보안정보

보안상식

기타

샌드박스(Sandbox) 기술이란?

2014-11-22

샌드박스란 미국에서 어린아이를 보호하기 위해 모래통(Sandbox)에서만 놀도록 하는데서 유래한 보안 모델을 말합니다.


즉, 외부 접근 및 영향을 차단하여 제한된 영역 내에서만 프로그램을 동작시키는 것입니다. 샌드박스 내에서 어떤 파일이나 프로세스가 안전하지 못하다고 판명되면, 외부로의 접근을 차단하여 시스템에 피해를 입히는 것을 방지합니다.


예를 들어 악성 프로그램이나 악성코드의 경우, 본래의 공격행위를 하더라도 실제 시스템 내 파일이나 프로세스를 감염시킬 수 없습니다. 이러한 특징들로 말미암아 가상화를 통한 보안으로서 악성코드를 감지하고 분석하는데 사용되는 기술입니다.


그러나 샌드박스 기술이 기존 시그니처 기반 탐지의 한계를 극복하는 대안으로 각광받자, 해커들은 샌드박스를 탐지 및 우회하는 악성코드를 만들어 냈습니다. 악성코드가 동작하는 환경이 샌드박스로 감지되면 C&C 주소를 숨기거나 다른 HTTP 리퀘스트를 사용하여 보안업체로 하여금 악성코드를 분석하는 것을 방해합니다. 혹은 해당 환경설정이나 IP주소를 수집하여 C&C서버로 전송하는 등 분석을 시도하는 보안업체의 정보를 파악하는 지능형 악성코드 군도 존재합니다.


샌드박스 기술이 APT공격의 주요 보안 솔루션이지만, 이를 우회하는 악성코드가 존재하는데다가 가상화 공간에서 동작을 수행하는데 시간이 다소 걸린다는 단점도 있습니다. 이러한 이유로 샌드박스 기술은 기존 보안 솔루션들을 보완하는 차원에서 통합으로 사용되는 경우도 있습니다.


 
웨스트코스트랩/한국산업기술시험원 /OPSWAT/국정원/ICSA/바이러스 블러틴
사이트맵 메뉴 닫기