METHOD FOR CLASSIFYING MALICIOUS CODE BY USING SEQUENCE OF FUNCTIONS' EXECUTION AND DEVICE USING THE SAME

본 발명에 따르면, 악성코드를 분류하는 방법으로서, (a) 미확인 코드가 실행되면, 장치가, 상기 미확인 코드의 실행 과정에서 호출되는 적어도 하나의 특정 호출 함수 정보 - 상기 특정 호출 함수 정보는, 전체 호출 함수 정보에 대응되는 전체 행위 기반 키워드 중 특정 행위 기반 키워드에 대응되는 함수 정보임 - 및 상기 특정 호출 함수 정보에 대응되는 호출 순서 정보를 참조로 하여, 제1 시퀀스를 획득하는 단계; (b) 상기 장치가, 복수의 과거 악성코드에 대응되는 복수의 참조 시퀀스 - 상기 복수의 참조 시퀀스는 소정의 데이터베이스에 저장되어 있음 - 중 적어도 하나의 제2 시퀀스와 상기 제1 시퀀스를 참조로 하여, 상기 제1 시퀀스와 상기 제2 시퀀스의 유사도를 판단하는 단계; 및 (c) 상기 유사도가 제1 임계치 이상인 것으로 판단되는 경우, 상기 장치가, 상기 유사도를 판단할 때 참조된 상기 제2 시퀀스에 대응되는 특정 과거 악성코드와 상기 제1 시퀀스에 대응되는 상기 미확인 코드를 동일한 특정 악성코드 클러스터 - 상기 특정 악성코드 클러스터는 상기 특정 과거 악성코드에 대응되는 악성코드 클러스터임 - 에 포함되는 것으로 판단하고, 상기 유사도가 상기 제1 임계치 미만인 것으로 판단되는 경우, 상기 장치가, 상기 미확인 코드를 별도 검사 대상으로 분류하는 단계; 를 포함하되, 상기 행위 기반 키워드는, 상기 전체 호출 함수 각각을 행위 별로 분류할 수 있도록 사전에 정해진 키워드로서 'FindFirst', 'FindNext', 'CreateFile', 'OpenFile', 'WriteFile', 'CloseHandle', 'Process', 'Crypt' 및 'SetFile' 키워드를 포함하는 것을 특징으로 하며, 상기 (a) 단계 이전에, (a0) 상기 장치가, 상기 데이터베이스에 저장된 상기 복수의 참조 시퀀스를, 복수의 악성코드 클러스터 중 어느 악성코드 클러스터에 속하는지 분류하는 단계; 를 더 포함하고, 상기 (b) 단계는, 상기 장치가, 상기 복수의 악성코드 클러스터 중 상기 특정 악성코드 클러스터에서 상기 제2 시퀀스를 선택하는 것을 특징으로 하며, 상기 (b) 단계에서, 상기 유사도의 판단은, 상기 장치가, (i) 상기 제1 시퀀스의 길이값 및 상기 제2 시퀀스의 길이값들의 평균인 제1 평균값을 계산하여, 상기 제1 시퀀스 및 상기 제2 시퀀스 중에서 상기 제1 평균값을 초과하는 길이의 시퀀스를 제외한 나머지 시퀀스의 길이값들의 평균인 제2 평균값을 구하는 프로세스, (ii) 상기 제2 시퀀스 중 적어도 일부와 상기 제1 시퀀스의 조합을 참조로 하여 적어도 하나의 최장공통부분시퀀스(Longest Common Subsequence, LCS)를 구하는 프로세스, 및 (iii) 상기 LCS의 길이값들 중 가장 큰 값을 상기 제2 평균값으로 나누어 획득된 결과값을 참조로 하여 유사도를 판단하는 프로세스를 수행함에 의하여 이루어지는 것을 특징으로 하고, 상기 (a) 단계에서, 상기 제1 시퀀스에, 상기 특정 행위 기반 키워드 중 악의적인 영향을 주지 않는 함수의 행위 기반 키워드에 대응되는 구성요소가 둘 이상 연속하여 포함된 경우, 상기 장치가, 상기 구성요소를 병합하여 상기 제1 시퀀스를 업데이트하는 것을 특징으로 하는 악성코드 분류 방법이 제공된다.