한 공간 내에서 프로그램 또는 코드를 실행시켜 외부 요인에 의한 공격을 배제하도록 운영되는 시스템을 의미하는데, 주로 악성코드 공격을 방지하기 위한 솔루션으로 이용된다. 기존의 샌드박스는 에이전트를 기반으로 악성코드의 행위를 탐지한다. 하지만 이런 접근법은 샌드박스를 감지해 우회하거나, 일정 시간 동안 실행을 중지하는 등 지능형 악성코드 공격을 탐지하지 못하는 단점이 있다. 또한 처리 프로세스가 복잡해 실시간 대응에 있어서 성능이 떨어지며, 분석에 소요되는 시간이 길어진다.

‘브이엠레이 애널라이저’는 호스트 컴퓨터 1대에서 다수의 운영체제를 동시에 실행할 수 있도록 하는 가상 플랫폼 기술인 하이퍼바이저 레벨 샌드박스로, 기존 샌드박스 솔루션의 한계를 보완했다.

가상머신의 내부 상태를 분석해 외부 침입을 탐지하는 ‘가상머신 내부정보 분석(VMI: Virtual Machine Introspection)’과 브이엠레이의 모니터링 기술인 ‘ITM(Intermodular Transition Monitoring)’을 사용하는 ‘브이엠레이 애널라이저’는 모니터링을 위해 별도로 에이전트를 설치할 필요 없이 외부에서 대상 시스템의 활동을 모니터링할 수 있다. 이를 통해 악성코드의 오탐지를 극복할 수 있으며, 의심스러운 행위의 분석 및 탐지율을 높일 수 있다.

또한 ‘브이엠레이 애널라이저’는 악성코드에 따라 자동으로 최적화된 모니터링 환경을 제공한다. 이러한 모니터링 방식은 악성코드의 동작 흐름(커널 점프, COM객체 등)을 정보손실 없이 정확하게 추적 가능하다. 그리고 악성코드 추적 분석 중 운영체제 또는 다른 높은 우선순위의 애플리케이션에 대한 실행 정보가 혼합 되지 않기 때문에 ‘브이엠레이 애널라이저’가 제공하는 악성코드 결과 보고서는 그 정확도가 높다.

방혁준 쿤텍 대표는 “쿤텍은 고객이 악성코드에 효율적으로 대응할 수 있도록 ‘브이엠레이 애널라이저’의 국내 출시를 결정했으며, 쿤텍 자체 개발 제품인 IoT 악성코드 분석 도구 ‘몰리브(Malive)’와의 연동을 통해 IoT 악성코드까지 모두 분석할 수 있도록 지원할 계획”이라고 말했다.