새로운 멀웨어에 대한 감지는 더욱 어려운 상황

[보안뉴스 주소형] 안티바이러스 툴의 실효성 문제가 제기됐다. 악성 소프트웨어인 멀웨어는 점점 다양해지고 있는데 기업들은 여전히 안티바이러스 툴을 ‘방어의 첫 번째 카드’로 내밀고 있다. 과연 멀웨어를 상대로 안티바이러스 툴을 선두에 내세워도 되는 것일까? 답은 아직까지는 ‘아니다’라고 한다.

미국의 보안업체 담발라(Damballa)가 지난해 1월부터 10개월간 많이 이용하고 있는 4개의 안티바이러스 툴을 대상으로 그들의 실효성에 대한 조사를 진행했다. 그 결과, 감지 속도도 느리고 감지 확률도 높지 않은 것으로 나타났다. 6개월이 넘도록 멀웨어를 감지하지 못한 경우도 있는 것으로 조사됐다. 구체적인 감지 속도 및 확률을 살펴보면, 한 시간 안에 감지된 멀웨어는 30%에 불과했고, 하루 종일 안티바이러스 툴을 틀어놔도 34%의 멀웨어는 놓쳤다고 한다. 담발라 사는 찾았는데 안티바이러스 툴이 한 달 이상 찾지 못한 멀웨어는 7%였다.

연구에 따르면 안티바이러스 툴은 재생 조사에 한계가 있다. 안티바이러스 툴은 한 파일당 한 번씩만 조사를 하고 있기 때문이다. 여러 번 반복적으로 조사할 수 있는 시스템이 구축되어 있지 않은 것이다.

특히 이미 알려진 멀웨어가 아닌 새로운 멀웨어에 대한 감지는 더욱 어려운 상황이다. 지난해 멀웨어 솔루션 업체인 라스트라인(Lastline)사도 안티바이러스 툴의 실효성에 대해 1년 간 연구했는데 새로운 멀웨어에 대한 감지율은 50% 정도였다. 뿐만 아니라 2달간 안티바이러스 툴이 감지하지 못하고 그냥 지나친 멀웨어는 3분의 1 수준인 것으로 파악됐다. 감지 속도의 경우 새로운 멀웨어 감지에 2주의 시간이 요구된다. 감지율 추이가 2주후부터 급상승세를 나타낸 데 따른 것이다.

안티바이러스 툴 본연의 문제가 아닌 상대적인 평가 탓?
안티바이러스 툴이 저평가되고 있는 것은 상대적인 요인 때문이라는 시각도 있다. 보안을 뚫으려는 자가 지키려는 자보다 수적으로 우세하면 기울어 보일 수밖에 없다는 것.

라스트라인 사가 1년이라는 장시간에 걸쳐 연구할 결과 안티바이러스 툴이 능력이 없다기보다 멀웨어에 대한 무분별한 경보가 문제라고 밝혔다. 실제로 포네몬 사의 조사에 따르면 한주에 1만7,000개의 멀웨어 경보가 발령된다고 한다. 이는 하루에 약 2,340개꼴인 것이다. 이중에서 80%는 허위경보 등으로 걸러지고 4% 정도만 위험성 있는 멀웨어로 구분된다. 이렇게 필터링하는데만 많은 시간이 소요되는 탓에 상대적으로 감지 속도가 느리게 느껴진다는 것이다. 분자는 같아도 분모가 크면 숫자가 낮게 나오는 논리다.

지난 2013년에는 멀웨어 경보 남발을 이용한 범죄도 발생했다고 한다. 무분별한 멀웨어 경보가 밀려오면 보안팀은 대체적으로 이를 허위로 취급해버리는 경우가 많다는 허점을 노린 것. 따라서 이 또한 무시해버릴 수 없는 노릇이다.

종합해보면 안티바이러스 툴이 멀웨어를 상대하기엔 멀웨어의 진화 속도가 너무 빠르다는 것인데 이를 개선하기 위해선 안티바이러스 툴에 대한 진화도 함께 이루어져야 할 것으로 보인다. 아직까지 부족한 안티바이러스 툴 연구가 보다 활발해질 필요가 있다는 것이다. 

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>