Anti-Malware

Similar documents
Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

아이콘의 정의 본 사용자 설명서에서는 다음 아이콘을 사용합니다. 참고 참고는 발생할 수 있는 상황에 대처하는 방법을 알려 주거나 다른 기능과 함께 작동하는 방법에 대한 요령을 제공합니다. 상표 Brother 로고는 Brother Industries, Ltd.의 등록 상

소규모 비즈니스를 위한 플레이북 여기서 다룰 내용은 다음과 같습니다. 1. YouTube 소개 2. YouTube에서 비즈니스를 위한 채널 만들기 3. 눈길을 끄는 동영상 만들기 4. 고객의 액션 유도하기 5. 비즈니스에 중요한 잠재고객에게 더 많이 도달하기

Windows 8에서 BioStar 1 설치하기

슬라이드 1

View Licenses and Services (customer)

ActFax 4.31 Local Privilege Escalation Exploit

5th-KOR-SANGFOR NGAF(CC)

CSG_keynote_KO copy.key

PowerPoint 프레젠테이션

*2008년1월호진짜

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

PDF_Compass_32호-v3.pdf


Slide 1

Windows 10 General Announcement v1.0-KO

Windows Server 2012

IP 심화 라우팅프로토콜적용시 라우팅테이블에서 이니셜이있는네트워크를설정하는것 : onnected 직접연결된네트워크를의미한다. 그러므로라우팅은 나는이런네트워크와연결되어있다. 를직접연결된라우터들에게알려주는것 1>en 1#conf t 1(config)#router rip 1

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

Microsoft SQL Server 그림 1, 2, 3은 Microsoft SQL Server 데이터베이스소프트웨어의대표적인멀티플렉싱시나리오와라이선싱요구사항을나타냅니다. ( 참고 : Windows Server와 Exchange Server CAL 요구사항은해당서버에대

TGDPX white paper

Microsoft PowerPoint - 권장 사양

Endpoint Protector - Active Directory Deployment Guide

Art & Technology #5: 3D 프린팅 - Art World | 현대자동차

Microsoft Word - How to make a ZigBee Network_kr

untitled

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

vRealize Automation용 VMware Remote Console - VMware

© Rohde & Schwarz; R&S®CDS Campus Dashboard Software

Cloud Friendly System Architecture

Microsoft 을 열면 깔끔한 사용자 중심의 메뉴 및 레이아웃이 제일 먼저 눈에 띕니다. 또한 은 스마트폰, 테블릿 및 클라우드는 물론 가 설치되어 있지 않은 PC 에서도 사용할 수 있습니다. 따라서 장소와 디바이스에 관계 없이 언제, 어디서나 문서를 확인하고 편집

i4uNETWORKS_CompanyBrief_ key

<4D F736F F F696E74202D203137C0E55FBFACBDC0B9AEC1A6BCD6B7E7BCC72E707074>

Windows Live Hotmail Custom Domains Korea

User Guide

Microsoft Word _whitepaper_latency_throughput_v1.0.1_for_

++11월 소비자리포트-수정

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

USC HIPAA AUTHORIZATION FOR

Win7°í°´¿ë

[Brochure] KOR_TunA

Camel_C

Cisco FirePOWER 호환성 가이드

i4uNETWORKS_CompanyBrief_ key

Microsoft Word - release note-VRRP_Korean.doc

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

1701_ADOP-소개서_3.3.key

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

Microsoft PowerPoint - chap01-C언어개요.pptx



PowerPoint Presentation

마켓온_제품소개서_ key

!! ÒªÛ±‚» (05.1)-PDFøÎ.pdf

목차 전략적 우위 달성... 3 비즈니스 응용 프로그램 프레임워크의 중요성... 3 비즈니스 응용 프로그램의 가치 측정... 3 xrm의 기능... 4 xrm은 어떻게 가치를 제공하는가... 4 위험의 완화... 4 고객 사례... 5 개발 기간의 단축... 5 고객

최종_백서 표지

consulting

미디어 및 엔터테인먼트 업계를 위한 Adobe Experience Manager Mobile


공개 SW 기술지원센터

..,. Job Flow,. PC,.., (Drag & Drop),.,. PC,, Windows PC Mac,.,.,. NAS(Network Attached Storage),,,., Amazon Web Services*.,, (redundancy), SSL.,. * A

도약종합 강의목표 -토익 700점이상의점수를목표로합니다. -토익점수 500점정도의학생들이 6주동안의수업으로 점향상시킵니다. 강의대상다음과같은분들에게가장적합합니다. -현재토익점수 500점에서 600점대이신분들에게가장좋습니다. -정기토익을 2-3번본적이있으신분

Straight Through Communication

Xcovery 사용설명서

MF Driver Installation Guide

C O N T E N T S 목 차 요약 / 1 I. 중남미화장품시장현황 / 3 Ⅱ. 주요국별시장정보 / 9 ( 트렌드 유통망 인증 ) 1. 브라질 / 9 2. 멕시코 / 콜롬비아 / 칠레 / 64 Ⅲ. 우리기업진출전략 / 79 # 첨부. 화장품관

: Symantec Backup Exec System Recovery 8:

[서비스] 1. 오프닝 네트워킹 파티 (전체 공통) (1/13(월) 밤 9시) FAST TRACK ASIA와 CAMP에 대해 소개하고, 3개 코스의 전체 참가자들의 소개 및 네트워킹을 진행합니다. 2. 패스트트랙아시아 파트너 CEO들과의 네트워킹 파티 (전체 공통) (

