여러 공격 요소들 더 단단해지고 복잡해져...기존 백신으론 방어 안 돼
현재 백신의 가장 큰 문제점 중 하나는 ‘무거움’...다이어트 필요

[보안뉴스 문가용 기자] 엔드포인트 보안의 진화가 빠르게 진행 중이다. 그중에서도 백신이 가장 치열하게 변화를 겪고 있다. 여기서 중요한 건 백신이 ‘죽지 않았다’는 것이다. 다만 위협의 성격이 변해가면서 백신도 그 특성이 근본부터 바뀌고 있는 중이다.


보안 업체인 NSS랩스(NSS Labs)의 부회장 마이크 스팬바우어(Mike Spanbauer)는 “이제 더 이상 백신이란 건 하나의 뚜렷한 제품군으로서의 위치를 갖고 있지 않은 듯 하다”고 말한다. “하나의 기능, 혹은 백신이 유행하던 그 시대 자체를 표현하는 말로서 더 많이 사용되고 있는 듯 합니다. 백신으로 유명해진 맥아피(McAfee), 시만텍(Symantec), 카스퍼스키(Kaspersky)를 보세요. 지금 이 회사들을 백신 회사인가요?”

스팬바우어는 “공격이 너무나 복잡해졌기 때문에 예전처럼 백신이 그 자체로 하나의 독립된 보안 솔루션이 될 수 없고, 백신 업체 간 경쟁이 심화되었기 때문에 백신 상품만으로는 살아남을 수가 없어서” 백신 시장이 이렇게 변했다고 설명한다.

또 다른 보안 업체인 리즌 소프트웨어(Reason Software)의 앤드류 뉴만(Andrew Newman) CEO는 “서비스형 멀웨어(malware as a service)가 너무 보편화 되었다”며 “이제 멀웨어 공격이란 게 마음만 먹으면 누구나 할 수 있는 것이 되어버려 기존의 백신 제품만으로는 그 압도적인 수량을 감당할 수 없게 되었다”고 보고 있다.

게다가 클라우드 기술이 적용되기 시작하면서 2년 전에 말하던 백신과 지금 말하는 백신은 확실히 달라졌따. 스팬바우어는 “클라우드 기술이 기존 백신 엔진과 접목되면서 이전엔 생각도 할 수 없었던 기능을 추가하면서도, 백신 솔루션 자체를 가볍게 유지할 수 있게 되었다”며 “한 마디로 작으면서도 강력한 솔루션이 출현한 것”이라고 정리한다.

즉, 공격자와 방어자 모두의 ‘기술력 발전’이 백신의 모양을 과거와 많이 다르게 다듬고 있다는 것인데, 그러므로 백신을 연구하려면 반드시 ‘현재의 공격자’들에 대해서도 파악해야 한다. 최근 포레스터 리서치(Forrester Research)에서 발간한 ‘엔드포인트 보안 소프트웨어 전망(Endpoint Security Software Forecast)’에 의하면 “최근의 공격자들은 탄탄한 자금력을 바탕으로 조직적으로 움직이며, 단독범은 거의 전멸했다”고 한다.

그럼에도 방어하는 자들의 걱정거리는 여전히 일반적인 해커들과 국가의 지원을 받는 해커들에 대한 걱정으로 나뉘어져 있다. 기술적으로나 재정적으로 조금은 뒤쳐져 있는 일반 사이버 범죄자의 공격을 걱정하는 이는 46%, 해외 정부 조직의 활동을 걱정하는 기업은 43%인 것으로 나타났다.

이렇게 조직적으로 탄탄해진 공격자들이 가장 많이 노리는 건 기업 내 저장되어 있는 데이터다. 포레스터의 조사 결과 민감한 데이터를 노리는 공격을 받은 경험이 1년 새 있었다고 답한 기업은 절반, 회사 서버 층위에서 데이터 유출 사고를 실제로 겪었다고 답한 보안 책임자는 46%나 되었다. 기업이 소유한 엔드포인트 기기들을 통한 데이터 유출 사고를 겪은 기업은 40%였다.

뒤가 든든한 공격자들의 다양한 공격 루트를 다 막아내려면, 백신만으로는 어림도 없다. 일단 새로운 파일이 시스템 내로 들어올 때마다 방대한 위협 신호들과 하나하나 대조해봐야 하기 때문에 시스템 리소스를 크게 잡아먹고, 기능 저하를 불러일으킨다. 그나마도 최근 유행하는 파일 없는 공격에 대해서는 아무런 조치를 취할 수가 없기도 하다.

“게다가 기존의 백신 솔루션은 일단 소모하는 시스템 자원이 너무 많습니다.” 보안 업체 사일런스(Cylance)의 부회장인 존 맥클러그(John McClurg)가 말을 시작한다. “제대로 된 백신 하나만 엔드포인트에서 돌려도, 그게 얼마나 무거운지 가벼운 휴대기기가 원양어선의 돛이라도 된 것처럼 느껴지죠. 이렇게 크다는 것 하나만으로도 사물인터넷 시대에 어울리는 후보라고 보기 어렵습니다.”

