이 글은 '백신 무용론'을 주장하는 것이 아니다. 공격자는 백신의 특성 및 한계를 명확히 파악하고 있고 이를 통해 악성코드를 효과적으로 전달, 감염시킨다는 것을 말하고 있는 것이다.  
 
지난 수요일 오후에 발생한 주요 방송국, 은행 등 금융 업계를 대상으로 한 악성코드 공격이 어느정도 분석이 마무리되면서 결과 및 추후 대응이 주목되고 있다.
 
내부 네트워크에서 확산되었다는 점, 특히 내외 백신 업체에서 악성파일의 탐지 여부에 대한 논평이 이어지고 있다. 이번에 발견된 악성파일은 신종이기 때문에 기존 백신 제품에서 탐지가 어려웠다고 전하고 있다. 참고로, 신규 악성코드의 경우 백신 업체가 100% 탐지할 수 없기 때문에 이를 위해 백신 업체들은 새롭고 다양한 보안 기술을 개발 및 적용해 오고 있다.
 
그중에서 해외 백신업체인 소포스(Sophos)는 이미 2011년도에 자사 백신에서 탐지 및 예방할 수 있는 악성코드라는 주장을 제기하였다. 하지만, 이 주장은 악성코드가 감염되는 과정에 대한 이해가 부족한 상태에서 작성된 것으로 보이며 그러한 이유에 대해서 설명하고자 한다. 즉, 최종 악성코드 파일을 단순하게 진단하는 사례에 불과하다는 것이다.
 
-관련 기사: nakedsecurity.sophos.com/2013/03/20/south-korea-cyber-attack
 
백신은 PC에서 실시간 감시 기능을 제공하고, 최신 악성코드에 대응하기 위해 주기적으로 DB(시그니처)를 업데이트한다.
 
하지만, 국내 정상적인 웹사이트를 통해서 유포되는 신종 악성코드는 단순하게 악성 파일을 다운로드하여 실행하는 것이 아니며 다음과 같은 과정을 거친다.
 
1. (공격자가) 정상적인 웹사이트에 악성코드 파일 업로드
2. 사용자가 방문시
(2-1) JAVA, Adobe 제로데이와 같은 취약점을 이용하여 권한 상승(시스템 권한 장악)
(2-2) 백신의 프로세스 제거(KillAV)
(2-3) 실제 감염 및 동작을 위한 실제적 악성코드 파일 다운로드 및 실행
3. 사용자 감염
 
따라서 2-3 단계에서 다운로드되는 악성파일을 백신이 진단할 수 있다고 가정하더라도 2-2 단계에서 이미 백신의 기능이 일부 상실되었기 때문에 진단 자체가 어렵다.
 
다시말하면 2-1 단계에서 악성파일의 유입을 막지 못한다면 무용지물이 된다는 뜻이 될 수도 있다.
 
참고로, 소포스 백신이 국내에서 안랩이나 하우리 정도의 유명세 및 점유율을 가지고 있다면 공격자들은 소포스 백신의 프로세스를 분석하여 이 또한 Kill-AV 기능에 탑재할 것이라고 보여지며, 그렇다면 소포스 또한 다른 백신과 동일한 결과를 가져오게 된다.
 
또한, 악성코드 제작자들은 국내 공격을 하기에 앞서 백신 업체가 해당 악성파일의 진단 여부를 반드시 검증한다. 즉, 백신이 진단하기 어려운 신종만으로 공격을 노리는 것이라고 볼 수 있다.
 
따라서, 최종 파일의 진단 여부가 아니라 초기 악성코드를 유포하는 사이트에 대한 진단 및 차단, 초기 다운로드되는 악성코드에 대한 부분까지 모두 포함하여 결과를 논해야 한다.
 
[글. 빛스캔 문일준 대표 / info@bitscan.co.kr]