행정학석사학위논문 공공기관기관장의전문성이 조직의성과에미치는영향 년 월 서울대학교행정대학원 행정학과행정학전공 유진아

내지(교사용) 4-6부

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

메뉴얼41페이지-2

ADP-2480

<%DOC NAME%> (User Manual)

MF3010 MF Driver Installation Guide

라우터

취약점분석보고서 [Photodex ProShow Producer v ] RedAlert Team 안상환


2001 년 4 월전력산업구조개편과함께출범한전력거래소는전력산업의중심 기관으로서전력시장및전력계통운영, 전력수급기본계획수립지원의기능을 원활히수행하고있습니다. 전력거래소는전력자유화와함께도입된발전경쟁시장 (CBP) 을지속 적인제도개선을통해안정적으로운영하고있으며, 계통운영및수급

백서2011표지

XSS Attack - Real-World XSS Attacks, Chaining XSS and Other Attacks, Payloads for XSS Attacks

목차 1. 개요 배경 파일정보 상세분석 SMB 취약점공격흐름 특징적인행위 대응

조사구번호 가구번호 - 한국종합사회조사 성균관대학교서베이리서치센터 종로구성균관로 전화

Spotlight on Oracle V10.x 트라이얼프로그램설치가이드 DELL SOFTWARE KOREA

<C3E6B3B2B1B3C0B C8A32DC5BEC0E7BFEB28C0DBB0D4292D332E706466>

Deloitte Template: SOC 1 Type II Report

e-spider_제품표준제안서_160516

VPN.hwp

취약점분석보고서 Simple Web Server 2.2 rc2 Remote Buffer Overflow Exploit RedAlert Team 안상환

사용설명서를 읽기 전에 ios용 아이디스 모바일은 네트워크 연결을 통해 ios 플랫폼 기반의 모바일 기기(iOS 버전 6.0 이상의 ipod Touch, iphone 또는 ipad)에서 장치(DVR, 네트워크 비디오 서버 및 네트워크 카메라)에 접속하여 원격으로 영상을

<%DOC NAME%> (User Manual)

고객 사례 | Enterprise Threat Protector | Akamai

EDB 분석보고서 (04.06) ~ Exploit-DB( 에공개된별로분류한정보입니다. Directory Traversal users-x.php 4.0 -support-x.php 4.0 time-

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

기업분석│현대자동차

TTA Journal No.157_서체변경.indd

<4D F736F F F696E74202D D203120C3D6B1D920C1A4BAB8BAB8C8A320C0A7C7F9B0FA20C4A7C7D8BBE7B0ED20B5BFC7E220B1E8C8ABBCAE202E707

2006_8_14 (8_17 updated) ms ¿ú(wgareg.exe) ºÐ¼® º¸°í¼�.hwp

Transcription:

멀웨어예방센터에대한소개

멀웨어예방센터에대한소개

이문서에들어있는정보는발행시점에논의된문제점에대한마이크로소프트사의최근견해를소개하고있으며마이크로소프트가시장상황의변화에반드시대처해야하므로, 이내용을마이크로소프트사가제시하는약속사항으로해석하지말아야하며, 발행일이후에제공된어떠한정보에대해서도마이크로소프트는정확성을보장하지않습니다. 이는단지정보제공만을목적으로하는백서이며, 마이크로소프트는이문서에서어떠한명시적, 묵시적보장도하지않습니다. 사용자는적용되는모든저작권관련법률을반드시준수해야할책임이있습니다. 마이크로소프트사의서면승인없이이문서의어떠한부분도재출판되거나, 검색시스템에등록또는저장되거나, 어떠한목적이나수단 ( 전자, 기계, 사진복사, 저장등 ) 을사용하여다른형식으로변경할수없습니다. 마이크로소프트사는이문서에서다루는내용에대하여특허권과특허출원, 상표권, 저작권혹은다른지적재산권등을보유하고있을수있습니다. 마이크로소프트사로부터서면라이센스를제공받은경우를제외하고는, 이문서의공급자체가여러분들에게특허권, 상표, 저작권혹은다른지적재산권에관한어떠한라이센스제공을의미하는것은결코아닙니다. c 2007 Microsoft Corporation. All rights reserved. Microsoft, Forefront, OneCare, Windows, Hotmail은미국또는다른국가에서등록된마이크로소프트의등록상표또는상표입니다. 이문서에서사용된실제기업이름과제품들은이들각기업의상표일수있습니다.

목 차 안티멀웨어에대한전망 1 마이크로소프트멀웨어예방센터 1 주요멀웨어동향 2 마이크로소프트멀웨어예방센터에대하여 3 주요대응사례 5 세계적인기관 6 원격측정 8 신속한대응 9 향후전략과비전 10 단기전략 10 향후계획 11 결론 12 부록 : 관련자료 12

