11주차 - VirusTotal

목차

• 0. 과제 및 과정 소개
• 1. VirusTotal이란?
• 2. VirusTotal의 주요 기능
• 3. 세부 사용법
  • 3-1. 기본 검색 창
  • 3-2. 검색 결과 기본 안내
  • 3-3. Detection 창
  • 3-4. Details
  • 3-5. Relations
  • 3-6. Behavior
  • 3-7. Community
• 4. 분석방법
  • 🔎 분석 특징
  • ✅ 분석 활용방안
• 5. 오탐 처리 및 양성 신호 판별
  • 태그 활용하기
  • 신호 판별
• 6. 악성 판별하기
• 7. VirusTotal의 다양한 활용

0. 과제 및 과정 소개

11주차 VirusTotal 사용방법.pptx

1.44MB

 

과제 발표에 사용한 PPT파일을 첨부합니다. 이 과제는 AI스쿨 리팩토링 보안 과정의 일부로 2024년 2월 9일에 발표되었으며 보안 기초에 해당하는 VirusTotal을 다루었습니다. 리팩토링 교육과정에 참여하고자 하신다면 아래 AI스쿨 공식 카페에 방문해 주세요.

 

 https://cafe.naver.com/itscholar

정보보안전문가 취업카페 스칼라 : 네이버 카페

1. VirusTotal이란?

Virust Total 로고, 출처: 영문 Wikipedia

 

VirusTotal은 다양한 보안 업체의 백신 엔진을 기반으로, 업로드된 파일이나 URL에 대해 악성코드 여부를 분석할 수 있는 대표적인 무료 웹 서비스입니다. 2004년에 설립된 이 서비스는 현재 구글 자회사인 Chronicle이 운영하고 있으며, 보안 전문가들 사이에서는 일종의 악성코드 검색용 구글로 불릴 만큼 널리 활용되고 있습니다.

VirusTotal은 약 70여 개 이상의 백신 엔진 및 URL 차단 서비스와 연동되어 있어, 사용자는 자신의 PC에 있는 의심 파일을 업로드하거나, URL 또는 해시 값(MD5, SHA1, SHA256)을 입력해 직접 악성 여부를 확인할 수 있습니다. 업로드된 파일은 자동으로 여러 엔진을 통해 병렬적으로 분석되며, 검사 결과는 실시간으로 확인할 수 있습니다. 단, 이때 업로드된 파일은 기본적으로 커뮤니티와 공유되므로, 민감한 정보가 포함된 파일은 업로드 시 주의가 필요합니다.

최근 VirusTotal은 단순한 바이러스 감지 도구를 넘어서

• 행위 기반 분석(Behavior)
• 파일 간 연관성 추적(Relations)
• 커뮤니티 기반 평가 및 의견 공유(Community)

와 같은 기능을 통해 보안 분석의 정확도와 심층성을 높이고 있습니다.

결과적으로 VirusTotal은 보안 관제 및 위협 인텔리전스(Threat Intelligence)의 출발점으로 활용되며 파일의 위협도 평가, 오탐 여부 판별, 의심스러운 캠페인 추적 등 다양한 보안 업무에서 핵심적인 도구로 자리잡고 있습니다.

---

2. VirusTotal의 주요 기능

VirusTotal은 단순히 파일을 검사하는 데 그치지 않고, 다양한 보안 분석 기능을 통해 보안 전문가, 분석가, 개발자 모두에게 강력한 도구로 활용됩니다. 아래는 VirusTotal이 제공하는 핵심 기능들입니다.

