2015.04.14

무용지물인 안티바이러스, 계속 사용하는 이유는

Bob Violino | Network World
기업들은 오랜 기간 악성코드가 문제를 일으키기 전에 이를 감지하고, 방어하고, 없애는데 도움을 받기 위해 안티바이러스(AV) 소프트웨어를 이용해왔다.

그러나 안티바이러스만으로는 갈수록 정교해지고 있는 키 로거(Key Loggers), 백도어(Backdoor), 루트킷(Rootkits), 트로이 목마(Trojan horses), 웜, 스파이웨어의 공격을 효과적으로 방어할 수 없다.

가트너 애널리스트 닐 맥도날드는 "전통적인 시그니처 기반 안티 악성코드 솔루션의 효과가 감소하고 있다. 지능형 표적 공격(Advanced Targeted Attack, ATA)을 전혀 방어하지 못한다. 또 최종 사용자를 직접 표적으로 삼아 관리자 권한으로 사용자의 PC를 실행시킨 후, 트로이 목마와 같은 바이러스를 집어넣을 경우, 기존 안티 악성코드 솔루션은 거의 무용지물이다"고 말했다.

그런데 기업들이 안티바이러스를 계속 사용하는 이유는 뭘까?

기업이 엔드포인트에 계속 안티바이러스를 배치하는 몇 가지 이유가 있다. 첫째, 법과 규정, 정책에서 규정한 의무를 준수하기 위해 안티바이러스를 배치한다.

451 리서치 엔터프라이즈 보안 부문 수석 애널리스트 애드리언 사나브리아는 "사실상 모든 회사의 보안 '체크리스트(점검표)'에는 이른바 안티바이러스가 들어있다"고 말했다.

사나브리아는 "규제를 받는 기업은 법과 규정, 정책에서 요구하기 때문에 안티바이러스를 운용할 수밖에 없다. 규제를 받지 않는 기업이라도 안티바이러스가 없을 경우 무책임한 기업으로 취급을 받으면서 소송을 당하거나, 보험금을 받지 못할 가능성이 있다"고 설명했다.

둘째, 안티바이러스가 잡지 못하는 공격이 있기는 하지만, 그래도 일정 수준의 보호책을 제공한다.

IDC 애널리스트 찰스 콜로지는 "악성코드가 너무 많기 때문에 아직까지는 안티바이러스가 필요하다. 마이크로소프트의 조사에 따르면, 안티바이러스가 설치되지 않은 컴퓨터의 감염률이 안티바이러스가 설치된 컴퓨터의 감염률보다 훨씬 높다"고 말했다.

콜로지는 "안티바이러스 소프트웨어가 설치되지 않은 PC 사용자가 인터넷 서핑을 할 경우, 단 1주면 안티바이러스로 쉽게 방어할 수 있는 기초적인 악성코드에 감염될 확률이 높다"고 덧붙였다.

콜로지는 일반적인 시그니처 기반의 안티바이러스를 포괄적인 엔드포인트 보안 솔루션의 일부로 배치해 활용해야 한다고 강조했다.

또한 기기의 용도, 네트워크 연결 방식 때문에 엔드포인트의 위험이 낮거나, 해당 기기를 지원하는 추가적인 보안 솔루션이 배치되어 있을 경우 안티바이러스가 적절한 방어 수단이 될 수 있다.

가트너의 맥도날드도 안티바이러스가 아직까지는 자신의 역할을 갖고 있다는 점에 동의했다. 맥도날드는 "공격을 파악해 방어할 수 있는 시그니처가 있다면, 그 시그니처를 적극 활용해야 한다. 그러나 시그니처만으로는 완벽하게 공격을 방어할 수 없다. 이는 '명약관화'한 사실이다. 전통적인 시그니처 기반의 방어 메카니즘을 빠져나가는 공격이 있다고 가정해야 한다. 따라서 추가적인 보안 기능과 역량이 필요하다. 엔드포인트에서 공격 신호를 알려주는 이상 행동을 모니터링 하는 기능을 중시할 수 있다"고 말했다.

기존 안티바이러스 벤더들의 대응 전략
기존 안티바이러스 벤더들은 어떻게 대응하고 있을까? '기존 안티바이러스 공급업체가 더 종합적인 제품을 만들기 위해 새로운 기능을 추가 구축할지'가 중요한 담론이 될 것이다.

