• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

기존 백신 솔루션, 아무리 설치해도 40%는 뚫린다 2017.10.27

시그니처 기반의 백신 솔루션은 점점 더 효용성 떨어져
행동 기반 탐지 등 백신의 기본 원리부터 재검토 시작해야

[보안뉴스 문가용 기자] 기존 백신 솔루션을 설치한 사용자들 중 40%가 올해 전반기 동안 멀웨어 공격을 받았다고 보안 업체 멀웨어바이츠(Malwarebytes)가 조사해 발표했다. 보고서의 이름은 “백신의 탐지 실패 사례 보고서(Mapping AV Detection Failures)”로, 백신이 한 개 이상 설치된 엔드포인트로 약 1천만 개로부터 데이터를 받아 분석한 결과물이다.

[이미지 = iclickart]


“저희가 집중해서 본 건 시그니처에 기반을 둔 엔드포인트입니다. 이런 전통적인 백신 솔루션이 얼마나 효과를 발휘하고 있는가 알아보는 것이 이번 조사의 목표였고, 그 결과는 가장 기본적인 위협도 잡아내지 못한다는 겁니다.” 멀웨어바이츠의 CEO인 마신 클레크진스키(Marcin Kleczynski)의 설명이다. “지금 기업들이 보유하고 있는 백신들이 그다지 효과적이지 않다는 뜻입니다만, 기업들은 쓰던 백신을 계속 사용할 것으로 보입니다.”

클레크진스키는 “흔히 백신 소프트웨어 한두 개 가지고 사람을 고용하거나 해고하지는 않는다는 믿음이 업계 내 팽배하고, 유명한 백신 아무거나 골라 쓰면 된다고 생각한다”고 말한다. “관심이 있는 사람이 가끔 전문가들의 백신별 리뷰 자료를 검토해보곤 합니다만, 실험 환경과 실제 환경에서의 백신이 가지고 있는 효용성은 크게 다릅니다.”

어떤 점에서 실험 환경과 실제 환경이 그렇게 크게 다를까? “백신을 우습게 지나치는 멀웨어가 엄청 많습니다. 랜섬웨어, 봇넷, 트로이목마 등 최근의 공격들은 기존 백신 솔루션을 지나칠 수 있습니다.” 백신 실험에 이런 멀웨어들이 적용되지 않는 게 보통이라는 것이다. “히든 티어(Hidden Tear)라는 랜섬웨어는 시그니처 기반의 백신 솔루션이 설치된 엔드포인트의 42%를 감염시켰고, 케르베르는 18%의 침투 성공률을 보입니다. 케르베르는 차세대 백신이라는 제품들도 농락하는 걸로 알려져 있고요.”

봇넷의 사정은 어떨까? “IRCBot은 62%의 확률로 백신의 탐지 기술을 회피합니다. 켈리호스(Kelihos)는 27% 정도의 비율을 보이고 있습니다. 봇넷은 대부분이 탐지가 될 만한 시그니처를 포함하고 있지 않습니다. 켈리호스는 게다가 만연하게 사용되고 있기도 해서, 올해 사이버 환경을 위협하는 가장 큰 요소 중 하나로 꼽힐 정도입니다. 시그니처 기반 기술로는 잡아내기가 여간 힘든 게 아닙니다.”

켈리호스와 IRCBot은 각각 2012년과 2015년에도 탐지된 적이 있는 것으로, 꽤나 오래전부터 이에 대한 대처가 이뤄지지 않고 있다는 것을 뜻하기도 한다.

하지만 최근 백신의 존재 의의를 가장 정면으로 반박하는 위협은 파일레스 공격이다. “이번 조사에서 발견된 바 엔드포인트들의 17.8%가 파일레스 공격에 당했습니다. 아직 파일레스 공격이 공격자들 사이에서 널리 활용되고 있지는 않은 것을 감안하면 이는 높은 수치입니다. 그밖에 DNSChanger를 활용한 공격 역시 17.5%의 침해율을 보였습니다.”

하지만 파일레스 공격의 인기가 점점 올라가고 있다는 건 반드시 주의 깊게 지켜봐야 할 흐름이라고 클레크진스키는 경고한다. “조금 오래된 방식의 백신은 기기 내 저장된 모든 파일을 스캔하고, 그 결과를 시그니처 데이터베이스와 비교한 후 이상하다 싶으면 해당 파일을 삭제하는 방식으로 작동했습니다. 그런데 그 ‘파일’이 없는 공격이 개발된 겁니다. 이론상으로도 백신은 파일레스 공격을 막을 수 없습니다.”

상위 백신 업체 네 군데서 만든 솔루션들의 경우, 39.1%의 비율로 멀웨어 공격을 막아내는 데 실패했다고 멀웨어바이츠는 밝히고 있다. 물론 이 업체들의 이름은 언급하지 않았다. “이제 백신이 정말로 변해야 할 때가 됐습니다. 아예 기존 개념으로는 요즘의 공격을 막을 수가 없어요. 시그니처 기반 대신 사용할 수 있는 건 대표적으로 행동 기반 탐지 기술이 있겠습니다. 시간이 걸리더라도 변해야만 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>