1 안티멀웨어에대한전망 바이러스, 트로이목마, 기타악의적인소프트웨어는물론스파이웨어와원치않는소프트웨어들은모두 IT 전문가들의끊임없는관심대상입니다. 사회공학기법을악용한공격방식들도계속증가해가고있으며, 각종위협들도시스템을감염시키려는시도에있어서갈수록치밀해져가고있는추세입니다. 공격자의시야도사용자로까지확장되어, 간혹재정정보나기타기밀정보를훔치려는경우마저있습니다. 따라서이처럼빠르게변하는멀웨어의특성을볼때, 새로이등장하는위협들에대처할수있는잘정의된방법론과프로세스를갖추는것이매우중요한일이아닐수없습니다. 효과적인안티멀웨어보호방식은네트워크와게이트웨이, 응용프로그램및운영체제수준에서의계층화된보안을요구합니다. 그동안마이크로소프트는기업과개인사용자들을위해정보를보호하고액세스를제어하는데도움이되는다양한보안솔루션들을개발해왔습니다. 마이크로소프트의안티멀웨어솔루션들은전문적인기술과지원팀및지원프로세스를통해지원되는데, 그중에서도특히다음두요소가매우중요합니다 : 마이크로소프트멀웨어예방엔진 (Microsoft Malware Protection Engine): 멀웨어정의를기반으로각종위협을검사하고감지하여삭제하는핵심소프트웨어 ( 백서, 안티멀웨어기술의이해참조 ). 마이크로소프트멀웨어예방센터 (Microsoft Malware Protection Center): 새로운멀웨어를조사하여고객에게신속한대응방법을제시하는팀. 본문서에서는고객들을위해지속적인멀웨어연구조사작업을수행하고있는마이크로소프트멀웨어예방센터의역할과활동및그비전에대해자세히살펴보도록하겠습니다. 마이크로소프트멀웨어예방센터 마이크로소프트멀웨어예방센터는고객에게바이러스와스파이웨어및기타새로운멀웨어는물론기존의멀웨어들에대한종합적인보호방법들을제공하는기관입니다. 이센터는풍부한경험을갖춘전문분석가들과새로운위협들을조사하여이에대처하며, 고객을보호하는데필요한보안기술과인프라를제공하는마이크로소프트보안기술자들로구성되어있습니다. 마이크로소프트멀웨어예방센터는 Forefront Client Security, Forefront Server Security, Windows Live OneCare, Windows Defender와기타마이크로소프트보안솔루션및기술들을위해중요한안티멀웨어기술 ( 검사엔진과멀웨어정의업데이트포함 ) 을제공합니다. 그리고이들의세계적인멀웨어조사시스템은전세계의마이크로소프트보안제품사용자들로부터전달되는피드백을기반으로한생생한보안자료들과뛰어난자동분석기술을통해, 각종위협을신속하게발견하여대처하는데도움을주고있습니다. 또여러곳에서수집된정보들을분석하기때문에항상전세계동향을한눈에모니터링할수있습니다.

2 주요멀웨어동향 마이크로소프트멀웨어예방센터는이들의주요업무중하나로악의적이고기본적으로원치않는소프트웨어들에대한연구조사를실시하여이들이고객에게영향을미칠수있는일련의동향들을파악하기위해노력합니다. 그리고이를통해각종위협과소프트웨어취약점에관한주요동향들을기술한보고서도발표합니다. 가장최근에발표되었던 Microsoft Security Intelligence Report ( 마이크로소프트보안인텔리전스보고서, 보다자세한정보는부록을참조하시기바랍니다 ) 는 2006년 7월에서 12월까지의데이터를기반으로한것으로다음과같은몇가지새로운동향들을알려주고있습니다 : 동기부여요인으로작동하는돈 : 그동안많은멀웨어프로그램들이공공물훼손이나자기만족을위해이루어져왔습니다. 그러나스파이웨어와다른원치않는소프트웨어들의진화는이러한소프트웨어개발자들의주요동기로점차재정적수입을강조하게되었습니다. 데이터를파괴하는대신이제스파이웨어는종종돈을목적으로개인정보를수집하거나광고를전달하기시작하고있습니다. 현재파악된악의적인행동들만을살펴보아도원치않는소프트웨어의설치를위한권한확보에서부터사용자의개인금융정보를사용한사기행위에이르기까지그형태가매우다양해졌습니다. 특정대상을목표로하는멀웨어배포 : 멀웨어배포특성도변화했습니다. 과거블래스터 (Blaster) 나새서 (Sasser) 같은웜들은전세계를대상으로급속하게전파되어, 수백만대의기기들을감염시키고미디어나대중의주목을받곤하였습니다. 그러나오늘날에는새로운멀웨어들의상당수가복제되지않는트로이목마의형태를띠며, 특히사용자나보안업체들의주목을끌지않도록교묘하게설계되고있습니다. 멀웨어작성자들은중단이나많은양의네트워크트래픽등과같이명확한감염의흔적들을남기지않으려고노력하고있으며데이터유출과같은다소눈에띄지않는증상들로그형태가변화해가고있습니다. 갈수록복잡해지는위협들 : 멀웨어를생성하는데사용되는기술들이시간이갈수록점점복잡해지고있습니다. 과거멀웨어작성자들은보안소프트웨어가감지할경우이에따라자신들의생성내용을변화시켰습니다. 그러나오늘날멀웨어작성자들은발각되는것자체를피하기위한시간을벌기위해미리부터수천종의변종들을만들어두는경우도있습니다. 멀웨어작성자들은루트킷이나패커같은도구들을사용하여위협들을감지하고분석하기더어렵게만들고있습니다. 뿐만아니라멀웨어작성자들은사회공학기법을활용해사용자들이소프트웨어를설치하도록사용자들을속이기도합니다. 멀웨어에대해현재진행되고있는데이터분석과조사작업은무엇보다오늘날의위협들이전에비해더교묘해지고더빈번히발생하며경제적이익에의해서더많이유발된다는점에서매우중요합니다. 마이크로소프트멀웨어예방센터는핵심적인동향과새로등장하는위협들을파악함으로써사용자들을속이려는각종위협들로부터사용자를보호하는작업에최선의노력을다하고있습니다.