• 멀티 엔진 검사 (Multi-AV Scanning) - VirusTotal은 70개 이상의 백신 엔진을 활용하여 업로드된 파일, URL, IP, 도메인 등을 다중 진단합니다.
  • 이는 서로 다른 탐지 기준을 가진 엔진들을 동시에 확인할 수 있어 정확도와 신뢰성이 높아집니다.
  • 업로드 가능한 파일의 최대 용량은 550MB이며, 제출된 파일은 기본적으로 공개되어 커뮤니티에 공유되므로 기밀 정보 포함 시 유의해야 합니다.
• 파일/URL/도메인/IP 검색 및 제출
  • 단순한 파일 업로드 외에도 URL 입력, 해시(MD5, SHA-1, SHA-256) 검색, 도메인/IP 조회 등을 지원합니다.
  • 이 때 해시는 서로 다른 알고리즘을 혼합해서 사용해도 되며, 파일 고유 식별자로 활용됩니다.
  • URL이나 도메인에 대해 차단 여부 조회, 악성 여부 정밀 분석이 가능하며, 자동화 API를 통해 시스템과 연동할 수 있습니다.
• 행위 기반 분석 (Behavioral Analysis)
  • 실행 가능한 파일(EXE, DLL 등)은 자동으로 샌드박스 환경에서 실행되어 동작을 추적합니다.
  • 해당 파일이 어떤 시스템 호출을 했는지, 외부 통신을 시도했는지, 파일 생성/변조 여부 등을 리포트로 확인할 수 있습니다.
• 관계 분석 (Relations)
  • 특정 파일과 연관된 URL, 도메인, IP, 다른 파일 등의 정보를 그래프 형태로 시각화해 보여줍니다.
  • 공격자 캠페인이나 지속적인 공격 흐름(APT 등)의 추적에 매우 유용합니다.
• 복잡한 검색 질의(Query) 지원
  • AND, OR, NOT 등의 논리 연산자와 부분 그룹화 기능을 통해 복합 조건 검색이 가능합니다.
  • 예를 들어 "type:peexe AND tag:trojan"과 같은 조건을 이용해 원하는 샘플을 빠르게 찾아낼 수 있습니다.
• 검사 제한과 조건
  • 사용자 시스템 전체 검사 기능은 제공하지 않으며, 반드시 하나의 파일만 제출 가능합니다.
  • 특히 압축 파일의 경우, 첫 번째 파일만 검사 대상이 되므로 폴더 구조와 압축 순서에 유의해야 합니다.
• 커뮤니티 및 인텔리전스 (Community & Threat Intelligence)
  • 사용자들이 분석 결과에 대해 의견을 남기거나, 평판(reputation)을 공유하는 기능이 있으며 VirusTotal Intelligence(유료 기능)를 통해 더 깊이 있는 위협 그룹 추적, YARA 기반 검색, 대량 분석도 지원합니다.
• API 제공
  • 개발자 및 관제 시스템 연동을 위한 RESTful API를 제공하며 자동화된 분석 및 보안 시스템 내 통합이 가능하도록 설계되어 있습니다.

이처럼 VirusTotal은 단순 스캔 도구를 넘어, 보안 운영의 전반적인 사이클(탐지, 분석, 추적)에 사용될 수 있는 강력한 위협 분석 플랫폼입니다.

---

3. 세부 사용법

3-1. 기본 검색 창

VirustTotal 검색 창

VirusTotal의 메인 페이지에서 가장 중심이 되는 기능은 상단의 검색 창(Search bar)입니다. 이 검색 창을 통해 사용자는 다양한 방식으로 악성 요소를 탐색할 수 있으며 정적 정보부터 행위 기반 분석까지 단계적으로 접근할 수 있습니다.

• 기본적으로 제공되는 3가지 검색 옵션
  • 파일(File): 로컬에 있는 파일을 업로드하여 검사할 수 있습니다.
  • URL(URL): 의심스러운 웹사이트 주소를 입력하여 악성 여부를 판별합니다.
  • 검색(Search): 검색어 입력을 통해 다양한 자산을 탐색합니다.
• 검색 가능한 주요 항목
  • IP 주소
  • 도메인
  • 파일 해시값 (MD5 / SHA-1 / SHA-256)
  • 커뮤니티 사용자 (@username 형식 입력, 예: @analyst_kim)
• 파일 해시 검색은 업로드 없이 해당 파일에 대한 이전 분석 보고서를 바로 조회할 수 있는 기능입니다.
• 커뮤니티 사용자 검색은 해당 분석가가 남긴 코멘트나 평판 정보를 확인할 수 있는 방법입니다.
• 프리미엄 사용자에게 제공되는 고급 검색 수정자(Advanced Search Modifiers) 검색어에 필터를 걸어 더욱 세밀한 조건으로 분석할 수 있습니다. 예를 들어 다음과 같은 조건으로 세부 탐색이 가능합니다.
  • 바이러스 백신 이름 기반 필터링
  • 파일 크기 및 포맷
  • 포함된 바이너리 시그니처
  • 네트워크 연결 패턴, 동작 이력 등
• 또한 이메일이나 도메인을 검색할 경우, 해당 요소가 악성 활동에 연루된 전적이 있는지,또는 관련된 IP / URL / 파일과의 연관성을 탐지할 수 있습니다.

