병렬 처리와 GPU 가속으로 APT 악성코드 분류의 새로운 지평을 열다

본 논문은 병렬 기능 추출 및 GPU 가속 학습을 통해 APT 악성코드를 효율적으로 분류하는 프레임워크를 제시합니다. 오픈소스 도구와 병렬 컴퓨팅 스크립트를 활용하여 악성코드 샘플의 어셈블리 명령어를 분석하고, CNN 기반 딥러닝 모델을 통해 높은 정확도의 분류 성능을 달성했습니다.

APT 악성코드의 효율적인 분류: 병렬 처리와 GPU 가속의 만남

최근 Noah Subedar, Taeui Kim, Saathwick Venkataramalingam 연구팀이 발표한 논문 "Scalable APT Malware Classification via Parallel Feature Extraction and GPU-Accelerated Learning"은 악성코드, 특히 지능형 지속 위협(APT) 그룹에 대한 악성 실행 파일 매핑을 자동화하고 가속화하는 획기적인 프레임워크를 제시합니다. 이 연구의 핵심은 실행 파일 내 어셈블리 수준 명령어(opcode)를 특징으로 활용하는 것입니다.

하지만 수많은 악성 샘플에서 opcode를 수집하는 작업은 매우 시간이 오래 걸립니다. 연구팀은 이 문제를 해결하기 위해 오픈소스 리버스 엔지니어링 도구와 병렬 컴퓨팅을 활용한 스크립트를 결합하여 여러 파일을 동시에 분석하는 효율적인 시스템을 구축했습니다.

기존 머신러닝 모델(SVM, KNN, 의사결정 트리)과 딥러닝 모델(CNN)을 모두 적용하여 악성코드 샘플 분류 모델을 개발했습니다. 1-gram과 2-gram 데이터셋을 사용하여 모델을 학습시켰는데, 기존 머신러닝 모델은 메타데이터에 의존하지 않고서는 충분한 성능을 내지 못했습니다. 하지만 CNN을 이용한 딥러닝 모델은 GPU를 활용한 가속화를 통해 이러한 계산상의 제약을 극복하고 뛰어난 성능을 보여주었습니다.

이 연구는 단순한 악성코드 분류 시스템을 넘어:

• 자동화: 대량의 악성코드 샘플을 효율적으로 분석하고 분류하는 자동화 시스템을 구축했습니다.
• 가속화: 병렬 컴퓨팅과 GPU 가속을 통해 분석 시간을 획기적으로 단축했습니다.
• 정확도 향상: CNN 기반 딥러닝 모델을 통해 기존 머신러닝 모델의 한계를 극복하고 분류 정확도를 높였습니다.

본 연구는 사이버 보안 분야에 중요한 발전을 가져올 것으로 기대되며, 앞으로 더욱 발전된 악성코드 탐지 및 대응 시스템 개발에 기여할 것으로 예상됩니다. 특히 APT 공격과 같은 지능적인 위협에 효과적으로 대응하는 데 큰 도움을 줄 수 있을 것입니다.