3 마이크로소프트멀웨어예방센터에대하여 마이크로소프트멀웨어예방센터는연구조사및대응프로세스를통해세계여러곳에서전달되는사항과보고서들을모니터하고, 의심스러운멀웨어를분석하며, 최신보호능력을갖출수있도록각종업데이트를제공합니다. 그림 1은안티멀웨어연구조사와대응에대한마이크로소프트의수준높은접근방식을보여줍니다. 정보수집 멀웨어분석 정의생성 정의테스트 업데이트발표 멀웨어샘플과원격측정 업데이트된안티멀웨어엔진과정의 고 객 그림 1: 마이크로소프트안티멀웨어대응과정 마이크로소프트멀웨어예방센터는고객및보안업계와여러과정에서다각도로상호작용하는데, 다음은그러한과정과역할들은간략하게설명한것입니다 : 업계와의공동작업 : 이제보안은모든이들의관심사입니다. 사용자가어떤보안업체를선택했든, 네트워크로연결되어있는컴퓨터들은감염된한대의기기가수천통의스팸메시지들을전송한다거나 DoS(denial-of-service) 공격의사용되는것과같은식으로감염되지않은정상기기들을공격할수있는하나의환경안에존재합니다. 그러므로업계에서는보안능력을보다향상시키기위해각종연구조사자료들을공유하는것이매우중요합니다. 업계의협력을더욱장려하기위해마이크로소프트는멀웨어에대항하기위한업계파트너들간의협력이라는목표하에 Anti-Spyware Coalition (ASC, 안티스파이웨어연합 ) 의창설회원단체이자 Anti-Phishing Working Group( 안티피싱워킹그룹 ) 의정회원단체이기도한 Virus Information Alliance(VIA, 바이러스정보연합 ) 를설립하였습니다. 세계적인동향파악 : 분석작업의첫번째단계는멀웨어에대한정보를수집하는일입니다. 이러한정보는자동화된정보수집도구, 제품지원, 업계샘플공유등을통해수집할수있습니다. 그러나유용한데이터들의상당부분은고객들이보내준정보들이며, 이러한정보들은대개자신들이일상적인기기사용중에발견한문제들을기반으로한것들입니다.

4 멀웨어연구분석 : 연구조사팀은 obfuscation( 소스코드나개체코드에대한역공학을어렵게할목적으로원본파일을조작하는것 ) 과같이멀웨어가현재사용하는전술과기술들을조사합니다. 기존멀웨어에서수집한정보는추가정의를작성하고안티멀웨어엔진을향상시키는지침으로사용될수있습니다. 예를들어, 한연구조사자가멀웨어가새로운 obfuscation 기술을사용하고있다는사실을알아내면, 그에대항하는새로운엔진강화기능을제안할수도있다는것입니다. 멀웨어대응 : 대응팀은신속하게고객문제를해결할솔루션을개발하는데역점을둡니다. 대응팀은수집한데이터를자동화된분석기술을통해분석함으로써신속하게고객들에게영향을미치는기존의위협들과새로이등장한위협들에대응합니다. 새로운위협이등장했을때, 대응팀은멀웨어샘플들을분석하여적절한엔진정의를작성합니다. 대응팀은실제고객들에게일어난문제들을기반으로조사해야할중요한항목들을결정하기위해수집된정보들을사용할수도있습니다. 서명정의 : 멀웨어분석이완료되고나온최종결과치가바로위협을확인하고제거하는엔진에서사용하게될데이터인멀웨어정의입니다. 이정의에는멀웨어내의여러패턴들은물론감염된기기를원래상태로복원하는데필요한삭제및치료과정들이포함되기도합니다. 테스트 : 정의가생성된후엔다양한테스트과정을거쳐서명이예상대로작동하는가를확인하게됩니다. 마이크로소프트멀웨어예방센터는서명이위협들을정확하게구분하는지를테스트하는데필요한다양한종류의파일들을보유하고있습니다. 정확한구분에실패했다는결과가나오면업데이트는롤포워드 (roll-forward) 모델을수행합니다. 그런다음정의내용을다시수정하고테스트한후이전것과대체하여발표합니다. 이런식으로고객들은그정의파일안에서다른위협들에대한보호기능도함께제공받게되는것입니다. 정의업데이트에는중요안티멀웨어엔진에대한업데이트도포함될수있는데, 그러한업데이트들은멀웨어검사, 감지, 삭제등의능력을강화시켜줍니다. 그리고이러한경우, 엔진은표준적인정의테스트외에별도의철저한테스트과정을거치게됩니다. 발표 : 정의가테스트를거쳐인정을받고나면, 디지털서명을하고배포를위한패키지과정을거치게됩니다. 디지털서명은파일의신뢰성과무결성을보장하고, 배포패키지과정은클라이언트를위한다양한종류의전체업데이트와부분업데이트를작성합니다. 클라이언트의업데이트빈도에따라정의에완전업데이트가아닌약간의변경사항만적용하게되는경우도있습니다. 정의업데이트는마이크로소프트에의해하루에도여러차례발표됩니다. 관리자들은 Windows 소프트웨어업데이트서비스와그룹정책 ( 보다자세한정보는부록에있는 Microsoft Forefront Client Security 웹사이트를참조하시기바랍니다 ) 을사용하는것처럼, 기존의업데이트프레임워크와정책을사용해업데이트를관리하고설치할수있습니다.

