Kim Il Sung University “Major Codes for Socio-Economic Development of Malware Detection"

북한의 IT 보안 관련 서적들

북한이 악성코드가 정보체계를 위협하고 있다며 악성코드 검출이 단순히 기술적 사안이 아니라 사회경제발전과 관련된 중요한 문제라고 지적했다.

대북 소식통에 따르면 김일성종합대학 홈페이지에 9월 21일 ‘유사도 측정에 의한 악성 프로그램 검출’이라는 글이 게재됐다. 이글은 김일성종합대학 첨단과학연구원 관계자 명의로 작성됐다.

글은 “악성 프로그램은 오늘 정보체계에 대한 중요한 보안위협으로 되고 있다”며 “그러므로 악성 프로그램 검출은 사회경제발전과 정보보안사업에서 중요한 문제로 제기된다”고 주장했다. 또 “세계적으로 매일 평균 10만개 이상의 새로운 악성 프로그램들이 출현하고 있으며 이중에는 이미 알려진 악성 프로그램 변종들이 적지 않은 비중을 차지한다. 그러므로 유사도 분석은 악성프로그램 검출과 분류에서 효과적인 방법으로 된다”고 지적했다.

글은 악성 프로그램 검출 방법 그중에서도 유사도 분석 방법에 대해 설명했다. 우선 악성 프로그램 유사도 분석을 두 단계 즉 특징추출단계와 유사도 계산 단계로 나눌 수 있다고 밝혔다. 

이중 특징추출은 악성 프로그램 분석에 의해 진행되는데 분석 방법에는 정적 분석과 동적 분석이 있으므로 악성 프로그램의 특징에는 정적 특징과 동적 특징이 있다고 설명했다.

북한 연구원들은 동적 분석에 의해 얻어지는 악성 프로그램의 체계호출(API호출) 기록에서 파라메터들을 제거하고 오직 함수 이름만 남겨 문자열 형식의 함수 이름들의 열을 얻었다고 한다. 문자열의 유사성 척도로 보통 편집거리(edit distance)를 이용하는데 북한 연구원들은 계산량을 줄이고 탐색속도를 높이기 위해 체계 호출열을 그대로 이용하지 않고 n-그람법을 이용해 연이은 n개의 체계호출 함수들의 열을 특징으로 했다는 것이다.

이처럼 특정한 체계 호출열들은 모든 프로그램들에서 나타날 수 있으므로 문서검색에서 용어의 무게 결정에 이용되는 거꿀문서빈도수(inverse document frequency)를 계산해 그 값이 작은 n-그람들은 제외했다고 한다.

글은 유사도측정방법으로 악성 프로그램 검출하는데 알려진 악성 프로그램 표본 모임에서 검사대상과 유사한 표본을 탐색하는 속도를 높이는 문제가 제기된다고 지적했다.

글에 따르면 북한 연구원들은 이렇게 제안한 악성 프로그램 검출 방법의 효과성을 검증하기 위해 4000개의 악성 프로그램 표본 모임에서 3600개로 표본 자료기지(DB)를 구축하고 나머지 400개의 악성 프로그램 표본과 1000개의 정상 프로그램으로 시험 모임을 구성했다고 한다.

글의 내용은 악성코드를 잡아내는 백신 소프트웨어(SW)의 기술 중 일부를 설명한 것으로 보인다. 북한은 글에 나온 내용 뿐 아니라 다양한 악성코드 검출 방법을 연구하고 있을 것으로 추정된다.

주목되는 점은 악성코드 대응에 관한 북한의 인식이다.  내용을 보면 북한이 악성코드가 IT시스템에 중요한 보안위협이 되고 있으며 정보보안을 강화하는데 있어서 악성코드 대응이 중요한 요소로 보고 있다는 점을 알 수 있다. 나아가 악성코드가 사회경제적인 영향을 줄 수 있다고 심각하게 보고 있다는 것도 추정할 수 있다.

강진규 기자  maddog@nkeconomy.com

* 독자님들의 뉴스레터 신청이 NK경제에 큰 힘이 됩니다. 많은 신청 부탁드립니다.

 

저작권자 © NK경제 무단전재 및 재배포 금지