문서형 악성코드, AI 활용해 직접 분석해볼 기회가 왔다 ‘ISEC Training Course’

2024-09-12 11:26
  • 카카오톡
  • 네이버 블로그
  • url
ISEC Training Course, 10월 15~17일 코엑스 오디토리움 세미나룸2에서 진행
실제 문서형 악성코드 실행하고 분석해보는 것은 물론 AI 기반 탐지모델 생성·활용 실습까지
보안뉴스와 KAIST 사이버보안연구센터 공동 운영, ISEC 2024 동시개최 행사로 진행


[보안뉴스 원병철 기자] 사이버 공격자들이 가장 많이 애용하는 공격은 무엇일까? 사이버 공격은 크게 불특정 다수를 노린 공격과 특정 조직이나 개인을 노린 공격으로 나뉘는데, 불특정 다수를 노린 공격에 사용되는 주로 사용되는 악성코드 중 하나가 바로 ‘문서형 악성코드’다.


▲ISEC Training Course 교육을 담당할 KAIST 사이버보안연구센터 연구원들[사진=KAIST 사이버보안연구센터]

문서형 악성코드 공격은 악의적인 목적으로 만들어진 문서 파일을 주로 메일을 통해 전파한 뒤 피해자가 첨부된 문서 파일을 실행하면 악성코드에 전염되는 방식이다. 메일이 ‘이력서’나 ‘월급 명세서’ 혹은 ‘구매 요청서’나 ‘계약서’와 같이 호기심을 일으켜 열어보게끔 만드는 사회공학적 기법을 사용해, 메일을 받은 사람은 첨부된 문서 파일을 열어보게 만들기 때문에 생각보다 성공률이 높은 편이다.

한국인터넷진흥원의 사이버위협 동향 보고서에 따르면 악성코드가 유입되는 경로로 다운로드 되는 악성문서 파일이 70%를 차지한다고 한다. 또한 바이러스토탈에 유입된 악성코드 파일 유형 통계(2021)를 살펴보면, 가장 많은 건 실행 파일인 ‘Win32.EXE’지만 두 번째가 PDF 파일이며 이외에도 MS Word, Office Open, Excel 등 문서 파일이 대거 포함된 것을 확인할 수 있다.

특히 우리나라의 경우 2014년 한수원 사건을 비롯해 2016년 인터파크 개인정보 유출사건, 2017년 빗썸 개인정보 유출사건 등 대표적인 사이버공격이 이러한 문서형 악성코드로 시작됐으며, 북한 공격그룹이 한글 문서를 악용하는 것은 이미 잘 알려진 사실이다.

보안담당자들 실제 문서형 악성코드 실행하고 분석하며 대처방법 찾아
이처럼 문서형 악성 파일로 인한 피해가 크지만, 실제 현장의 보안 담당자들은 너무나 많은 위협에 일일이 대응하고 분석하기 어렵다. 하지만 실제 공격을 분석하고 대응하는 방법을 아는 것과 단순히 전문 보안 솔루션을 이용해 대응하는 것은 분명 다르다. 특히 최근 이슈인 인공지능을 활용하면 좀 더 쉽고 편하게 대응이 가능하다.

이에 <보안뉴스>는 KAIST 사이버보안연구센터와 함께 인공지능을 활용해 문서형 악성코드를 직접 분석하고 대응하는 기술을 배워보고 실습할 수 있는 ‘ISEC Training Course’를 만들어 오는 10월 개최하는 ISEC 2024 동시개최 행사로 진행한다.

이번 교육은 기업과 기관의 보안 담당자를 대상으로, 주요 사이버 공격의 시발점이 되는 문서형 악성코드를 심층적으로 분석하고, 문서형 악성코드의 위험성을 강조하며, 개인과 조직이 교육을 통해 사이버 공격, 데이터 유출, 정보 도난 등의 위협으로부터 대처할 수 있도록 구성됐다.

교육 참가자들은 직접 문서형 악성코드를 실행하고 분석하는 과정을 통해 보안 인식을 높이고, 위협 상황에서 어떻게 대응해야 하는지 학습할 수 있다. 특히, 우리나라에서 가장 많이 사용되는 PDF, MS Office, 한글 문서의 구조와 특징을 분석하고, 이에 대응할 수 있는 AI 기반 탐지모델 생성 실습을 통해 보안 담당자들이 보안 업무에 효과적으로 활용할 수 있는 실무적인 교육을 제공한다.

Training Course 교육을 맡은 KAIST 사이버보안연구센터 악성코드 분석팀의 신강식 연구원은 “문서형 악성코드는 최근 더욱 지능화되며 교묘해지고 있고, 주로 기업과 기관 관계자를 대상으로 피싱 및 사회공학적 기법을 통해 이메일과 링크를 전송하는 방식으로 유포된다”면서, “해당 이메일과 링크를 통해 전달되는 문서형 악성코드는 담당자의 단 한 번의 실수로 실행되면 랜섬웨어 감염, 데이터 탈취, 추가 악성코드 다운로드 등을 통해 내부 시스템에 악성코드가 침투되어 해커의 공격이 더욱 다각적으로 이루어질 수 있다”고 강조했다.