콜로지는 "이제 더 이상은 단순한 안티바이러스가 없다. 물론 순수한 안티바이러스 제품이 일부 남아있기는 하다. 하지만 많은 사람들이 찾는 제품이 아니다. 데스크톱 안티바이러스, 호스트 침입 감지, 데스크톱 방화벽, 애플리케이션 관리 및 취약점 모니터링 기술을 갖춘 종합적인 안티바이러스 소프트웨어 제품이 증가하고 있는 추세다"라고 말했다.

신생 보안 업체들이 안티바이러스 시장의 변화에 큰 영향을 미치고 있지만, 시만텍과 맥아피(McAfee), 카스퍼스키(Kaspersky), 비트디펜더(Bitdefender), 소포스(Sophos), 트렌드 마이크로(Trend Micro), 안랩(Ahnlab) 등 기존 벤더들도 방관만 하고 있는 것은 아니다.

콜로지는 "기존 안티바이러스 개발사들은 첨단 엔드포인트 보안 기술을 보유한 제품에 통합시키는 노력을 경주하고 있다. 기존 벤더들은 이미 개발한 코드를 바꿔 관리 가능하게 만들어, 다시 기존 관리 콘솔에 통합시켜야 한다는 도전에 직면했다"고 말했다.

사나브리아는 "기존 업체들이 변화하는 시장에 맞춰 발전을 하기 위해 모든 노력을 경주한다. 그러나 개인적으로 전통적인 안티바이러스에서 조금 더 벗어나려 노력해야 한다고 생각한다. 일부 경우에는 신생 벤더만 악성코드 감지 및 방어에 새로운 방식과 기법을 사용하는 것이 아니다. 이들의 마케팅 부문과 브랜드 자체도 전통적인 안티바이러스 제품이라는 이미지에서 거리를 두려 한다"고 말했다.

대안은 뭘까?
사나브리아는 안티바이러스 시장을 '전통적인 제품', '엔드포인트 보호', '사고 대응'의 3가지 시장 부문으로 나눈다. 사나브리아는 "전통적인 제품으로는 방어가 불가능하다. 공격자들이 전통적인 안티바이러스에 접속할 수 있기 때문이다. 자신이 개발한 악성코드를 감지하지 못하도록 만들 수 있다"고 지적했다.

엔드포인트 보호 제품은 악성코드를 더 효과적으로 저지하는 장점을 갖고 있지만 제거에는 취약하다. 아직까지는 전통적인 안티바이러스를 대체할 수 없는 제품이 많다. 유사하게 사고 대응에 초점이 맞춰진 제품들은 치료가 효과적이지 못하기 때문에 다른 안티바이러스 제품을 보완하는 제품으로 간주된다.

사나브리아는 "안티 악성코드 시장이 어떤 식으로 변화하면서 발전할지 확실히 알 수 없다. 그러나 개인적으로는 안티바이러스가 내부 개발이나 인수합병을 통해 더 효과적인 통합 제품으로 발전할 것으로 판단된다. 우리에게 친숙한 안티바이러스는 사라질 것이 분명하다. 그러나 새로운 시대에도 일부 벤더는 구식 기법과 시그니처를 새로운 기술로 보완해 활용할 전망이다"고 내다봤다.

전문가들은 웹루트(Webroot), 비트9/카본 블랙(Bit9/Carbon Black), 브로미움(Bromium), 트라이엄펀트(Triumfant), 인빈시아(Invincea), 카운터택(Countertack), 사일런스(Cylance), 크라우드스트라이크(Crowdstrike) 같은 업체가 많은 혁신을 견인하고 있다고 말한다.

가트너의 맥도날드는 "현재 가장 큰 성공을 일궈낸 벤더 가운데 하나는 비트9과 카본 블랙이 합병한 업체다. 비트9은 보다 전통적인 애플리케이션 관리 솔루션을, 카본 블랙은 EDR(엔드포인트 감지 및 대응)을 제공하고 있기 때문이다. 두 회사가 합병하면서 저지와 감지 기능 모두를 갖춰 제공하고 있는 것이다"고 말했다.