이처럼 단순한 검색창이지만 다양한 보안 정보와 연계를 지원하는 강력한 인터페이스를 제공합니다.

---

3-2. 검색 결과 기본 안내

지금부터는 보다 자세한 설명을 위해 2가지 파일의 해시 값을 사용하겠습니다.

정상 해시 값 : e1d6f78a72836ea120bd27a33ae89cbdc3f3ca7d9d0231aaa3aac91996d2fa4e

악성 해시 값 : 4845761c9bed0563d0aa83613311191e075a9b58861e80392914d61a21bad976

해시 값이란?
해시(Hash) 값이란, 특정 데이터를 고정된 길이의 문자열로 변환한 고유 식별자입니다.
일반적으로 파일의 무결성 검증이나 동일 파일 여부 판별, 악성코드 탐지에 사용되며, 대표적으로 MD5, SHA-1, SHA-256 등의 알고리즘이 있습니다. 해시 값은 입력 데이터가 조금이라도 바뀌면 완전히 다른 값이 생성되기 때문에, 악성코드 분석 시 동일 샘플 여부를 추적하거나 위변조 여부를 판단하는 데 매우 유용합니다.

 

검색 결과 창

 

VirusTotal에 파일, 해시, URL 등을 입력하면 가장 먼저 마주하게 되는 것이 바로 검색 결과 기본 요약 창입니다.
이 화면에서는 전체 분석 결과의 요약 정보가 시각적으로 제공되며, 탐지 비율, 파일 속성, 해시 값 등이 상단에 표시됩니다.

• 탐지 비율 (Detection Ratio)
  • 여러 백신 엔진이 이 파일을 어떤 결과로 판별했는지를 비율로 표시합니다.
  • 예: 3/60 → 60개의 엔진 중 3개가 악성코드로 탐지했다는 의미입니다.
• 파일의 속성 정보
  • 분석된 파일의 확장자, 파일 크기, 생성 날짜, 해시(MD5, SHA-1, SHA-256) 등 다양한 기술 정보가 제공됩니다.
  • 이 해시 정보는 다시 VirusTotal 내에서 재검색이 가능합니다.
• Community Score 및 사용자 평가
  • VirusTotal 커뮤니티 사용자들이 평가한 신뢰 여부에 대한 Community Score가 제공되며,
    댓글과 함께 “이 파일이 신뢰할 수 있다/없다” 등의 의견이 실립니다.
  • 이는 정량적 지표 외에 실무자의 직관적 평가를 보완해주는 중요한 기준이 됩니다.
• 탐지된 특징에 대한 태그(Tag)
  • 안드로이드 파일, 전화 통신, SMS 전송, exploit, script 등 분석된 파일의 특성을 반영한 태그들이 부여됩니다.
  • 이를 통해 사용자는 해당 파일의 기능적 위험성을 직관적으로 파악할 수 있습니다.

하단의 Detection, Details, Relations, Behaviors, Community는 더 상세한 정보를 담고 있기 때문에 자세히 살펴보겠습니다.

 

---

3-3. Detection 창

Detection 창 - 악성코드 탐지 표

엔진이 악성코드를 탐지하지 못한 경우

• Detection 탭에서는 다양한 보안 솔루션에서 이 파일을 어떻게 판별했는지를 표로 제공합니다.
• 예를 들어 Kaspersky, ESET, Microsoft, McAfee 등 엔진 별 결과가 나열되고 탐지된 경우 위협 유형(Trojan, Worm, Spyware 등)도 함께 제시됩니다. 반대로 위협이 없을 경우 “Clean”, 탐지 불가능 시 “undetected”로 표기됩니다.
• 같은 백신 엔진을 공유한 제품군이 있을 수 있으므로, 동일 결과가 여러 라인에 반복되는 것도 자연스러운 현상입니다.
• 또한 VirusTotal은 정적인 탐지 외에도 실행 이력에 따라 결과가 달라질 수 있기 때문에, 재실행 시 결과가 달라지는 경우도 존재합니다.

