2019-12-08 17:41 (일)
시그니처 기반 안티바이러스...이제 구식이다
상태바
시그니처 기반 안티바이러스...이제 구식이다
  • 길민권
  • 승인 2011.07.06 14:55
이 기사를 공유합니다

하루 65만개 새로운 바이러스 생성...시그니처 기반 백신으로는 방어한계
아쉬쉬 모힌드루 시만텍 제품마케팅 담당수석이사는 “2007년 1월달에 탐지된 바이러스가수는 25만개다. 2년뒤 2009년 12월에는 2억4,000만개의 바이러스가 탐지됐다. 오늘도 하루에 65만개의 새로운 바이러스가 인터넷에서 만들어지고 유포되고 있다”고 경고했다.
 
그는 “전통적인 시그니처 기반의 보안 솔루션으로는 어떤 밴더도 엄청나게 증가하는 바이러스에 대응할 수 없다. 너무도 많은 안티바이러스 시그니처를 만들어 일일히 대응수 없기 때문에 새로운 어프로치가 필요하다”고 강조했다.
 
시만텍(www.symantec.co.kr)은 엄청난 수의 바이러스 공격과 표적공격에 대비해 새로운 해결책을 제시했다. 바로 평판기반 보안 기술인 ‘인사이트(Insight)’ 기술이다.
 
◇클라우드 기반의 평판 보안기술 ‘인사이트(Insight)’
공격자들이 끊임없이 새로운 변종을 만들어내고 소수를 겨냥하는 마이크로 공격이 늘어나면서 보급도는 낮지만 위험은 여전히 존재하고, 대중적으로 적용할 수 있는 블랙리스팅이나 화이트리스팅의 범위를 피하는 파일들이 늘어나고 있다.
 
보통 많이 보급된 나쁜 파일들은 파일의 시그니처를 알려주는 ‘블랙리스팅(blacklisting)’ 방법이 효과적이고, MS 오피스 프로그램이나 어도비 아크로뱃과 같이 출처가 확실하고 신뢰할 수 있는 파일들은 좋은 파일이라고 알려주는 ‘화이트리스팅(whitelisting)’ 방법이 사용된다.

 
문제는 이 두 그룹에 속하지 않으면서 안전성을 알기 어려운 파일들이다. 즉, 과거에는 대중적으로 집중되는 현상만 보호해도 충분히 효과가 있었지만, 이제는 발생 빈도가 적은 파일들이라도 그 위험을 무시할 수 없는 롱테일(long tail) 현상이 생기게 된 것이다.
 
이 같은 보안 위협의 롱테일 효과에 대응하기 위해 시만텍이 개발한 ‘인사이트(Insight)’ 기술은 전세계 1억7천5백만 개의 시만텍 고객 엔드포인트로부터 정보를 수집해 소프트웨어 사용 패턴을 파악하고, 파일에 안전 등급을 부여하는 평판 보안 기술이다. 특히 나쁜 파일만을 추적 분석하거나 특징만을 모아둔 것이 아니라 모든 실행 파일에 실시간으로 안전 등급을 부여한다는 점이 차별화된 점이다.
 
◇안티바이러스는 기술도 중요하지만 스캐일이 중요
정경원 시만텍 코리아 대표는 “시만텍이 2007년 평판 데이터 수집 시스템을 가동한 이래 전세계 1억7천5백만 개의 시스템이 ‘인사이트’ 평판 데이터베이스 구축 작업에 데이터를 제공하고 있으며, 현재 시만텍 ‘인사이트’는 25억 개 이상의 실행 파일에 대한 상당히 정확한 보안등급(rating) 데이터베이스를 보유하고 있다”고 말했다.
 
더불어 정 대표는 “보안제품에 있어 간과해서는 안될 것이 적합성이다. 평판기능 작동하려면 전세계적인 글로벌 정보가 모여야 가능하다. 1억 7천 500만 단말에서 올라오는 데이터를 분석해서 평가하는 시만텍과 같은 기술을 가지고 있다고 하더라도 게더링 능력이 없는 밴더라면 평판기술은 소용없다. 이것은 테크놀로지의 문제가 아니라 스캐일의 문제다”라고 강조했다.  
 
◇ 클라우드 기반 3세대 통합보안 솔루션 ‘시만텍 엔드포인트 프로텍션 12’
실제 공격용 툴킷 및 악성 웹사이트의 현황과 공격 기법을 분석한 시만텍의 최근 보고서에 따르면 시만텍이 탐지한 웹기반 위협 활동의 61%가 공격용 툴킷에 의한 것으로 분석되었다. 2010년 한 해 동안 공격자들이 ‘제우스(Zeus)’와 같은 공격용 툴킷을 통해 만들어낸 악성 프로그램은 약 2억 8천 6백만 개로, 이는 매일 1초당 9개 이상의 새로운 보안 위협이 출현했음을 의미한다.
 
아쉬쉬 모힌드루 이사는 “기존의 보안 탐지 기술을 보완하기 위해 시만텍이 선보인 ‘시만텍 엔드포인트 프로텍션 12’는 기존과 다른 획기적인 접근법을 통해 표적 공격을 포함한 각종 최신 보안 위협으로부터 고객들의 인프라와 정보를 안전하게 보호한다”고 소개했다.
 
또 그는 “사용자 커뮤니티 및 클라우드 기반의 평판기술인 ‘인사이트(Insight)’와 더불어 행위 기반 기술과 평판 보안 탐지기술을 결합한 3세대 보안 엔진 ‘SONAR 3’를 탑재했다”며 “최근 AV-Test.org에서 실시한 신종 위협 차단 및 기존 감염 파일 삭제 테스트에서 시만텍 엔드포인트 프로텍션 12(베타)는 두 항목 모두에서 테스트에 참가한 보안 제품들 가운데 가장 높은 점수를 획득했다”고 밝혔다.  
 
이외 클라우드 기반의 인텔리전스를 참고해 바이러스 스캔 작업을 70%까지 줄여주고 빠른 성능을 지원하며 가상 시스템 환경에서도 모든 종류의 보안 공격에 포괄적인 대응 능력을 제공하고, 최적화된 성능을 지원한다고 소개했다.
 
아쉬쉬 모힌드루(Ashish Mohindroo) 수석이사는 “사이버 공격의 규모와 범위가 확대되고 공격의 정교함도 날로 발전을 거듭하고 있는 가운데, 소기업이나 대기업 모두 사이버 공격의 대상이 될 수 있다”며, “시만텍 엔드포인트 프로텍션 12는 평판기반의 혁신적인 ‘인사이트’ 기술을 통해 모든 고객들에게 가장 강력한 보호와 뛰어난 성능을 제공할 것”이라고 강조했다.
 
◇글로벌 백신제품 평가에 적극 참여하지 않는 한국 백신
또 한국 안티바이러스 제품과의 비교를 요청한 기자의 질문에 아쉬쉬 이사는 “아쉽게도 한국 제품은 데이터가 없다. 한국 백신은 BMT에 참여를 잘 하지 않기 때문에 비교 데이터가 없는 것”이라며 “하지만 이번에 출시된 시만텍 제품과 한국 제품을 비교했다 하더라도 시만텍 제품이 훨씬 우수한 결과가 나왔을 것이다. 평판기반 기술을 적용한 유일한 제품이고 보안성 제공과 속도, 메모리에 미치는 영향 등에서 우수하다. 한국 밴더사들도 글로벌 평가에 적극 참여해주길 바란다”고 지적했다.
[데일리시큐=길민권 기자]