샌드박싱(Sandboxing), 메모리 모니터링, 가상 컨테이너, 머신 학습 분야의 기술도 발전했다. 콜로지는 "다양한 기술이 함께 발전하면서, 해커나 공격자가 감지를 피하는 악성코드를 개발하기가 힘들어지고 있다"고 말했다.

신생 벤더 가운데 일부는 기업은 물론 소비자 시장에도 새로운 안티 악성코드 기술을 공급하고 있다. 이는 BYOD 프로그램 증가로 초래된 보안 문제를 극복하는데 도움을 줄 전망이다.

어떤 전략을 수립해야 할까?
안티바이러스 벤더와 시장의 발전과는 상관 없이 IT와 보안, 위험 관리 책임자는 현대의 지능적인 보안 위협으로부터 기업을 보호하기 위해 한층 미래지향적이면서 계층화된 보안 기법을 적용할 필요가 있다.

포레스터 리서치 애널리스트 크리스 셔먼은 "이를 위해서는 많은 인적자원 엔드포인트와 서버로 공격 표면이 확대되는 문제를 극복하는 기술을 활용해야 한다"고 강조했다.

2014년 안티바이러스 시장 조사 보고서에서 셔먼은 공격 지점을 최소화하고, 서버 및 엔드포인트의 다양한 수요를 충족하기 위해 계층화된 다중 엔드포인트 툴을 활용하는 것을 고려해야 한다고 권고했다.

이 보고서에 따르면, 서드파티 안티바이러스 툴을 운영 시스템의 안티바이러스를 애플리케이션 화이트리스팅, 애플리케이션 권한 관리, 애플리케이션 무결성 보호, 엔드포인트 실행 격리, 엔드포인트 가시성 및 관리 기능으로 강화하는 시스템으로 교체하는 방안을 모색하고 있는 기업이 증가하고 있는 추세이다.

기업들은 안티바이러스를 없앨 필요 없이, 전반적인 정보 보안 전략에서 안티바이러스가 차지하는 역할을 재평가하는 방법으로 현재와 미래의 위협에 최상으로 대처할 수 있다. editor@itworld.co.kr



2015.04.14

무용지물인 안티바이러스, 계속 사용하는 이유는

Bob Violino | Network World
기업들은 오랜 기간 악성코드가 문제를 일으키기 전에 이를 감지하고, 방어하고, 없애는데 도움을 받기 위해 안티바이러스(AV) 소프트웨어를 이용해왔다.

그러나 안티바이러스만으로는 갈수록 정교해지고 있는 키 로거(Key Loggers), 백도어(Backdoor), 루트킷(Rootkits), 트로이 목마(Trojan horses), 웜, 스파이웨어의 공격을 효과적으로 방어할 수 없다.

가트너 애널리스트 닐 맥도날드는 "전통적인 시그니처 기반 안티 악성코드 솔루션의 효과가 감소하고 있다. 지능형 표적 공격(Advanced Targeted Attack, ATA)을 전혀 방어하지 못한다. 또 최종 사용자를 직접 표적으로 삼아 관리자 권한으로 사용자의 PC를 실행시킨 후, 트로이 목마와 같은 바이러스를 집어넣을 경우, 기존 안티 악성코드 솔루션은 거의 무용지물이다"고 말했다.

그런데 기업들이 안티바이러스를 계속 사용하는 이유는 뭘까?

기업이 엔드포인트에 계속 안티바이러스를 배치하는 몇 가지 이유가 있다. 첫째, 법과 규정, 정책에서 규정한 의무를 준수하기 위해 안티바이러스를 배치한다.

451 리서치 엔터프라이즈 보안 부문 수석 애널리스트 애드리언 사나브리아는 "사실상 모든 회사의 보안 '체크리스트(점검표)'에는 이른바 안티바이러스가 들어있다"고 말했다.

사나브리아는 "규제를 받는 기업은 법과 규정, 정책에서 요구하기 때문에 안티바이러스를 운용할 수밖에 없다. 규제를 받지 않는 기업이라도 안티바이러스가 없을 경우 무책임한 기업으로 취급을 받으면서 소송을 당하거나, 보험금을 받지 못할 가능성이 있다"고 설명했다.

