이번에 특허를 획득한 기술은 동일한 랜 상의 PC 사이에 오가는 통신 정보를 가로채거나 변조해 도감청에 이용되는 ARP 스푸핑(Address Resolution Protocol Spoofing)을 막아주는 ‘패킷 감시 시스템 및 그 방법’을 비롯해 ‘코드 보호 기법을 고려한 악성 프로그램 감지 시스템 및 그 방법’, ‘악성 코드명 제공 시스템 및 그 방법, 그리고 이에 적용되는 서버’, ‘PE 파일 진단 시스템 및 그 방법 그리고 이에 적용되는 모듈’, ‘악성코드 진단 및 치료 장치’로 총 5개이다.

‘패킷 감시 시스템 및 그 방법’은 기업 PC용 통합백신인 ‘V3 Internet Security 8.0/7.0’과 ARP 스푸핑 전용백신에 탑재된 기술이다. ARP 스푸핑 공격을 막아줌으로써 다수의 서버나 PC가 운용되는 네트워크의 보안 관리에 효과적으로 활용될 수 있다.

ARP 스푸핑 공격이란 패킷을 가로채기(스니핑)한 후 패킷을 조작해 HTTP 트래픽 상에 아이프레임(iframe; HTML 문서에서 글 중의 임의 위치에 또 다른 HTML 문서를 보여주는 내부 프레임(inline frame) 태그)을 삽입하여 악성코드를 유포하는 것을 말한다.

ARP는 IP 네트워크 상에서 이더넷(Ethernet; 랜의 일종) 주소와 IP 주소를 연결해주는 프로토콜이다. ARP는 일반적으로 패킷을 발생시키는 사용자에 대한 인증 방안을 갖추지 않았다. 즉, APR 프로토콜의 취약점은 ARP 패킷의 출발지에 대한 인증 과정이 없기 때문에 쉽게 스푸핑 공격을 당할 수 있다. ARP 스푸핑 공격으로 PC나 네트워크 장비의 ARP 캐쉬(Cache) 테이블이 변경되고, 그 결과 패킷이 공격자에게 유입돼 각종 해킹이 가능해진다.

이번 특허 기술은 공격이 진행 중인 컴퓨터에서 ARP 스캐닝 후 나타나는 아웃바운드(Outbound) ARP 위조를 차단한다. 이로써 ARP 위조 패킷에 대한 오탐 가능성을 줄일 수 있다. 또한, 데이터 스니핑 및 악성코드 유포를 위한 MITM 공격(Man-In-the-Middle 공격; 열린 통신 포트를 이용해 사용자와 서버 간에 오가는 패킷을 조작하는 것)을 탐지 및 차단할 수 있다.

또 다른 특허 기술인 ‘코드 보호 기법을 고려한 악성 프로그램 감지 시스템 및 그 방법’은 실행 중이거나 실행 압축된 악성코드를 효율적으로 검사하는 기술이다. ‘악성 코드명 제공 시스템 및 그 방법, 그리고 이에 적용되는 서버’는 지속적으로 늘어나는 악성코드에 대응하기 위해 네크워크를 이용해 악성코드 명을 서비스하고, 관련 통계를 작성하는 기술이다.

또한 ‘PE 파일 진단 시스템 및 그 방법 그리고 이에 적용되는 모듈’은 악성코드 진단의 정확성과 속도, 변종 악성코드에 대한 대처 능력을 높일 수 있는 기술이며, ‘악성코드 진단 및 치료 장치’는 대용량의 악성코드를 진단/치료를 효율적으로 하기 위한 기술이다.