5 사용자교육 : 더불어분석가들은멀웨어백과사전 (Malware Encyclopedia) 에관련정보들을입력하여, 고객들에게위협의특성이나부작용, 구체적인치료방법들에대한세부사항들을제공할수있습니다. 비록분석가는한번에하나의위협내지는같은종류의위협들만을추가할수있을지몰라도, 발표되는정의내용에는여러개의멀웨어프로그램들에대한통합된데이터들이들어있을수있습니다. 고객은연구조사팀과대응팀의피드백고리안에서매우중요한요소입니다. 고객이정의를설치하고악의적인소프트웨어를검사할때, 이들은분석을위해원격측정정보와샘플을마이크로소프트멀웨어예방센터로보낼것인지여부를선택할수있습니다. 연구조사와대응프로세스에대한고객의적극적인참여는현재멀웨어동향을파악하는데큰도움이될것이며, 마이크로소프트멀웨어예방센터가업데이트를통한신속한대응을통해고객을보호하는데에도중요한역할을할것입니다. 주요대응사례 그림 2에는마이크로소프트멀웨어예방센터와글로벌멀웨어연구조사시스템을특징짓는몇가지내용들이요약되어있습니다. 세계적인기관 원격측정 신속한대응 경험이많은전담팀에의한세계적수준의연구조사와대응 다양한곳으로부터전달된피드백을통한각종위협파악 신속한대응과안내를위한통합프로세스를갖춘자동화과정 그림 2: 마이크로소프트멀웨어예방센터의주요특징들

6 세계적인기관 마이크로소프트멀웨어예방센터에는 Symantec 이나 McAfee, Computer Associates, F-Secure 나기타다른업체들에서근무했던경험많은분석가들과마이크로소프트의플랫폼과응용프로그램및인프라보안을향상시켜줄최상의지침들을숙지하고있는마이크로소프트의기술전문가들이소속되어있습니다. 특히센터는바이러스백신업계에서 10년이상의경력을쌓아온 Vinny Gullotto 에의해이끌어지고있는데, Gullotto 는과거 McAfee 의 Anti-Virus Emergency Response Team (AVERT) 에서이사로근무한적도있습니다. 현재 Gullotto 가이끄는센터에는다음과이들이소속되어있습니다 : Jimmy Kuo, 수석보안연구원. Kuo 는바이러스연구경력만 12년이넘는연구원으로, 과거 McAfee 의 AVERT 연구소에서연구원으로, Symantec 의 NAV 연구소에서담당자로근무하였으며, IBM 과 Computer Associates 에서근무한적도있습니다. Kuo 는 AVAR 2000과 Virus Bulletin Conference에서기조연설을한적도있으며, 멜리사바이러스에대한그의연구를인정받아 Fed 100 Award 를수상하기도했습니다. 뿐만아니라 Presidential Y2K Council 의 Information Coordination Center 에서근무한경험도있습니다.. Katrin Tocheva, 마이크로소프트유럽연구소소장. Tocheva 는바이러스연구경력만 15년이넘습니다. 그녀는 F-Secure Corporation 과불가리아국립과학원의컴퓨터바이러스국가연구소에서근무하였습니다. CARO (Computer Anti-virus Researchers Organization) 와 AVAR (Association of anti Virus Asia Researchers) 의회원이자, AVED (AntiVirus Emergency Discussion Network) 의상임이사이기도합니다. 센터는유럽과아메리카, 아시아의여러지역으로그분석범위를확장해가고있으며하루 24시간 1년 365 일의서비스를원칙으로하고있습니다. 이들은여러마이크로소프트의보안제품및기술 - Forefront Client Security, Forefront Server Security, Windows Live OneCare, Windows Defender 등등 - 에대한지원을책임지고있기때문에, 전세계수백만대의컴퓨터들을지원하고보호하면서얻은지식과경험들을멀웨어예방업무에활용할수있습니다. 고객들은블로그를통해서마이크로소프트멀웨어예방센터의활동들에대해보다자세히살펴볼수있으며, 현재센터의연구조사작업에대한업데이트내용들도제공받을수있습니다 ( 보다자세한정보는부록을참조하시기제품지원바랍니다 ). 서비스보안 또마이크로소프트멀웨어예방센터는 Microsoft Security Response Center (MSRC) 와 Product Support Services Security (PSS Security) 를통합하여멀웨어관련문제들에관한각종정보와절차들을공유하고있습니다 ( 그림 3): Microsoft Malware Protection Center Microsoft Security Response Center (MSRC) 그림 3: 멀웨어로부터고객들을보호하기위한그룹간관계

