본 논문에서는 WEB 서버에서 HTTP Outbound Traffic을 검사하여 악성코드 유포여부를 탐지하는 기법을 제안한다.
해커가 악성코드 유포를 위해 홈페이지를 변조하면 그 결과로 악성코드를 유포하는 HTML 태그와 JAVASCRIPT를 남긴다. 악성코드 자체를 탐지하기보다는 악성코드를 유포하는 HTML 태그와 JAVASCRIPT 코드를 HTTP Outbound Traffic으로 IDS(Intrusion Detection System)를 통해 탐지함으로써 악성코드와 악성코드 숙주서버의 위치를 효율적으로 찾을 수 있다.
본 연구에서는 이러한 기능의 탐지기법을 제안하고, 악성코드를 유포하는 HTML 태그와 JAVASCRIPT 코드의 시그너쳐를 제시하였다. 또한 공개 IDS인 Snort에 본 기법을 설치하여 탐지율과 오탐율을 측정하여, 제안 기법의 우수성을 검증하였다.
해커는 악성코드의 유포를 위해 해킹할 때 다양한 방법을 사용하지만, 해킹에 성공한 후 악성코드를 유포시키기 위해 홈페이지의 변조를 수행하는 기법은 해킹 기법만큼 다양하지 않고, 기존에 존재하는 유포기법을 사용한다. 따라서 새로운 기법으로 해킹한 경우에도 HTTP Outbound Traffic을 통해 탐지 했을 때 악성코드를 유포시키기 위해 대개는 기존 기법을 사용하므로, 본 제안 기법은 다음과 같은 특성을 가진다.
1. 악성코드의 유포와 관련된 새로운 해킹 기법 등장에 대한 대비책이 될 수 있고 2. 악성코드 해킹여부를 조기에 알 수 있고 3. 악성코드 탐지시 악성코드 숙주서버의 위치도 파악할 수 있으며 4. 악성코드 유포를 신속히 탐지하여 피해확산을 방지할 수 있다. 그리고 5. 제안탐지기법은 새로운 장비가 필요 없이 기존에 존재하는 IDS에 설치하면 되므로 최소의 경제적 비용으로 사용할 수 있다.