악성코드 분석은 흔히 알려진 정적 분석, 동적 분석의 형태로 진행된다. 기본적이면서도 잊어서는 안 될 가장 기본 형태이며, 이 형태에서 응용될 때 그 난이도는 기하급수적으로 높아지게 된다. 그래서 좀 더 효율적인 방법이나 기술을 찾을 수 있지 않을까?
게다가 공격자는 산업화되었고, IT가 발전하는 만큼 자동화해 너무나 많은 악성코드가 디자인되며 생성되고 있다. 이젠 악성코드를 전문적으로 분석하는 기업이 아닌 이상 정적/동적 분석으로 대응할 수 없기에 일반 개인과 기업은 악성코드 분석에 대해 너무나 열악할 수밖에 없다. 그래서 이 책은 흔히 알고 있는 악성코드 분석 방법을 오픈소스 도구에 의존해 확인할 수 있고, 더 나아가 자동화된 시스템으로 자동화 분석하도록 도와줄 수 있다.
'라이프 해킹'이라는 용어가 있다. 이 용어는 생활 속에서 미처 깨닫지 못하거나 불편함에 길들여졌던 문제를 효율적으로 쉽게 고쳐나가 생활할 수 있는 아이디어나 기술을 의미한다. 여기서 나의 고민은 수많은 악성코드와 그 변종들을 기존의 방식으로 처리할 시간이 없기에 이를 최대한 자동화해 분석한 데이터를 받아 가공하고 싶다는 데 있었다. 또한 이러한 도구를 개발할 실력도 시간도 없었다. 이러한 문제를 오픈소스 도구의 힘을 빌려 좀 더 편하게 분석할 수 있는 해답을 이 책은 가지고 있다.
내가 이 책에서 담당한 파트에서는 쿠쿠 샌드박스(Cuckoo Sandbox)를 다룬다. 나는 0.3 버전부터 꾸준히 구축해 사용하고 있으며, 현재는 새로운 버전이 나올 때마다 구축하고 테스트해서 결과 보고서를 작성한 후 교육에 활용하고 있다. 또한 악성코드 관련 이슈가 발생했을 때 적극 활용해 분석 보고서를 만들고 있다. 비록 첫 구축이 오래 걸리고 이해하기에도 긴 시간이 소요되는 많은 기술들을 사용하고 있지만, 구축 후 웹으로 접속해 편리하게 얻을 수 있는 간편화된 시스템에 매료되었다. 그리고 올리디버거(OllyDbg)나 아이다(IDA)와 같은 도구를 잘 다루지 못하는 내게는 악성코드 분석을 위한 최고의 시스템이다.
오랫동안 쿡쿠 샌드박스를 다뤄왔다. 2.0.x 버전이 공개됐을 때 쿡쿠 샌드박스에 관한 책을 써보자 생각했다. 그렇게 집필 형태로 첫 글을 쓴 것이 2017년 4월 14일이다. 1년이 넘는 시간 동안 수많은 기능을 테스트하고, 소스코드를 분석했으며, 집필하기 위해 반복 테스트했던 시간은 힘들었지만 기능 구현에 성공할 때마다 성취감에 즐거움을 느꼈다.
아직 쿡쿠 샌드박스의 모든 것을 다루진 못했다. 이제 겨우 윈도우 기반 악성코드만 다뤘을 뿐 OSX, 리눅스, 안드로이드 플랫폼 확장도 도전해야 할 부분이다. 심지어 퇴고하고 있는 지금도 쿡쿠 샌드박스는 새로운 버전을 공개했고, 우분투도 새로운 버전이 공개됐다. 쿡쿠 샌드박스는 항상 발전하고 새로운 모습으로 변하고 있다.
책에서 하지 못한, 그리고 앞으로 알게 될 쿡쿠 샌드박스와 관련 있는 다양한 정보는 블로그(www.hakawati.co.kr)에 포스팅하려 한다.
그 외에 이 책을 읽고 쿡쿠 샌드박스에 매료된 독자 분이 오픈소스 프로젝트에 참가하기를 바라며, 이 책을 따라 하면서 고민한 부분에 대해 블로그의 방명록을 이용해 필자와 소통해도 감사할 것 같다.