7 Microsoft Security Response Center (MSRC) 는보안업체에취약점정보를제공하는업계최고의기관입니다. 마이크로소프트멀웨어예방센터에서도다른보안협력업체들과같은방식으로이러한정보들을입수하고있습니다. 마이크로소프트멀웨어예방센터팀은일반적인 MSRC 절차들을매우잘알고있기때문에새로운문제들에신속하게대응할수있도록그프로세스들을최적화할수있습니다. 뿐만아니라기존멀웨어에대한연구조사에유용한정보와절차들을공유할수도있습니다. 예를들어, 알려진취약점들을사용하는멀웨어들을분석하고자할때각종도구와과정및학습내용들을잘조화시킴으로써감지능력을높이며취약점에대한추가정보들을확보할수있는것입니다. 그리고이는멀웨어에대한보다완벽하고철저한분석을가능케하며, 고객을위한멀웨어감지및삭제능력을향상시킵니다. 1996 년설립이래효과적으로보안정보를제공해온 MSRC 는멀웨어관련문제들에대한대응측면에서업계의신뢰와인정을받고있습니다. 그리고시간이흐르면서마이크로소프트가고객의보안문제에대응하는방식도점점더나아지고있습니다. Security Development Lifecycle (SDL) 프로세스같은주요이니셔티브와최상의지침들은앞으로도계속해서마이크로소프트의보안프로세스를더욱강화해나갈것입니다. 마이크로소프트지원기관인 Product Support Services Security (PSS Security) 는멀웨어문제와관련된고객지원에있어다양한경험을가지고있습니다. PSS Security 는 Windows 환경안에서멀웨어문제를해결하는데필요한융통성과전문성은물론, 소프트웨어제한정책, 그룹정책, 기타마이크로소프트기술들과통합된솔루션들의설치와관련된지식들도갖추고있습니다. PSS Security 는 Forefront Client Security를지원하며, 기업이자신들의능력을잘활용할수있도록돕고있습니다. 마이크로소프트멀웨어예방센터는 PSS Security 와통합프로세스를공유하는데, 이는 Forefront Client Security 고객들이분석을위해마이크로소프트에멀웨어를전송하는작업을통해이루어집니다. 먼저고객들은콘텐츠포털을통해마이크로소프트대응팀에직접의심되는파일들을전송합니다 ( 이에관한내용은뒷부분에자세히나와있습니다 ). 그럼우선분석가들이전송내용을확인하고파일에대한사전판단내용을다시고객에게전송합니다. 그런다음분석가들이최종결정을내려그결과를고객들에게전송하게되는데, 여기에는기업에서그에상응하는조처를취하고자할때그업데이트정의를설치하는데도움이될보충자료들도포함됩니다. 신속하게대응해야하는멀웨어에대해서는 Forefront Client Security 고객들이직접 PSS Security 에연락해, 지원담당자와함께파일을분석하는경우도있습니다. PSS 엔지니어가 Forefront Client Security 고객을대신해파일을전송할수도있고, 정의관련사항이나우선해결문제를위한중앙의연락처역할을할수도있습니다.

8 Windows Defender 와 Microsoft Windows Live OneCare 가수집한샘플들이일반적인분석이나경향파악을위해사용되는반면, Forefront Client Security 고객들이제공한데이터는다른것들보다우선적으로처리되는편이며개별응답을받을수도있습니다. Microsoft Malware Protection Center 와 PSS Security 의협력은기업고객들이멀웨어관련보안문제들에관해만족스러운대답을들을수있게해줍니다. 원격측정 마이크로소프트멀웨어예방센터는다양한곳에서수집된피드백분석을통해전세계의멀웨어동향을파악합니다. 이러한정보들을수집하는경로로는 Microsoft Forefront Client Security, Microsoft Forefront Server Security, Malicious Software Removal Tool (MSRT), Windows Live OneCare, Hotmail, Microsoft Exchange Hosted Services 나기타마이크로소프트보호기술등과같은각종마이크로소프트발표제품및기술들, 그리고 PSS Security 지원기관과기타데이터수집도구들같은내부출처들을들수있습니다. 마이크로소프트는정보공유와동향파악을위해 VirusTotal 이나 AV-Test.org, KISA, VIA 같은기관들과도협력합니다. 뿐만아니라 Microsoft Security Intelligence Report 같은출판물들을통해새로운멀웨어동향에대한정보들을제공하기도합니다. 멀웨어가점점교묘히감시를피해가는순간적인형태를띠기때문에, 매일또는시간별의행동양식들을파악하고적절한조처를취하는것이매우중요합니다. 또다양한곳에서수집한데이터들을활용해멀웨어에대한사항들을종합적으로판단하고새로운위협들을찾아낼수있습니다. 예를들어 Microsoft Windows Malicious Software Removal Tool (MSRT) 은고객컴퓨터에서유행하는특정멀웨어들을검사하고삭제하도록설계되었으며, Windows 라이선스를가진고객들에게는무료로제공됩니다. 2005년 1월처음발표된이래, 그사용자기반은무려 3억 1천만대의컴퓨터로까지확대되었으며, 이들이도구를실행한횟수도약 55억회가넘는것으로조사되었습니다. MSRT 는마이크로소프트멀웨어예방센터가사용하는위협원격측정소스중하나이며, 컴퓨터에서악의적인소프트웨어를삭제하는매우효과적인도구입니다. 12개의멀웨어변종군들중 75% 에해당하는멀웨어들에대한검사를실시했을때정리가필요한컴퓨터들의숫자가 2006년 1사분기에서 2006년 2사분기사이에약 33~70% 나줄어들었습니다. 멀웨어가점점교묘히감시를피해가는순간적인형태를띠기때문에, 매일또는시간별의행동양식들을파악하고적절한조처를취하는것이매우중요합니다. Windows Defender Voting Network(SpyNet이라고도함 ) 는마이크로소프트연구조사자들이새로운위협들을파악하는방법에대한또다른예를제시합니다. Windows Defender 사용자들은새로운위협을발견하고이를보고하기위해전세계사용자네트워크에참가할수있습니다.