뉴만은 “그렇다고 백신이 죽었다 혹은 죽어야 한다고 말하기도 어렵다”는 입장이다. “백신이 없다면 아무런 보호 장치가 없는 것과 같은 엔드포인트들이 많아질 겁니다. 즉 아직 ‘사이버 보안의 마지노선’이란 의미에서 백신의 존재감은 유효하죠.”

확실히 백신을 ‘엔드포인트 솔루션’이란 차원으로 이야기를 확장시켜보면 ‘죽었다’는 소리가 쏙 들어간다. 포레스터에 의하면 엔드포인트 솔루션 시장은 앞으로 5년 동안 연간 4.5% 성장할 것이라고 전망되기 때문이다. 애플리케이션 무결성 보호 솔루션이나 엔드포인트 가시성 및 통제 솔루션 등은 성장세가 두 자리가 될 전망이기도 하다.

“엔드포인트 보안 시장은 앞으로 이런 차세대 솔루션들이 이끌어갈 것입니다. 적어도 5년은 말이죠. 물론 기존의 안티멀웨어나 백신 솔루션보다는 비싼 것이 사실입니다만, 그 차액보다 훨씬 더 가치를 가지고 있거든요. 가볍고 강력한 것이 기존 백신과 확실히 다른 것입니다.”

기존 백신이 무거운 이유는 ‘시그니처’ 때문이다. 기존에 알려진 위협들이 가진 특성인 시그니처를 계속해서 쌓아두면, 탐지에 있어서는 효과적이지만 시스템 속도는 느려질 수밖에 없다. 또한 시그니처가 없는 새로운 공격에 대해서도 별다른 효력을 발휘하지 못한다는 단점이 존재한다. 이 두 가지를 상쇄시켜줄 것이 클라우드와 인공지능이다. 스팬바우어는 “제가 만난 기업들 거의 전부가 클라우드와 인공지능을 탑재해 가볍고 강력한 백신은 언제 나오냐고 물어본다”고 말한다.

“물론 지금도 그런 솔루션들이 존재하죠. 하지만 완벽한 상태는 아닙니다. 아직 향상될 여지가 있어요. 하지만 이런 솔루션들은 정확도와 속도에 있어서 인간을 저만치 따돌릴 것으로 보입니다. 지금껏 해내지 못한 실시간 탐지 및 실시간 대응이라는 것도 인공지능과 클라우드 덕분에 가능해지리라고 보고요.”

기존 백신 강자 시만텍의 COO인 마이클 페이(Michael Fey)는 “미래 시스템들은 한 가지 특정 공격에 대한 방어에 집중하지 않을 것”이라고 내다본다. 즉 기존의 백신처럼 A 바이러스, B 바이러스, C 바이러스 등에 대한 방어법을 스택 쌓듯이 늘려나가는 방식으로 구성되지 않을 것이라는 뜻이다. “조직 전체적으로 필요한 보안 사항을 통체적으로 반영한 솔루션이 등장할 것이라고 봅니다.”

엔드포인트 보안을 잘 하고 있는 기업은 이를 이미 시행하고 있다고 페이는 말한다. “잘하는 업체들은 조직 전체를 여러 겹의 방어막으로 둘러싸는 개념으로 보안 체계를 구축합니다. 백신이든 차세대 엔드포인트 보안 솔루션이든, 전부 한 가지 보호막일 뿐인 것이죠. 그 자체로 ‘보안의 결정체’가 아닌 겁니다. 한편 보안을 잘 못하는 기업에게 있어 백신은 ‘체크박스’입니다. 성능이 어떻든 기능이 어떻든 설치되어 있다는 것만으로 할 거 다했다고 믿어버립니다.” 백신의 성능 부족이라는 건 사용자의 잘못된 사용 습관 때문일 수도 있다는 말이다.

앞으로 나오는 백신은 이 점마저도 해결할 수 있어야 할지도 모른다고 페이는 말한다. “정말로 시장의 기대 그대로 백신 하나 설치하면 여러 겹의 보안 문제가 해결되는 수준으로 대비가 되어 있어야 할 것 같아요. 실제로 백신이 클라우드와 인공지능 덕분에 가벼워진다면, 이게 불가능한 일만은 아닐 겁니다. 아직 혁신이 더 남았다는 것이죠.”

뉴만은 그래서 “백신만 따로 팔리지는 않을 것”이라고 예상한다. “백신 혼자 여러 층위의 보안을 담당할 거라고 볼 수도 있지만, 반대로 여러 층위의 보안 속에 기능별로 녹아든 백신의 모습을 상상해볼 수도 있겠죠. 같은 맥락에서의 예상입니다. 결국 백신은 살아남을 것이지만 그 모습과 역할은 지금과 많이 달라질 겁니다.”

시만텍의 페이 역시 “보호, 탐지, 대응의 세 가지 기능을 다 합한 것이 백신의 기본이 될 것”이라고 예상한다. “한 가지 기억해야 할 건 사용자들은 필요 이상으로 보안 장치를 구매하거나 설치하지 않는다는 겁니다. 딱 필요한 만큼만 겨우 하려고 해요. 백신이 여러 기능 속에 녹아들거나, 여러 기능을 한꺼번에 가져간다고 했을 때 고객들에게 커스터마이징 기능도 제공해야 하지 않을까 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>