2017.01.23

"바이러스 탐지율 하락"··· 백신 SW '무용론' 확산

Maria Korolov | CSO
알려진 혹은 알려지지 않은 위협을 탐지하는 백신 소프트웨어의 역할이 점점 약해지고 있는 것일까?



백신의 바이러스 탐지율 정보를 제공하는 웹사이트 '바이러스 불리틴(Virus Bulletin)' 자료를 보면, 수치가 전반적으로 좋지 않다. 알려진 악성코드(Malware)의 평균 탐지율은 2015년부터 2016년까지 수% 줄었고, 제로데이(Zero Day) 탐지율은 80%에서 70% 미만으로 크게 떨어졌다.

보안 교육 업체 노우비포(KnowBe4)의 CEO 스튜 스조워먼은 "업계 전체의 선제적 보호 능력이 10~15포인트 감소했다면 심각한 것이다. 백신이 아예 제기능을 못하는 것은 아니지만 분위기가 좋지 않다"라고 말했다. 바이러스 불리틴은 업계 최고의 백신 테스트로 알려져 있다. 테스트 과정은 포괄적이며 매년 일관된 방식을 사용하므로 이전 데이터와 비교해도 의미가 있다.

스조워먼은 "여러 주요 업체가 (바이러스 불리틴 테스트) 참여를 거부했기 때문에 통계에 포함되지 않았고 이것이 (수치가 떨어진) 이유일 수 있다. 그러나 현재의 백신 업체가 때때로 새로운 악성코드 공격자를 따라 잡을 수 없는 것이 현실이다. 악당은 이 과정을 완전히 자동화했고, 매일 방대한 수의 변종이 등장하고 있어 기존 백신 엔진을 압도하고 있다. 현재는 악당이 더 우세한 상황이다"라고 말했다.

업계 전문가 일부는 그의 이런 의견에 동의하지 않지만 백신에 문제가 있다는 점에 대해서는 대체로 동의한다. 퀄리스(Qualys)의 취약성 연구소 책임자 아몰 사워트는 "스조워먼의 지적은 내 의견과 크게 다르지 않다. 쉽게 해결할 문제가 아니라는 것이 더 문제이다. 새로운 악성코드에 대응하기 위해 백신을 공격적으로 만들면 '긍정 오류'가 너무 많이 발생할 수 있다. 결국 앞으로는 다양한 기술을 복합적으로 사용하는 것이 더 좋을 것이다. 악성코드에 백신 만으로 대응하는 것은 더이상 충분하지 않다"라고 말했다.

백신의 효과에 대한 문제제기도 있다. 다크트레이스(Darktrace)의 사이버 정보 및 분석 이사 저스틴 피어는 "상황이 좋지 않으며 점차 더 악화할 것이다. 우리 고객에게 투자하지 말라고 조언할 정도는 아니지만 백신의 효과에 대해서는 그리 신뢰하지 않는다. 기본적으로 보안은 이벤트에 반응하는 것이다. 미래의 악성코드 또는 대대적인 공격 플랫폼이 어떨지 예측하고 방어하기란 매우 어렵다"라고 말했다.


노우비포의 스조워먼은 특히 랜섬웨어(Ransomware) 문제가 심각하다고 지적했다. 수익성(?)이 높아 사이버 범죄자가 더 많이 개발에 뛰어들고 있기 때문이다. 지난 해 범죄자는 랜섬웨어로 10억 달러를 벌어들였고 백신 방어 전선이 계속해서 뚫리고 있다. 하지만 랜섬웨어만을 겨냥한 새로운 초기 단계의 백신 제품도 등장하고 있다.

스조워먼은 "(이런 제품 중) 일부는 효과가 있지만 없는 것도 있다. 아직 초기 단계이다. 하지만 소포스(Sophos)가 이런 기업 중 하나를 인수했고, 현재 랜섬웨어를 방어하며 실제로 효과가 있는 추가적인 모듈을 보유하고 있어 좋은 평가를 받고 있다. 소포스 외에도 주목해야 할 기업이 많이 있다"라고 말했다.

네트워크 및 종점 보안 제품을 제공하는 소포스는 바이러스 불리틴에 포함돼 있지 않지만 최근의 백신 보고서에서 제로데이 공격 차단율이 100%라는 평가를 받았다. 소포스의 최종 사용자 및 네트워크 보안 그룹 수석 부사장 겸 책임자 댄 시아파는 "하나의 기술에 의존하지 않는다는 것이 장점이다. 우리의 작은 분석 엔진으로 파일을 스캔하거나 행동을 감시하지만 이 과정에 다양한 기술을 적용해 악성코드 여부를 판단한다"라고 말했다.