---

3-4. Details

검색 결과 화면에서 상단 탭 중 하나인 Details(상세 창)은 해당 파일에 대한 기술적 메타데이터를 종합적으로 보여주는 영역입니다.
초보 사용자보다는 어느 정도 분석에 익숙한 사용자들이 오탐 여부나 파일의 정체성을 파악할 때 자주 참조하는 탭입니다.

 

VirusTotal Details - Basic Properties

• Basic Properties
  • 해당 항목에서는 다음과 같은 기본 속성들이 표시됩니다.
    • Hash 값들 (MD5, SHA-1, SHA-256)
      다양한 해시 알고리즘에 따른 고유 식별자가 제시되며, 이 값은 VirusTotal 내에서 직접 검색 가능한 주요 수단입니다.
    • 파일 타입 및 MIME 타입
      예: PE32, ELF, PDF, APK 등 다양한 형식이 있으며, 이는 해당 파일이 어떤 종류의 실행 환경을 요구하는지를 알려줍니다.
    • 파일 크기 / 인코딩 정보 / 파일 형식 기반 시그니처
      예: UTF-8 인코딩, Win32 EXE, ELF shared object 등.

VirusTotal Details - History

• History
  • VirusTotal에 처음 업로드된 초기 제출 일자,
    이후 발견된 최초 변형 날짜,
    최근 사용자에 의해 분석된 최종 분석 일자 등이 나옵니다.
  • 이를 통해 분석자는 파일이 얼마나 오래된 것인지,
    그리고 중간에 변형된 적은 없는지 등을 판단할 수 있습니다.
  • 특히 오탐 여부를 판단할 때, 오랜 시간 동안 탐지되지 않았다면 정상 파일일 가능성이 높다는 참고 지표로 활용됩니다.

VirusTotal Details - Names

• Names
  • 파일이 시스템 내에서 어떤 파일 이름으로 존재했는지의 목록이 제시됩니다.
  • 사용자 환경이나 업로드 경로에 따라 다양하게 명명될 수 있으며,
    일부 악성코드는 정상 파일처럼 보이도록 이름을 위장하는 경우가 있기 때문에 중요한 정보입니다.
  • 예: invoice.exe, system32update.exe, readme.txt 등

Details 탭은 분석 초기 단계에서 파일의 정체성을 파악하고 동일한 파일이 다른 상황에서 어떻게 취급되었는지를 비교 분석하는 데 매우 유용한 기능을 제공합니다.

---

3-5. Relations

VirusTotal Relations

Relations 탭은 VirusTotal이 제공하는 강력한 시각적 분석 도구 중 하나로 해당 파일이 어떤 외부 리소스와 연관되어 있는지를 확인할 수 있는 기능입니다. 이 탭은 단순히 파일 내부 정보만 보여주는 것이 아니라 파일이 접근한 도메인, IP 주소, 함께 번들로 작동한 파일 등 외부 요소와의 관계성을 시각화해 줍니다.

• 주요 항목
  • Contacted Domain: 이 파일이 실행 중 접근했던 외부 도메인 목록
  • Contaced IP addresses: 연결된 서버의 IP 주소
  • Bundle Files: 해당 파일이 다른 악성 파일과 함께 번들되었는지 여부
  • Contacted URLs : 해당 파일이 트리거되었을 때 참조했던 웹 링크 등
  • Graph Summary
    
    • 하단에는 파일과 외부 요소 간 관계성을 종합적으로 표현한 인터랙티브 그래프가 표시됩니다. 각 노드는 URL, 도메인, IP, 관련 파일 등을 나타내며,  노드 크기와 연결선을 통해 얼마나 빈번하게 연결되었는지 시각적으로 확인할 수 있습니다.

VirusTotal Relations - Graph Summary

위 악성 해시 값을 기준으로 설명하면

• 이 파일은 2개의 URL과 통신하며, 9개의 도메인에 접근한 이력이 있습니다.
• 사용자가 이를 클릭하면, VirusTotal의 연관성 그래프(Relationship Graph) 기능으로 자동 전환되어 보다 직관적으로 전체 맥락을 탐색할 수 있게 됩니다.

