현존하는 멀웨어가 10억 개 넘는 시대...대응하려면 새롭고 강력한 무기 필요
[보안뉴스 문가용 기자] 보안 업체 블랙베리(BlackBerry)가 월요일, 새로운 멀웨어 분석 도구를 오픈소스로 전환했음을 발표했다. 특별히 멀웨어의 리버스 엔지니어링을 보다 쉽게 할 수 있게 해주는 도구라고 한다.
[이미지 = utoimage]
이 도구의 이름은 PE트리(PE Tree)로, 원래 블랙베리 내부에서만 사용할 목적으로 개발된 것이라고 한다. PE트리는 깃허브(https://github.com/blackberry/pe_tree)에 공개되어 있는 상태다.
블랙베리에 의하면 PE트리는 pefile과 PyQt5를 사용해 포터블 실행(PE) 포맷의 파일들을 나무 구조 모양(tree-view)으로 볼 수 있도록 해준다고 한다. 즉, 메모리에서 멀웨어를 덤핑하고 재구성하는 게 꽤나 간단해진다는 뜻이다.
블랙베리는 PE트리를 발표하면서 “헥스레이즈(Hex-Rays)의 IDA 프로(IDA Pro) 디컴파일러와의 통합을 통해 PE 구조를 보다 쉽게 탐구하고, 메모리 내 PE 파일들을 간편하게 덤핑하는 게 가능하도록 되어 있다”고 설명했다. 이는 멀웨어의 다양한 변종들과 싸우고 막는 데에 있어서 필수적인 절차라고 블랙베리는 밝혔다.
블랙베리의 부회장인 에릭 밀람(Eric Milam)은 PE트리를 발표하면서 “사이버 보안의 위협 지형도는 계속해서 변화하고 있으며, 공격자들의 도구나 전략으로 인해 입을 수 있는 피해의 잠재적 규모는 더 커지고 있는 상황”이라고 말했다.
“그렇다는 건 보안 업계에도 더 강력한 도구가 필요하다는 뜻이 됩니다. 기존의 기술과 원리, 재료만 가지고는 최신식 무기에 대응할 수 있을 리가 없습니다. 그래서 이번 도구를 전체 공개로 전환한 것입니다. 지금 우리 모두는 10억 개가 넘는 멀웨어들을 상대하고 있으며, 이 숫자는 매년 1억개씩 증가하는 중입니다.”
PE트리는 파이선으로 만들어졌고, 윈도우, 리눅스, 맥OS 시스템에서 호환이 된다. 스탠드얼론 애플리케이션으로 작동하기도 하고 IDA파이선(IDAPython) 플러그인 형태로 실행되기도 한다.
PE트리는 현재 완성된 상태의 도구가 아니다. 아직도 블랙베리에서 활발히 개발하고 있는 중이며 따라서 앞으로도 새로운 기능들이 계속해서 추가될 예정이라고 한다. 블랙베리는 “다음 버전을 통해서는 리콜(rekall)에 대한 지원이 이뤄질 것”이라고 발표했다. “이는 메모리 덤프나 라이브 시스템으로부터 발생되는 프로세스들을 열람하거나 덤핑할 수 있도록 할 것입니다.”
3줄 요약
1. 블랙베리, 새로운 악성 소프트웨어를 리버스 엔지니어링 하는 도구를 오픈소스로 전환.
2. 이름은 PE트리. 파이선으로 작성되어 있으며, 아직 활발한 개발 중에 있음.
3. 멀웨어의 리버스 엔지니어링에 큰 도움 될 것으로 기대된다고 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>