Q. Signature 기반 안티바이러스 시대는 끝났다는 의견이 많이 있는데, 이에 대한 백신 업체들의 대안은 무엇인가요?

A-1. 시그니처 방식은 이전에 공격과 피해가 발생한 적이 있어야 하기 때문에 최초로 시행되는 악성코드는 탐지할 수 없습니다. 과거에는 대중적으로 집중되는 현상만 보호해도 충분히 효과가 있었지만, 이제는 발생 빈도가 적은 파일들이라도 그 위험을 무시할 수 없는 롱테일 현상이 생기게 된 것입니다.

이에 대한 대안으로는 첫째, 엔드포인트로부터 정보를 수집해 소프트웨어 사용 패턴을 파악하고, 파일에 안전등급을 부여하는 평판 보안 기술이 필요합니다. 둘째, 비시그니처 방식의 악성코드 탐지기법이 필요합니다. 대표적인 샌드박스 기법은 새로운 악성코드를 찾아내는 중요한 기술이 되고 있습니다.

악성코드로 의심되는 파일을 격리된 가상화 영역에서 실험해 본 후 어떠한 공격이 일어나는지 확인하고 공격이 일어나면 상세분석을 시작하고 공격이 일어나지 않으면 허용하는 방식입니다. 지난 3·20 사이버테러 사건에서도 볼 수 있듯, 오늘날 사이버 위협은 공격의 대상과 규모, 방식에서 과거와 비교할 수 없을 만큼 위협적으로 진화하고 있습니다. 사이버공격에 있어 시그니처 기반의 백신으로는 근본적인 방어가 불가능합니다. 향후 이러한 공격에 발빠르고 정확하게 탐지할 수 있는 보안 솔루션만이 시장의 요구에 부응하게 될 것으로 봅니다.

(임건묵 한국CISSP협회 보안연구실/geonmook.lim@gmail.com)

A-2. 클라우딩 기술은 전 세계 수천 만 개의 유형별 파일 DNA를 중앙 서버에서 관리하며 악성코드가 탐지될 때마다 DNA(파일 시그니처)를 보내 PC 내 파일이 악성코드인지 여부를 실시간 확인해 주는 방식입니다. 악성코드 진단율을 높이고, 악성코드의 패턴 수집/접수, 분석, 배포(패턴업데이트) 절차 없이 악성코드에 신속히 대응 가능하다는 측면에서 기존 방식의 대안임에 틀림없다고 봅니다.

하지만 화이트리스트 DB에 없는 신종 악성코드를 악성코드라 인지하지 못하는 ‘미 진단 문제’나 시그니처에 등록되어 있지 않은 의심 파일을 정상파일인데도 삭제하고 치료하는 ‘오탐 문제’의 소지가 있을 수 있습니다.

또 모든 PC가 인터넷에 연결됐다는 가정 하에 악성코드 대응이 이뤄지므로 오프라인 상태의 PC에서는 백신 제품이 의미가 없어지며, 파일 시그니처를 관리하는 중앙 서버가 공격을 받을 시 백신 제품 자체가 무력화 될 수 있습니다. 따라서 클라우딩 기술이 아직 백신이 지닌 한계를 완벽히 보완하기에는 미흡하다는 지적이 있습니다.

(왕재윤 한국산업기술보호협회 관제운영팀 연구원/jywang@kaits.or.kr)

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>