VirusTotal Relations - Graph Summary 클릭으로 접속하는 Relation Graph 창

 

또한, 이미지 예시에서는 다음 사항을 확인할 수 있습니다.

• 주요 통신 국가가 미국으로 표시되어 있으며, 이는 통신한 IP가 미국 기반이라는 의미입니다. 이는 외부 명령 수신, 정보 유출, 악성 코드 다운로드 등의 가능성을 암시합니다.
• .exe, .zip, .rar 등으로 구성된 다수의 상위 파일들이 보입니다. 이는 이 악성 파일이 다른 압축 파일 또는 실행 파일 내부에 포함되어 있었음을 의미합니다. 즉, 다른 악성 샘플의 하위 컴포넌트로 재사용되었거나, 특정 패키지에 묶여 배포되었을 가능성이 있습니다.

---

 

 

3-6. Behavior

Virustotal Behavior

 

Behavior 탭은 샌드박스 환경에서 해당 파일이 실제로 어떻게 작동했는지를 보여주는 핵심 분석 영역입니다. 단순한 정적 분석이 아닌, 실행 기반의 동적 분석 결과를 통해 해당 샘플이 시스템에서 어떤 행동을 했는지를 시각적으로 파악할 수 있습니다.

• 대표 정보 항목
  • 스크린샷: 악성코드가 실행되면서 띄운 화면 등 시각 정보 제공
  • 파일 및 프로세스 활동 내역: 파일 생성, 수정, 삭제, 실행된 프로세스 목록
  • 레지스트리 변경: Windows 환경에서 시스템 설정 변경 기록 확인
  • 네트워크 통신 시도: 접속한 외부 주소, 전송한 패킷 정보 등

이러한 정보를 기반으로 해당 파일이 랜섬웨어, 키로거, 드롭퍼, 백도어인지 여부를 정확히 추정해볼 수 있으며, 샌드박스 종류에 따라 분석 결과가 상이할 수 있다는 점도 염두에 두어야 합니다.

---

3-7. Community

VirusTotal Communtiy

 

Community 탭은 VirusTotal 사용자들이 해당 파일에 대해 남긴 의견, 평가, 리뷰를 모아놓은 영역입니다.
이곳에서는 특정 악성코드 샘플에 대해 커뮤니티의 신뢰 여부나 의견 일치/불일치 여부를 판단할 수 있습니다.

• 주요 내용
  • 사용자 코멘트: 해당 파일이 왜 위험하거나 무해한지에 대한 분석 의견
  • 신뢰 평가 (Community Score): 파일에 대한 전체 사용자 평가 점수 (악성 또는 안전)
  • 공유된 메타데이터: 분석자들이 남긴 추가적인 메모, 출처 정보 등

또한 커뮤니티는 분석 결과를 다른 사용자와 공유하여 향후 누적적인 위협 정보 분석에도 활용됩니다.
따라서 파일의 위험 인식 수준이나, 이전 분석 결과와의 차이점 등을 파악하는 데 효과적입니다.

 

---

4. 분석방법

VirusTotal은 강력한 악성코드 분석 도구이지만, 이를 효과적으로 활용하기 위해서는 분석 방식과 해석 방법을 명확히 이해할 필요가 있습니다. VirusTotal의 분석은 전통적인 악성코드 분석의 기초분석 단계에 해당하며, 이를 중심으로 다른 정적/동적 분석과 연계해보는 것이 중요합니다.

🔎 분석 특징

• 기초분석 도구로서의 역할
  • VirusTotal은 파일의 정체성과 해시값 기반 정보, 탐지율 등 기초적인 정황 정보를 제공하는 도구입니다.
  • 실제 악성 행위는 샌드박스 환경의 제한 내에서 확인되므로, 실제 배포 환경과는 차이가 있습니다.
• 정적/동적 분석 방향 결정에 사용
  • 기초분석으로 수집된 정보(예: 파일 타입, 해시, 크기 등)를 기반으로 정적 분석 및 동적 분석의 방향을 설정할 수 있습니다.
• 오탐 가능성과 엔진의 한계
  • 동일한 엔진을 사용하는 백신이 많아 판단 결과가 유사하게 반복될 수 있으며 정상 프로그램(예: 원격 제어 도구, 내부 통신 모듈 등)도 오탐될 수 있습니다. 심지어 공격자들이 정상 파일을 공격의 일부로 활용하는 사례도 존재하기 때문에, 100% 신뢰는 위험합니다.

