2020-11-26 05:25 (목)
[보안 바로알기①] 백신에 대한 오해와 진실…백신 하나면 OK?
상태바
[보안 바로알기①] 백신에 대한 오해와 진실…백신 하나면 OK?
  • 길민권
  • 승인 2013.06.04 19:20
이 기사를 공유합니다

백신, 알려진 악성코드 방어책…모든 보안 위협 막을 수는 없어
백신무용론, 백신 소용없다는 것이 아니라 백신만으로는 부족하다는 의미
안랩이 보안지식 공유 차원에서 ‘보안 바로알기 캠페인’의 일환으로 “백신에 대한 오해와 진실”에 대해 정보를 공유했다. 안랩이 제공한 내용은 아래와 같다.
 
세계적 언론사 뉴욕타임스 정보유출, 중동지역 국가기관을 상대로 다년간 정보유출을 시도한 ‘플레임’악성코드, 소니와 해커들간의 대결, 주요 IT기업의 기밀 탈취 공격인 ‘오퍼레이션 오로라’, 이란 원전 시스템을 노린 스턱스넷 악성코드, 그리고 최근 국내 방송사와 금융기관을 노린 3.20 사이버테러까지 현재 온라인은 APT 공격으로 대변되는 위협에 직면하고 있다.
 
◇백신의 기본 동작 원리=‘백신’은 외국에서는 안티바이러스(anti-virus)라는 이름으로 불리고 있다. 백신이라는 이름은 1988년 안철수 박사가 안티바이러스 소프트웨어를 만들며 붙인 ‘백신’이라는 이름이 일반 명사화 되어 시작된 것이다.
 
기본적으로 알아야 할 사실은 백신은 알려지지 않은 악성코드에 대한 선제적 예방 솔루션이 아닌 ‘알려진 악성코드’에 대한 대응적 방어책이라는 것이다.
 
일반적으로 백신은 각 업체에서 분석한 악성코드의 정보를 바탕으로 악성코드들의 ‘블랙리스트’를 만들고, 이를 백신에 반영한다. 이를 기반으로 백신이 설치된 PC를 스캔하고 ‘블랙리스트’에 해당하는 악성코드를 검출해내는 방식을 사용한다. 즉 백신의 대응은 1)새로운 악성코드 접수 및 수집 2)악성코드 분석 3)악성코드 리스트 업데이트 및 백신 엔진에 업데이트하는 단계를 거친다. 대부분의 경우, 악성코드 접수에서 엔진 반영까지 시간차가 발생할 수 밖에 없다. 따라서 백신 설치로만 모든 악성코드와 보안 위협을 모두 막을 수 있다는 생각은 금물이다.
 
일례로, 2013년 초 미국의 뉴욕타임스(NYT)가 해커의 공격을 당했을 때, 백신을 공급하고 있었던 글로벌 시장 점유율 1위 회사는 내부에 침투한 악성코드 45개 중 1개밖에 잡아내지 못했다. 이것은 해당 기업의 대응력이 부족해서가 아니라, 특정 기업이나 기관을 노린 해커가 해당 백신이 진단하지 못하는 특화된 악성코드를 제작했기 때문이다. 공격자는 타깃으로 삼은 기업의 백신제공회사가 잡지못하는 악성코드를 찾아내서 이것으로 공략하는 것이다. 국내만 보더라도 하루 평균 15~50만개 사이의 신·변종 악성코드가 만들어지고 있다. 이 때문에 백신회사는 매일 악성코드와의 전쟁을 치르고 있다.   
 
이처럼 해커는 이미 사전에 목표 기관에 대한 조사를 실행하고 목표기관이 사용하고 있는 백신이 자신의 악성코드를 진단하는지 못하는지 테스트하는 치밀함을 보여준다. 이것이 APT 방식 공격의 무서운 점이다. APT방식의 공격자는 목표기관의 보안 시스템에 대한 정보를 수집하고 이를 피하기 위해 지속적인 시도한다.
 
◇백신 무용론의 진실=이러다 보니, 일각에서는 APT공격에 대해 백신이 소용 없다는 ‘백신 무용론’마저 등장하고 있다. 하지만 이는 대단히 위험한 발상이다. 백신은 이미 알려진 보안 위협에 대한 기본적인 방어책이다. 백신이 없다면 인터넷에서 쉽게 구할 수 있는 매우 낮은 단계의 해킹 툴 등에도 개인의 PC나 조직의 방어막이 쉽게 뚫려버릴 수 있다. 쉬운 예를 들자면, 몇 번 도둑을 맞았다고 현관의 자물쇠를 없애버리는 것과 같은 행위다. 참고로 현재 악성코드의 숫자는 기하급수적으로 늘어 현재 하루에도 수십만 개씩의 새로운 악성코드가 보고되고 있다.
 
또한 3.20 사태와 같이 최근의 APT 공격은 기업 및 조직의 서버나 네트워크에 직접 침투하는 것이 아니라 개인 PC에 먼저 침투하고, 내부 중요 IT인프라에 침입하는 방식이 주를 이루고 있다. 이러한 경향에 기반해 많은 전문가들이 최초 감염단계가 APT 공격에서는 매우 중요한 포인트라고 지적하고 있다. 따라서 ‘백신무용론’은 백신이 소용없다는 것이 아니라, ‘백신만으로는 부족하다’라는 의미로 이해해야 한다.
 
백신은 만병통치약이 아니다. 보안에 있어서 100%란 있을 수 없다는 것이 전문가들의 공통된 지적이다. 따라서 지속적으로 자신의 PC를 지키는 것이 사회 보안을 지키는 것이라는 생각으로, 의심스러운 메일 및 URL 클릭 자제, 소프트웨어 보안 패치 설치, 백신 업데이트 등 기본적인 보안 수칙을 실행하는 것이 중요하다.
 
최근들어 수년간 잦은 전산망 마비와 정보유출 사고들은 최신 솔루션과 장비의 구축만으로 종결되는 것이 아니다. 안랩은 제대로 된 보안 시스템 구축과 더불어 개인과 기업의 보안관련자 그리고 경영진의 보안에 대한 명확한 이해에 기반한 보안문화가 뒷받침 되어야 실제적인 방어가 가능하다고 생각한다.
 
데일리시큐 길민권 기자 mkgil@dailysecu.com