둘째, 안티바이러스가 잡지 못하는 공격이 있기는 하지만, 그래도 일정 수준의 보호책을 제공한다.

IDC 애널리스트 찰스 콜로지는 "악성코드가 너무 많기 때문에 아직까지는 안티바이러스가 필요하다. 마이크로소프트의 조사에 따르면, 안티바이러스가 설치되지 않은 컴퓨터의 감염률이 안티바이러스가 설치된 컴퓨터의 감염률보다 훨씬 높다"고 말했다.

콜로지는 "안티바이러스 소프트웨어가 설치되지 않은 PC 사용자가 인터넷 서핑을 할 경우, 단 1주면 안티바이러스로 쉽게 방어할 수 있는 기초적인 악성코드에 감염될 확률이 높다"고 덧붙였다.

콜로지는 일반적인 시그니처 기반의 안티바이러스를 포괄적인 엔드포인트 보안 솔루션의 일부로 배치해 활용해야 한다고 강조했다.

또한 기기의 용도, 네트워크 연결 방식 때문에 엔드포인트의 위험이 낮거나, 해당 기기를 지원하는 추가적인 보안 솔루션이 배치되어 있을 경우 안티바이러스가 적절한 방어 수단이 될 수 있다.

가트너의 맥도날드도 안티바이러스가 아직까지는 자신의 역할을 갖고 있다는 점에 동의했다. 맥도날드는 "공격을 파악해 방어할 수 있는 시그니처가 있다면, 그 시그니처를 적극 활용해야 한다. 그러나 시그니처만으로는 완벽하게 공격을 방어할 수 없다. 이는 '명약관화'한 사실이다. 전통적인 시그니처 기반의 방어 메카니즘을 빠져나가는 공격이 있다고 가정해야 한다. 따라서 추가적인 보안 기능과 역량이 필요하다. 엔드포인트에서 공격 신호를 알려주는 이상 행동을 모니터링 하는 기능을 중시할 수 있다"고 말했다.

기존 안티바이러스 벤더들의 대응 전략
기존 안티바이러스 벤더들은 어떻게 대응하고 있을까? '기존 안티바이러스 공급업체가 더 종합적인 제품을 만들기 위해 새로운 기능을 추가 구축할지'가 중요한 담론이 될 것이다.

콜로지는 "이제 더 이상은 단순한 안티바이러스가 없다. 물론 순수한 안티바이러스 제품이 일부 남아있기는 하다. 하지만 많은 사람들이 찾는 제품이 아니다. 데스크톱 안티바이러스, 호스트 침입 감지, 데스크톱 방화벽, 애플리케이션 관리 및 취약점 모니터링 기술을 갖춘 종합적인 안티바이러스 소프트웨어 제품이 증가하고 있는 추세다"라고 말했다.

신생 보안 업체들이 안티바이러스 시장의 변화에 큰 영향을 미치고 있지만, 시만텍과 맥아피(McAfee), 카스퍼스키(Kaspersky), 비트디펜더(Bitdefender), 소포스(Sophos), 트렌드 마이크로(Trend Micro), 안랩(Ahnlab) 등 기존 벤더들도 방관만 하고 있는 것은 아니다.

콜로지는 "기존 안티바이러스 개발사들은 첨단 엔드포인트 보안 기술을 보유한 제품에 통합시키는 노력을 경주하고 있다. 기존 벤더들은 이미 개발한 코드를 바꿔 관리 가능하게 만들어, 다시 기존 관리 콘솔에 통합시켜야 한다는 도전에 직면했다"고 말했다.

사나브리아는 "기존 업체들이 변화하는 시장에 맞춰 발전을 하기 위해 모든 노력을 경주한다. 그러나 개인적으로 전통적인 안티바이러스에서 조금 더 벗어나려 노력해야 한다고 생각한다. 일부 경우에는 신생 벤더만 악성코드 감지 및 방어에 새로운 방식과 기법을 사용하는 것이 아니다. 이들의 마케팅 부문과 브랜드 자체도 전통적인 안티바이러스 제품이라는 이미지에서 거리를 두려 한다"고 말했다.