✅ 분석 활용방안

1. 행위자 또는 캠페인 추적 용도로의 활용
   VirusTotal은 단순히 파일의 악성 여부만 판단하는 것이 아니라 누가, 어떤 캠페인으로, 어떤 맥락에서 이 파일이 사용되었는지 추적할 수 있는 상관성 지표로 매우 유용합니다.
   
   
2. 정적/동적 분석 연결지점으로서의 위치
   정적 분석(코드 분석), 동적 분석(실행 분석) 이전에 VT 결과를 통해 어떤 분석을 중점적으로 진행할지 방향성을 잡는 데 사용됩니다.
   
   
3. 분류 시스템으로 보기보다는 탐색 기반의 지도
   VT의 탐지 결과를 최종 판단 결과로 받아들이기보다는 분석 대상 샘플의 연결관계, 의심 패턴 등을 파악하는 탐색 도구로 활용해야 합니다.
   
   
4. 크로스체크 및 오탐 판단의 기준
   다양한 내부 지표들을 비교 분석하고, 샌드박스 행동 결과 등을 함께 고려하여 최종 판단을 내리는 참고자료로 활용하는 것이 가장 바람직합니다.

---

5. 오탐 처리 및 양성 신호 판별

악성 여부에 대한 판단은 자동화된 탐지 결과만으로는 부족하며, 다양한 신호와 태그, 커뮤니티 피드백 등을 통해 보다 정확한 분별이 필요합니다. VirusTotal에서는 이러한 오탐과 양성 판별을 돕기 위해 다양한 시그널을 제공합니다.

태그 활용하기

신뢰 가능한 태그 - legit

• 파일 분석 결과에 포함된 태그 중 legit이라는 태그가 붙어 있다면, 이는 해당 파일이 신뢰 가능한 것으로 평가되었음을 의미합니다.

History - First Seen In the Wild와 Signature Verification

• 특히 해당 파일의 History에서 First Seen In the Wild 항목이 확인되고, 유효한 서명(Signature)이 체크된 경우, 해당 파일은 비교적 안전하다고 판단할 수 있습니다. (예: ① legit, ② 신뢰 유통사, ③ 유효 서명)
• 반면 exploit이라는 태그가 있는 경우, 해당 파일이 잠재적으로 악성 행위를 시도했음을 의미하므로 Weak/Strong Signals를 함께 확인하여 주의가 필요합니다.

---

신호 판별

Detection CrowdSourced Rules

• Detection 탭에 나오는 백신 탐지 결과는 때때로 오탐을 포함할 수 있어, 단독 신뢰는 어렵습니다. 따라서 Crowdsourced Rules의 적용 여부를 함께 검토해야 하며, 이 규칙들은 일반적인 악성코드 탐지 외에도 의심스러운 패턴이나 행동을 기준으로 분류합니다.
• Community > Comment란에서는 해당 파일에 대한 타 사용자들의 의견이나 분석 코멘트를 확인할 수 있으며, 이들의 누적 피드백은 실질적인 판별 기준으로 활용될 수 있습니다.
• 추가적으로 파일의 메타 정보 역시 중요한 신호가 됩니다. 예를 들어 파일명, 제작사명, 서명 정보 등이 정상적이고 널리 알려진 것이라면 양성 판별에 도움이 됩니다.
• 특히 not be verified와 같은 서명 상태는, 서명이 존재하더라도 신뢰성이 낮다는 점을 시사하므로 주의가 필요합니다.

---

6. 악성 판별하기

앞의 방법들을 모두 활용한 후에도 악성 여부가 명확하지 않다면, 다음과 같은 추가적인 판단 기준을 적용해볼 수 있습니다.

1. 그 자체로 Strong Signals인 경우
   탐지 결과가 매우 높은 수치로 악성코드로 나타나며, 대부분의 백신 소프트웨어가 악성으로 분류하는 경우에는 악성으로 간주하는 것이 일반적입니다.
   