9 SpyNet에참가하기로결정한고객들은연구조사팀의멀웨어샘플요청에신속하게응답하는것은물론자신들이발견한의심되는파일들도전송합니다. Windows Defender 사용자들은지난 2006년하반기에만원치않는소프트웨어를약 3천 8백만개이상발견하여보고하였습니다. 마찬가지로 Windows Live OneCare 고객들역시도자신들의기기상에서발견되는다양한위협들에관해마이크로소프트와정보를공유할수있습니다. Windows Defender 와 Windows Live OneCare 를통해이루어지는이러한고객중심의원격측정은분석가들이가장많이나타나고있는문제들을파악하여이를해결하는데초점을맞출수있게도와줍니다. 이러한기술들과그밖의다른기술들이분석가들로하여금고객들의기기상에서나타나는여러행동패턴들을서로연관짓고파악할수있게해줍니다. 예를들어트로이목마가검사를피하기위해매우작은규모로만들어졌을때, 심지어그것이겨우수백내지는수천명정도의고객들에게만영향을주는것일지라도이에대한동향분석이약간의의심스러운행동에서커다란위협을발견할수도있게해주는것입니다. 뿐만아니라분석가들은의심스러운현상들이증가하는것을감지하여멀웨어가확산되기전에이에대한조사를실시할수도있습니다. 신속한대응 팀은자동분석, 보안전문가, 각종테스트프로세스들을적절히활용하여수집된데이터들을철저하게분석함으로써최신멀웨어위협들을찾아낼수있습니다. 이를위해서는효과적인분석리소스활용과신속한대응을위한자동화과정에대한상당한투자가요구됩니다. 이러한자동화과정에는전송된멀웨어들에대한처리작업도포함됩니다. 자동멀웨어전송저장및검색기능을수행하는시스템이중복된전송내용처리, 전송내용 팀은자동분석, 보안전문가, 각종그룹화, 분석시간단축을위한사전샘플분석작업등을수행합니다. 테스트프로세스들을적절히활용하여수집된데이터들을행동분류조사는분석가들이비슷한특징들을기준으로멀웨어들을관련철저하게분석함으로써최신멀웨어멀웨어군으로자동분류할수있게해줍니다. 이는멀웨어작성자가검사를피하기위해같은프로그램의변종들을여러개만들었을때특히의미가위협들을찾아낼수있습니다. 있습니다. 그리고플러그형 (pluggable) 인프라에서는수동작업도줄고추가데이터샘플삽입도쉽게이루어집니다. 더불어이러한기능들은멀웨어행동 ( 파일, 레지스트리, 네트워크이벤트에미치는영향등도포함 ) 분석작업을자동화하는데도움이됩니다. 반복되는작업들을자동화하고대량의데이터를빠르게분석함으로써대응팀은멀웨어를신속하게찾아내고고객에게필요한서명들을제공할수있습니다. 서명을통한신속한대응과함께분석가들은마이크로소프트안티멀웨어엔진의여러기능들을사용해뛰어난삭제기능들을제공할수도있습니다. 감염된기기를다시깨끗하게만들기위해각종부작용 ( 예를들어, 변경된설정내용이라든가 ) 들을원상복구시키는것같은작업들이이에해당합니다.

10 연구조사의또다른영역인동적변환을통해안티멀웨어엔진은자신의콘텐츠를뒤섞어버리려던멀웨어를해독합니다. 자동화된해독기능은완벽하긴하나시간이많이걸리고, 직접만든방식은빠르긴하나유지에상당한노력이필요합니다 ( 늘어나는멀웨어변종수에맞춰확장되지않음 ). 동적변환은멀웨어명령분석방식을최적화함으로써속도를높이고해당범위를확장시켜, 신속한멀웨어해독을가능케해줍니다. 또한동적변환은멀웨어샘플의행동기반분석등의영역으로도확장될수있습니다. 마이크로소프트는고객문제에신속하게대응하고실제적용가능한고객지침들을제공하기위해 PSS Security 과의통합된통신방식을통해고객들에게지침들을전달합니다. 2007년 4월시작된마이크로소프트멀웨어예방센터웹포털은각종위협에대한최신정보와뉴스및마이크로소프트멀웨어예방센터의각종연구결과들을제공합니다. 고객들은자신들의환경에있어가장위험한위협들을파악하고멀웨어백과사전을통해구체적인정보들을살펴볼수있습니다. 고객들은또한이포털을통해분석용멀웨어샘플들을전송할수도있습니다. 그림 4: 마이크로소프트멀웨어보호포털 향후전략과비전 마이크로소프트의비전은세계적인멀웨어연구조사기관중하나가되어, 고객들에게정확하고시기적절한업데이트들을안정적이고꾸준히제공하는것입니다. 마이크로소프트멀웨어예방센터는세계적인수준의보안대응을통해고객들에게영향을미치는위협들을해결하는작업에있어품질과시기적절성, 그리고정확성이라는 3가지원칙을지켜나가고자노력하고있습니다. 단기전략 단기적으로마이크로소프트멀웨어예방센터는다른멀웨어연구기관들과마찬가지로일관된멀웨어지원기능들을제공할것입니다. 그리고그외다른영역에서의단기전략들에는다음과같은것들이있습니다 : 정의품질과범위 : 업계의다른선두업체들과비교해마이크로소프트멀웨어예방센터는위협의여러측면들중에서고객시스템내에서의멀웨어검색에역점을둡니다. 마이크로소프트연구조사팀은여러테스트기관들과협력하여비교에사용되는방법들을이해하고현재고객들이겪고있는가장위협적인문제들 ( 바이러스, 웜, 트로이목마등 ) 에초점을맞추고자노력하고있습니다.

