악성코드 결과 해석 가이드
악성코드 결과 해석 가이드#
Malware Lab은 의심 파일과 일반 프로그램 검증 결과를 여러 탭으로 나누어 보여줍니다. 사용자는 먼저 위험도와 핵심 근거를 확인하고, 필요한 경우 YARA, 행위, 그래프, AI 분석, Q&A로 내려가며 검증할 수 있습니다.
탭별 의미#
| 탭 | 목적 | 확인할 내용 |
|---|---|---|
| 개요 | 전체 판정과 핵심 근거 요약 | 위험도, 파일 정보, 주요 탐지, 권장 조치 |
| YARA | 룰 기반 탐지 결과 | 매칭 룰, 심각도, 탐지 카테고리 |
| 행위·기능 | CAPA와 동적·정적 행위 해석 | 파일, 프로세스, 네트워크, 지속성, 회피 신호 |
| 그래프 | 함수·행위·IOC 관계 시각화 | 의심 기능과 연결된 문자열, API, IOC |
| AI 분석 | 결과를 자연어로 종합 | 악성 의도, 감염 가능성, 근거, 불확실성 |
| Q&A | 분석 결과에 대한 후속 질문 | "왜 위험한가", "IOC만 추출", "대응 방법" |
| 통합 리포트 | 공유 가능한 분석 산출물 | 요약, 근거, IOC, MITRE, 권장 조치 |
위험도 해석#
| 판정 | 의미 | 권장 조치 |
|---|---|---|
| 악성 | 여러 엔진 또는 명확한 악성 행위 근거가 있음 | 격리, IOC 차단, 관련 케이스 조사 |
| 의심 | 일부 위험 신호가 있으나 단정하기 어려움 | 샌드박스·원본 경로·실행 이력 추가 확인 |
| 주의 | 패커, 난독화, 의심 문자열 등 잠재 위험 | 출처와 서명, 사용자 실행 맥락 확인 |
| 정상 가능 | 명확한 악성 근거가 낮음 | 서명과 배포 경로 검증 후 허용 판단 |
IOC 확인#
IOC는 케이스 분석과 연결할 때 가장 유용합니다.
- 파일 해시: 동일 파일 존재 여부 확인
- 파일명과 경로: 실행 위치와 사용자 활동 확인
- 도메인과 IP: 네트워크 로그와 브라우저 흔적 확인
- 레지스트리·서비스·작업 이름: 지속성 여부 확인
- 시간 정보: 케이스 타임라인과 연결
Q&A 예시#
- "이 파일이 악성으로 판단된 핵심 근거 5개만 정리해줘"
- "IOC만 표로 추출해줘"
- "MITRE ATT&CK 단계별로 행위를 분류해줘"
- "이 파일을 케이스의 외부 유출 정황과 연결해서 볼 수 있을까?"
- "정상 프로그램일 가능성을 판단하려면 무엇을 더 확인해야 해?"
주의사항#
- YARA 매칭만으로 최종 악성 판정을 내리지 마세요.
- 정상 프로그램도 패커나 난독화 때문에 의심으로 분류될 수 있습니다.
- AI 분석은 여러 엔진 결과를 설명하는 보조 도구이며, 최종 판단은 원본 파일과 실행 맥락을 함께 확인해야 합니다.
다음 단계#
서비스에서 바로 이어서 확인하세요
문서에서 본 흐름을 샘플 분석 또는 실제 업로드 화면에서 이어갈 수 있습니다. 실제 증거는 적법한 권한이 있을 때만 업로드하세요.