   
2. 분석 시 EICAR와 같은 테스트 파일 확인 지표를 체크
   일부 백신은 테스트 패턴을 기반으로 한 위협 탐지 시그니처를 활용합니다. EICAR는 대표적인 예시로, 이를 통해 정상 작동 여부를 확인할 수 있습니다.
   
   
3. 시간에 따른 분석 이력 및 조회 수 변화 관찰
   오래된 파일인데도 조회 수가 급증한 경우, 최근 악성 행위로 주목받고 있을 가능성이 있으므로 주의가 필요합니다.
   
   
4. Crowdsourced Rules 및 커뮤니티 탭 확인
   사용자 커뮤니티에서 남긴 의견과 함께 해당 파일이 어떤 기준으로 악성 판별되었는지 확인 가능하며, 이를 외부 위협 인텔리전스와 비교하여 이중 검증하는 것이 안전합니다.
   
   
5. 프로세스 커맨드 분석
   해당 샘플이 실행 중 다른 프로세스를 조작, 시스템 파일 변경을 시도하는 행위가 있다면 악성 행위로 간주할 수 있습니다.
   
   
6. Behavior 항목 분석
   행동 분석 탭에서 확인된 악성 도메인 접속, C2 통신 시도, 비정상적인 트래픽 유발 등의 행위는 악성코드로 판단하는 데 있어 강력한 근거가 됩니다.

이처럼 다양한 기준과 행위 기반 분석을 종합해 최종적인 악성 여부를 판단할 수 있습니다.

---

7. VirusTotal의 다양한 활용

마지막으로 다양한 용례를 소개하는 것으로 끝내려 합니다.

• 기업 보안 관제: 의심 파일 수집 및 사내 이메일 첨부 파일 분석, 침해지표(IOC) 정리 등 보안관제의 필수 도구로 사용됩니다.
• 침해사고 대응(IR): 파일 해시를 중심으로 관련 악성 IP, 도메인, 번들 파일 정보를 확인함으로써 공격 경로를 추적하고, 유사 공격 여부를 판단하는 데 사용됩니다.
• 보안 취약점 탐색 및 정보 수집: 신규 악성코드 샘플을 업로드하거나 기존 보고서를 분석하여, 공격자가 사용하는 툴킷이나 캠페인 패턴을 파악합니다.
• 공개 레포트 및 위협 인텔리전스 공유: 커뮤니티나 레퍼런스를 통해 여러 보안 연구자들과 분석 내용을 공유하며, 위협 정보 확산의 중심 도구로 기능합니다.
• 소프트웨어 신뢰성 검증: 불분명한 출처의 프로그램이나 인스톨러에 대한 신뢰도를 확인하거나, 백도어 존재 여부를 점검하는 데도 사용됩니다.
• 게임 모드 검증 및 사설 클라이언트 검토: 일부 커뮤니티에서는 인기 게임의 비공식 모드나 유저 제작 콘텐츠(Mod)가 악성코드를 포함하고 있는지 확인하기 위해 VirusTotal을 적극적으로 사용합니다.
  
  이처럼 VirusTotal은 보안 전문가뿐 아니라 일반 사용자에게도 유용한 도구입니다. 무엇보다 다양한 분석 결과를 통해 단순한 탐지를 넘어, 위협 판단과 정보 연계를 가능하게 한다는 점에서 큰 가치를 지니고 있습니다.

참고자료

이하는 글을 작성하기 위해 주로 참고한 자료들입니다.

 

Virustotal 공식 문서

https://docs.virustotal.com

VirusTotal

https://youtu.be/HrK4w4L4-O0?si=d35B8IWrz-LDEGS8 

 

•https://blog.naver.com/hahaj1/20148380044

바이러스토털(VirusTotal) 사이트 활용 방법과 주의할 점

 

https://maker5587.tistory.com/12#Virustotal%20%EC%9D%84%20%ED%86%B5%ED%95%9C%20%EB%B6%84%EC%84%9D%20%EB%B0%A9%EB%B2%95-1

Virustotal 기능 / Virustotal 사용법 / 악성 코드 기초 분석 / 바이러스 토탈