정적/동적 분석 개념 설명 + 실습 경험 연결
정적 분석은 악성코드를 실행하지 않고 코드 구조나 문자열, 해시 등을 분석하는 방식입니다. 실행 없이 빠르게 특성을 파악할 수 있지만, 패킹이나 난독화가 적용된 경우 분석이 어렵습니다. 동적 분석은 샌드박스 같은 가상 환경에서 직접 실행시켜 행동을 관찰하는 방식입니다. 실제 행위를 보기 때문에 난독화에 강하지만, 환경을 감지해 행동을 숨기는 악성코드에는 한계가 있습니다. 보안 수업 실습에서 간단한 랜섬웨어 샘플을 두 방법으로 분석해봤는데, 정적으로는 의심 문자열을 찾았고 동적으로는 레지스트리 변경 동작을 확인했습니다. 실무에서는 보통 두 방법을 병행해서 서로 보완하는 방식으로 씁니다.
두 방법을 병행하면 정적 분석이 놓친 행위를 동적 분석이 잡아주는 보완 구조가 만들어집니다.