대안은 뭘까?
사나브리아는 안티바이러스 시장을 '전통적인 제품', '엔드포인트 보호', '사고 대응'의 3가지 시장 부문으로 나눈다. 사나브리아는 "전통적인 제품으로는 방어가 불가능하다. 공격자들이 전통적인 안티바이러스에 접속할 수 있기 때문이다. 자신이 개발한 악성코드를 감지하지 못하도록 만들 수 있다"고 지적했다.

엔드포인트 보호 제품은 악성코드를 더 효과적으로 저지하는 장점을 갖고 있지만 제거에는 취약하다. 아직까지는 전통적인 안티바이러스를 대체할 수 없는 제품이 많다. 유사하게 사고 대응에 초점이 맞춰진 제품들은 치료가 효과적이지 못하기 때문에 다른 안티바이러스 제품을 보완하는 제품으로 간주된다.

사나브리아는 "안티 악성코드 시장이 어떤 식으로 변화하면서 발전할지 확실히 알 수 없다. 그러나 개인적으로는 안티바이러스가 내부 개발이나 인수합병을 통해 더 효과적인 통합 제품으로 발전할 것으로 판단된다. 우리에게 친숙한 안티바이러스는 사라질 것이 분명하다. 그러나 새로운 시대에도 일부 벤더는 구식 기법과 시그니처를 새로운 기술로 보완해 활용할 전망이다"고 내다봤다.

전문가들은 웹루트(Webroot), 비트9/카본 블랙(Bit9/Carbon Black), 브로미움(Bromium), 트라이엄펀트(Triumfant), 인빈시아(Invincea), 카운터택(Countertack), 사일런스(Cylance), 크라우드스트라이크(Crowdstrike) 같은 업체가 많은 혁신을 견인하고 있다고 말한다.

가트너의 맥도날드는 "현재 가장 큰 성공을 일궈낸 벤더 가운데 하나는 비트9과 카본 블랙이 합병한 업체다. 비트9은 보다 전통적인 애플리케이션 관리 솔루션을, 카본 블랙은 EDR(엔드포인트 감지 및 대응)을 제공하고 있기 때문이다. 두 회사가 합병하면서 저지와 감지 기능 모두를 갖춰 제공하고 있는 것이다"고 말했다.

샌드박싱(Sandboxing), 메모리 모니터링, 가상 컨테이너, 머신 학습 분야의 기술도 발전했다. 콜로지는 "다양한 기술이 함께 발전하면서, 해커나 공격자가 감지를 피하는 악성코드를 개발하기가 힘들어지고 있다"고 말했다.

신생 벤더 가운데 일부는 기업은 물론 소비자 시장에도 새로운 안티 악성코드 기술을 공급하고 있다. 이는 BYOD 프로그램 증가로 초래된 보안 문제를 극복하는데 도움을 줄 전망이다.

어떤 전략을 수립해야 할까?
안티바이러스 벤더와 시장의 발전과는 상관 없이 IT와 보안, 위험 관리 책임자는 현대의 지능적인 보안 위협으로부터 기업을 보호하기 위해 한층 미래지향적이면서 계층화된 보안 기법을 적용할 필요가 있다.

포레스터 리서치 애널리스트 크리스 셔먼은 "이를 위해서는 많은 인적자원 엔드포인트와 서버로 공격 표면이 확대되는 문제를 극복하는 기술을 활용해야 한다"고 강조했다.

2014년 안티바이러스 시장 조사 보고서에서 셔먼은 공격 지점을 최소화하고, 서버 및 엔드포인트의 다양한 수요를 충족하기 위해 계층화된 다중 엔드포인트 툴을 활용하는 것을 고려해야 한다고 권고했다.

이 보고서에 따르면, 서드파티 안티바이러스 툴을 운영 시스템의 안티바이러스를 애플리케이션 화이트리스팅, 애플리케이션 권한 관리, 애플리케이션 무결성 보호, 엔드포인트 실행 격리, 엔드포인트 가시성 및 관리 기능으로 강화하는 시스템으로 교체하는 방안을 모색하고 있는 기업이 증가하고 있는 추세이다.

기업들은 안티바이러스를 없앨 필요 없이, 전반적인 정보 보안 전략에서 안티바이러스가 차지하는 역할을 재평가하는 방법으로 현재와 미래의 위협에 최상으로 대처할 수 있다. editor@itworld.co.kr

X