이 기술은 내부의 좀비 PC와 명령을 내리며 제어하는 외부의 C&C서버 간에 역접속이 발생할 경우 통신이 지연되는 시간을 기반으로 악성코드를 탐지하는 기술이다. 역접속(Reverse Connection)은 공격자에 의해 감염 된 내부 좀비 PC가 외부 C&C 서버에 접속 하는 행위로 정상적인 형태를 띠기 때문에 탐지가 어렵다.
윈스에 따르면 좀비 PC와 C&C서버간의 송수신 패킷을 사용자 요청 지연시간(Client time)과 서버 응답 소요시간(server time)을 기반으로 통신 지연 시간을 분석해 C&C 서버와의 역접속을 탐지 할 수 있다고 설명했다.
이 기술은 윈스에서 제공하는 ‘스나이퍼 APTX’ 제품에 적용되어 왔다.
조학수 윈스 연구소장은 "현재 좀비PC 대응 솔루션들이 많이 출시되었지만 탐지를 우회하는 악성코드에 의해 감염된 PC와 C&C 서버의 통신을 통해 발생되는 피해를 막기는 역부족” 이라며, “이 기술로 기밀정보 유출 등 2차 피해를 막을 수 있을 것으로 기대된다”고 말했다.
©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지