<aside> <img src="/icons/reorder_green.svg" alt="/icons/reorder_green.svg" width="40px" /> **Home • Posts • About Me • Pages • Contact Me**

</aside>

1. 시작은 단순한 궁금증에서

• 최근 SKT 해킹 관련해서 “민관합동 조사결과 2차 발표”에서 SKt 서버에서 악성코드 25종이 발견되었다고 발표하였지만, 공개된 악성코드 정보는 12종(2025.05.21 기준)

• 1차 공개(4종) : 링크

  

• 2차 공개(8종) : 링크

  

• 공개된 악성코드 정보는 파일명, 파일 크기, 해시정보 뿐!!

• "단지 공개된 정보만 가지고, 이 악성코드들이 서로 얼마나 비슷한지 알 수 있을까?"라는 호기심이 생김

2. SSDEEP, 너로 정했다

• 유사도 분석에 사용되는 SSDEEP란?

<aside> 💡

SSDEEP은 fuzzy hashing(퍼지 해싱) 기법 중 하나로, 파일 간의 유사성을 정량적으로 비교할 수 있는 도구 및 알고리즘입니다. 일반적인 해시 함수(SHA1, MD5 등)는 1비트만 바뀌어도 완전히 다른 값을 출력하지만, SSDEEP은 부분적으로 유사한 파일 간에도 일정 비율의 유사도를 계산할 수 있다는 점이 특징입니다.

</aside>

• 퍼지 해시(Fuzzy Hash)라는 개념

<aside> 💡

**퍼지 해시(Fuzzy Hashing)**는 서로 다른 두 데이터가 어느 정도까지 비슷한지를 수치적으로 측정할 수 있도록 해주는 해시 알고리즘 또는 그 결과값입니다.

</aside>

• SSDEEP Fuzzy Hash의 70%, 80%, 90% 는 어떤 의미?

  유사도	의미	실무 해석	예시
  70%	구조 일부 유사	파일의 주요 블록 중 일부가 같거나 삽입/삭제된 내용이 존재	- 동일 악성코드의 변형된 버전- 공통 라이브러리 사용
  80%	높은 유사성	주요 함수/루틴 대부분이 동일, 일부 수정 흔적	- 같은 그룹이 만든 버전 차이

  • 빌드 옵션만 달라진 경우 | | 90% 이상 | 거의 동일 | 바이너리 레벨에서 큰 차이 없음 | - 동일한 악성코드의 다른 컴파일 시점 버전
  • C2 주소만 변경된 변종
  • 디버그 심볼만 제거된 동일 코드 |

  80%는 의도적 변형이 감지된 변종, 90% 이상은 복제 수준으로 해석