특히 제로데이 위협에 특화되어 개발된 신제품 '인터셉트 X(Intercept X)'는 악성코드가 시스템을 공격하는 방식을 살핀다. 그는 "취약성을 이용하는 방법은 약 24가지 뿐이다. 1년에 몇 개의 새로운 기법을 익힐 수 있으며 이런 기법에 뒤처지지 않는 한 적정한 탐지율을 유지할 수 있다. 예를 들어, 새로운 기법의 하나로 부팅 전 환경에 진입하는 악성코드가 있다. 우리는 이를 파악했고 현재 방어하는 방법을 개발하고 있다"라고 말했다.

일부 업체는 바이러스 불리틴의 테스트 결과 자체에 반발하고 있다. 트렌드 마이크로(Trend Micro)의 클라우드 연구 부사장 마크 누니크호벤이 대표적이다. 이 업체는 바이러스 불리틴 테스트에 참여하지 않았다. 그는 "공격자가 새로운 기법을 개발하고 방어자가 계속 혁신하면서 테스트 점수가 들쑥날쑥인 경향이 있다. 바이러스 불리틴을 여전히 신뢰하긴 하지만 우리는 이 테스트에 참가하지 않기로 했다. 구체적인 이유를 밝힐 수는 없다"라고 말했다.

대신 누니크호벤은 또다른 백신 테스트인 'AV 테스트(AV Test)' 결과를 공개했다. 트렌드 마이크로는 윈도우 7과 10을 대상으로 하는 최신 14개의 제로데이 탐지 테스트에서 11개에서 100%, 나머지 3개 테스트에서는 99%를 기록했다. 제로데이 탐지에 관한 AV 테스트 평균 점수는 2015년 초 97%에서 지난 윈도우 10 테스트 중 99.7%로 개선됐다.

웹루트(Webroot)의 엔지니어링 책임자 데이비드 듀포는 이런 테스트의 또 다른 문제로 탐지율을 측정하는 방식을 지목한다. 시그니처 기반 백신은 악성코드를 조기에 찾아낼 수 있지만 행동 기반 시스템은 악성코드가 실제로 무엇인가를 시도할 때까지 기다려야 한다. 그는 "많은 테스트가 여전히 오래된 측정 기법에 의존하고 있다. 제로데이를 이해하는 데 시간을 투자하지 않고 있으며 알려지지 않은 악성코드는 확인하는 데 시간이 필요하다"라고 말했다. 웹루트는 바이러스 불리틴과 AV 테스트 모두에 참가하지 않았다. ciokr@idg.co.kr



2017.01.23

"바이러스 탐지율 하락"··· 백신 SW '무용론' 확산

Maria Korolov | CSO
알려진 혹은 알려지지 않은 위협을 탐지하는 백신 소프트웨어의 역할이 점점 약해지고 있는 것일까?



백신의 바이러스 탐지율 정보를 제공하는 웹사이트 '바이러스 불리틴(Virus Bulletin)' 자료를 보면, 수치가 전반적으로 좋지 않다. 알려진 악성코드(Malware)의 평균 탐지율은 2015년부터 2016년까지 수% 줄었고, 제로데이(Zero Day) 탐지율은 80%에서 70% 미만으로 크게 떨어졌다.

보안 교육 업체 노우비포(KnowBe4)의 CEO 스튜 스조워먼은 "업계 전체의 선제적 보호 능력이 10~15포인트 감소했다면 심각한 것이다. 백신이 아예 제기능을 못하는 것은 아니지만 분위기가 좋지 않다"라고 말했다. 바이러스 불리틴은 업계 최고의 백신 테스트로 알려져 있다. 테스트 과정은 포괄적이며 매년 일관된 방식을 사용하므로 이전 데이터와 비교해도 의미가 있다.

스조워먼은 "여러 주요 업체가 (바이러스 불리틴 테스트) 참여를 거부했기 때문에 통계에 포함되지 않았고 이것이 (수치가 떨어진) 이유일 수 있다. 그러나 현재의 백신 업체가 때때로 새로운 악성코드 공격자를 따라 잡을 수 없는 것이 현실이다. 악당은 이 과정을 완전히 자동화했고, 매일 방대한 수의 변종이 등장하고 있어 기존 백신 엔진을 압도하고 있다. 현재는 악당이 더 우세한 상황이다"라고 말했다.

업계 전문가 일부는 그의 이런 의견에 동의하지 않지만 백신에 문제가 있다는 점에 대해서는 대체로 동의한다. 퀄리스(Qualys)의 취약성 연구소 책임자 아몰 사워트는 "스조워먼의 지적은 내 의견과 크게 다르지 않다. 쉽게 해결할 문제가 아니라는 것이 더 문제이다. 새로운 악성코드에 대응하기 위해 백신을 공격적으로 만들면 '긍정 오류'가 너무 많이 발생할 수 있다. 결국 앞으로는 다양한 기술을 복합적으로 사용하는 것이 더 좋을 것이다. 악성코드에 백신 만으로 대응하는 것은 더이상 충분하지 않다"라고 말했다.