11 안티멀웨어응답시간 : 마이크로소프트대응팀은고객의기대에부응하거나때로는고객의기대를뛰어넘는신속한응답및업데이트를제공하기위해노력하고있습니다. 대응팀의목표는심각한위협들이발견된지몇시간내에고객들에게이에대한정의들을제공하여적절히대응하며, 앞서설명한대로기업고객들에게그에상응하는각종지원기능들을제공하는것입니다. 향후계획 이러한단기계획과함께연구조사및대응팀은향후동향과고객들의필요를파악하여차세대보호기능들을제공하고자합니다. 위협의범위 : 현재업계에나와있는도구들은멀웨어감염결과에초점을맞춘것들입니다. 즉고객의기기에설치된프로그램이나파일들에대한것들이란뜻입니다. 그러나보다정확한분석과예측을위해서는감염을야기하는전체적인상황에대한검사가있어야향후멀웨어행동에대한예측과경고가가능할것입니다. 예를들어, 스팸메일안에피싱 URL 이포함되어있다면, 이것이자체업데이트되는트로이목마를다운로드할수도있는것입니다. 다양한데이터소스와위협이전파되는데사용되는통로들을조사함으로써연구조사및대응팀은단순히하나의설치세부사항을넘어멀웨어행동패턴을확인하고이에대처할수있을것입니다. 따라서장기적으로마이크로소프트멀웨어예방센터는위협이감지되었을때다양한응답채널을통해이에대해종합적이고즉각적인대처할수있는능력을배양하고자합니다. 향후동향예측 : 지난 10년동안멀웨어는엄청난변화를보여주었고, 특히과거몇년사이에는그정도가더심했습니다. 만약과거가미래를알려주는지표가된다면, 기술이진보하고그에대한동기들이다양해지면서새로운위협들은늘어갈것입니다. 스파이웨어나피싱, 기타경제적인이유에의해이루어지는각종공격들이오늘날멀웨어작성자들의현재목표를보여주는것처럼말입니다. 마이크로소프트연구자들은앞으로도계속해서새로운동향과잠재적인감염요소들을조사하고감시하면서, 미래의잠재적공격들에대한경계를늦추지않을것입니다. 지속적인업계의참여 : 보안은업계차원의문제이며업계차원의솔루션들을필요로합니다. 오늘날과같이네트워크화된세상에서는고객들도같은환경안에존재하며서로소통합니다. 따라서멀웨어위협에대한보호도그만큼꼭필요한요소가된것입니다. 위협내용들이복잡해져감에따라보안업계가사용자보호를위해협력하는일도갈수록더중요해질것입니다. Microsoft Virus Initiative (MVI), Virus Information Alliance (VIA), Anti-Spyware Coalition (ASC) 같은포럼들은보안업체들이멀웨어예방을위한도구와정보및최상의지침들을공유할수있는수단들을제공합니다. 그리고이단체들의설립회원으로서마이크로소프트는고객들에게안티멀웨어에대한다양한선택의폭을제공할것을약속합니다.

12 결론 오늘날멀웨어의동향은시시각각변화하고있습니다. 위협들은갈수록진화하여보다교묘해지고있으며경제적이유를동기로한멀웨어들도늘어나고있는추세입니다. 동시에기업과사용자들은고도의네트워크화된환경속에서일하고있습니다. 마이크로소프트는이같은현재의위협과앞으로등장할새로운위협들로부터고객들을보호할것이며, 컴퓨터사용환경을위하여업계차원의협력을도모하기위해노력할것입니다. 풍부한경험을갖춘팀과뛰어난원격측정기술, 자동화기능, 통합프로세스등을통해마이크로소프트멀웨어예방센터는앞으로는계속안정적이고정확하며효율적이고일관된방식을통해다양한연구조사를실시하고각종문제에대응해나감으로써고객의필요를충족시켜나갈것입니다. 부록 : 관련자료 마이크로소프트멀웨어예방센터의역할과멀웨어보호방법들에대한추가보안정보는다음자료들을참조하시기바랍니다. 웹사이트 마이크로소프트멀웨어예방센터포털 (Microsoft Malware Protection Center Portal): 이사이트는고객에게최근에발견된멀웨어들과최신동향에대한정보들을제공합니다. http://www.microsoft.com/security/portal Forefront Client Security: 이사이트에서는업무용데스크톱과랩톱, 서버운영체제의보호를위한 Microsoft Forefront Client Security와바이러스백신및안티스파이웨어솔루션등에관한정보들을제공합니다. http://www.microsoft.com/clientsecurity 안티멀웨어팀블로그 : 이사이트에서는최신멀웨어동향에대한보고서와연구조사문건들을살펴볼수있습니다. http://blogs.technet.com/antimalware/ 각종보고서및백서 Microsoft Security Intelligence Report: July-December 2006 ( 마이크로소프트보안인텔리전스보고서 : 2006년 7-12월 ) http://www.microsoft.com/technet/security/default.mspx ( 이전보고서는다음주소에서찾아보실수있습니다 : http://go.microsoft.com/?linkid=6543860) Understanding Anti-Malware Technologies ( 안티멀웨어기술의이해 ) http://www.microsoft.com/forefront/whitepapers/default.mspx Unified Protection for Clients ( 클라이언트를위한통합보호방식 ) http://www.microsoft.com/secureclient/default.mspx Defeating Polymorphism: Beyond Emulation ( 다형성파괴 : 에뮬레이션을넘어 ) http://microsoft.com/downloads Behavioral Classification ( 행동분류 ) http://microsoft.com/downloads

One Microsoft Way Redmond, WA 98052-6399 microsoft.com/security/portal

2024 © docsplayer.org 개인정보보호 | 약관 | 지원