악성코드 분석팀 최기호 연구원은 “문서형 악성코드는 정상 문서처럼 은닉되어 전달되기 때문에 악성코드가 실행된 지 알 수 없고, 일부 최신 문서형 악성코드는 샌드박스(Sandbox)와 같은 보안 솔루션을 우회하는 기술을 사용하여 탐지를 회피할 수 있다”며 주의를 당부했다.

또한 KAIST 사이버보안연구센터 AI보안팀의 손진혁 연구원은 “때문에 이번 교육은 문서형 악성코드의 동작 방식, 침투 경로, 시스템에 미치는 영향을 정확히 파악하고, 효과적인 대응 전략을 수립할 수 있으며, 보안 실무 담당자가 공격을 조기에 파악하고 유사한 공격에 신속하게 대응할 수 있는 능력을 기르는 것이 목표”라고 강조했다.


▲KAIST 사이버보안연구센터앞에 모인 연구원들[사진=KAIST 사이버보안연구센터]

Training Course, 3일간 실습 중심으로 이뤄져
그렇다면 이번 Training Course의 교육은 어떻게 진행될까? ISEC 2024 하루 전인 10월 15일부터 17일까지 총 3일간 진행되며, 이론교육은 물론 실습을 중심으로 교육이 이뤄진다.

첫째 날(15일)은 ‘문서형 악성코드 구조 이해 및 위협인자 식별·추출 기술’ 세션으로, 문서형 악성코드의 정의와 특징, 피해 사례를 다루고, 최신 동향을 분석한다. 또한, 실습을 통해 실제 악성 PDF, HWP, MS Office 문서들을 직접 분석하며 위협 인자를 식별하고 정보를 수집하는 시간을 갖는다.

둘째 날(16일)은 ‘식별된 위협 인자 기반 AI 기반 탐지모델 생성 기술’ 세션으로, 문서형 악성코드에서 수집된 위협 인자 데이터를 처리하고 분석하는 방법을 배우며, 해당 데이터를 통해 탐지모델을 생성하는 기술을 배운다.

셋째 날(17일)은 ‘생성형 인공지능 기반 변종 문서형 악성코드 생성 및 탐지 우회 기술’ 세션으로 요즘 가장 이슈인 생성형 인공지능에 대한 이론적 설명과 생성형 인공지능 모델의 특징을 소개하고, 생성형 인공지능 기반 악성코드 생성 도구를 활용해 직접 생성형 인공지능 활용하는 기술을 배운다.

AI보안팀 박상류 연구원은 “이번 교육은 이론과 실습 비율을 각각 3:7로 나누어 실습 위주의 교육을 통해 실무에 바로 사용할 수 있도록 구성했다”면서, “실제 보안업계에서 많이 사용되는 다양한 문서 파일 분석 방법을 학습하고, 최근 활발히 활동하는 문서형 악성코드에 효과적으로 대응하는 기술을 익힐 수 있다”고 설명했다.

AI보안팀 김동엽 연구원도 “AI 기술을 활용해 기존의 패턴 기반 탐지 방식에서 벗어나 문서 내 비정형 데이터를 분석해 숨겨진 위협을 식별하는 접근법을 강의할 것”이라며, “실시간으로 진화하는 사이버 공격에 대한 대응력을 강화하고, 전통적인 보안 솔루션이 놓칠 수 있는 위협을 효과적으로 탐지하는 방법을 학습할 수 있어, 문서형 악성코드의 이론뿐만 아니라 인공지능을 사용해 탐지하는 방법까지 알려 주는 유일한 교육이라고 할 수 있다”고 강조했다.

한편, ISEC 2024 동시개최 행사로 열리는 이번 ‘ISEC Training Course’는 10월 15일부터 17일까지 3일간 코엑스 오디토리움 세미나룸2에서 진행되며, 공공기관과 기업 보안담당자 등 보안종사자를 대상으로 운영된다. 자세한 사항은 보안뉴스 내 ISEC 홈페이지 혹은 ISEC 운영사무국에 문의하면 된다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 유니뷰코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 프로브디지털

    • 인텔리빅스

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 세연테크

    • 비전정보통신

    • 디비시스

    • 동양유니텍

    • 스피어AX

    • 투윈스컴

    • 아이리스아이디

    • 한결피아이에프

    • 유에치디프로

    • 위트콘

    • 주식회사 에스카

    • 포엠아이텍

    • 세렉스

    • 안랩

    • 이글루코퍼레이션

    • 엔피코어

    • 시만텍

    • 트렐릭스

    • 스텔라사이버

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 미래시그널

    • 케이제이테크

    • 알에프코리아

    • 유투에스알

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 에스에스티랩

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 구네보코리아주식회사

    • 티에스아이솔루션

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 넥스트림

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 이오씨

    • 글로넥스

    • 메트로게이트
      시큐리티 게이트

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기