백신의 효과에 대한 문제제기도 있다. 다크트레이스(Darktrace)의 사이버 정보 및 분석 이사 저스틴 피어는 "상황이 좋지 않으며 점차 더 악화할 것이다. 우리 고객에게 투자하지 말라고 조언할 정도는 아니지만 백신의 효과에 대해서는 그리 신뢰하지 않는다. 기본적으로 보안은 이벤트에 반응하는 것이다. 미래의 악성코드 또는 대대적인 공격 플랫폼이 어떨지 예측하고 방어하기란 매우 어렵다"라고 말했다.


노우비포의 스조워먼은 특히 랜섬웨어(Ransomware) 문제가 심각하다고 지적했다. 수익성(?)이 높아 사이버 범죄자가 더 많이 개발에 뛰어들고 있기 때문이다. 지난 해 범죄자는 랜섬웨어로 10억 달러를 벌어들였고 백신 방어 전선이 계속해서 뚫리고 있다. 하지만 랜섬웨어만을 겨냥한 새로운 초기 단계의 백신 제품도 등장하고 있다.

스조워먼은 "(이런 제품 중) 일부는 효과가 있지만 없는 것도 있다. 아직 초기 단계이다. 하지만 소포스(Sophos)가 이런 기업 중 하나를 인수했고, 현재 랜섬웨어를 방어하며 실제로 효과가 있는 추가적인 모듈을 보유하고 있어 좋은 평가를 받고 있다. 소포스 외에도 주목해야 할 기업이 많이 있다"라고 말했다.

네트워크 및 종점 보안 제품을 제공하는 소포스는 바이러스 불리틴에 포함돼 있지 않지만 최근의 백신 보고서에서 제로데이 공격 차단율이 100%라는 평가를 받았다. 소포스의 최종 사용자 및 네트워크 보안 그룹 수석 부사장 겸 책임자 댄 시아파는 "하나의 기술에 의존하지 않는다는 것이 장점이다. 우리의 작은 분석 엔진으로 파일을 스캔하거나 행동을 감시하지만 이 과정에 다양한 기술을 적용해 악성코드 여부를 판단한다"라고 말했다.

특히 제로데이 위협에 특화되어 개발된 신제품 '인터셉트 X(Intercept X)'는 악성코드가 시스템을 공격하는 방식을 살핀다. 그는 "취약성을 이용하는 방법은 약 24가지 뿐이다. 1년에 몇 개의 새로운 기법을 익힐 수 있으며 이런 기법에 뒤처지지 않는 한 적정한 탐지율을 유지할 수 있다. 예를 들어, 새로운 기법의 하나로 부팅 전 환경에 진입하는 악성코드가 있다. 우리는 이를 파악했고 현재 방어하는 방법을 개발하고 있다"라고 말했다.

일부 업체는 바이러스 불리틴의 테스트 결과 자체에 반발하고 있다. 트렌드 마이크로(Trend Micro)의 클라우드 연구 부사장 마크 누니크호벤이 대표적이다. 이 업체는 바이러스 불리틴 테스트에 참여하지 않았다. 그는 "공격자가 새로운 기법을 개발하고 방어자가 계속 혁신하면서 테스트 점수가 들쑥날쑥인 경향이 있다. 바이러스 불리틴을 여전히 신뢰하긴 하지만 우리는 이 테스트에 참가하지 않기로 했다. 구체적인 이유를 밝힐 수는 없다"라고 말했다.

대신 누니크호벤은 또다른 백신 테스트인 'AV 테스트(AV Test)' 결과를 공개했다. 트렌드 마이크로는 윈도우 7과 10을 대상으로 하는 최신 14개의 제로데이 탐지 테스트에서 11개에서 100%, 나머지 3개 테스트에서는 99%를 기록했다. 제로데이 탐지에 관한 AV 테스트 평균 점수는 2015년 초 97%에서 지난 윈도우 10 테스트 중 99.7%로 개선됐다.

웹루트(Webroot)의 엔지니어링 책임자 데이비드 듀포는 이런 테스트의 또 다른 문제로 탐지율을 측정하는 방식을 지목한다. 시그니처 기반 백신은 악성코드를 조기에 찾아낼 수 있지만 행동 기반 시스템은 악성코드가 실제로 무엇인가를 시도할 때까지 기다려야 한다. 그는 "많은 테스트가 여전히 오래된 측정 기법에 의존하고 있다. 제로데이를 이해하는 데 시간을 투자하지 않고 있으며 알려지지 않은 악성코드는 확인하는 데 시간이 필요하다"라고 말했다. 웹루트는 바이러스 불리틴과 AV 테스트 모두에 참가하지 않았다. ciokr@idg.co.kr

X