2017.05.23

"안티바이러스 무용론, 터무니없다"

Andy Patrizio | CIO
이제 엔드포인트 보안은 필요없고, PC의 안티바이러스(AV) 프로그램은 무용지물이라는 주장과 보고서가 계속 등장하고 있다.

기즈모도(Gizmodo)는 이제 바이러스 백신 앱은 필요없다고 딱 부러지게 주장한다. 윈도우 10과 브라우저의 보안이 최종 사용자를 적절히 보호할 수준에 도달했다는 것이 그 이유다. 윈도우 센트럴(Windows Central)도 같은 의문을 던졌다. 그러나 안티바이러스 등 엔드포인트 보호책이 더 튼튼한 것이 더 낫다고 결론내렸다.

톰스 가이드(Tom's Guide)는 무료 안티바이러스 프로그램이 사용자당 연 50달러 이상을 지불해야 하는 유료 바이러스만큼 효과적이라고 주장한다. 보안업체인 노우비4(KnowBe4)는 랜섬웨어는 특징이 달라 대부분 안티바이러스 프로그램이 무용지물이라고 주장한다.

안티바이러스 프로그램이 없어도 된다는 의미일까? 보안 전문가들은 터무니 없는 소리라고 강조한다. NSS랩스와 ESET에 재직했고, NOD 32 바이러스 백신 프로그램을 개발한 프리랜서 보안 컨설턴트 랜디 에이브럼스는 "어머니에게 PC의 안티바이러스 프로그램을 삭제하라고 말할 수 있는가? 아니라고 대답할 것이다. 그것이 정답이다"고 말했다.

에이브럼스는 바이러스 백신 프로그램이 완벽하지는 않지만, 그래도 대부분 위협을 방지한다고 강조했다. 에이브럼스는 "2000년대 초부터 안티 바이러스는 효과가 없고, 이제 '죽었다'는 말이 나왔다. 그렇지만 새 위협을 제외한 절대 다수의 위협을 효과적으로 방지하는 것이 사실이다"고 설명했다.

에이브럼스는 보안업체인 워치가드(WatchGuard)가 최근 발표한 보고서에 따르면, 상당수 악성코드가 오래된 악성코드라고 말했다. 2016년 4분기 악성코드 공격 중 안티바이러스 프로그램이 즉시 포착할 수 없었던 제로데이 취약점 공격의 비율은 약 30%였다. 바꿔 말해, 70%는 제로데이가 아니라는 의미다. 또 이 가운데에는 안티바이러스 프로그램이 잡을 수 있는 수개월 정도 된 바이러스 변종이 많았다.

시만텍(Symantech), 맥아피(McAfee), F-시큐어(F-Secure), 트렌드 마이크로(Trend Micro)에서 일했던 프리랜서 컨설턴트 데이빗 페리는 여러 번 '안티바이러스가 죽었다!'는 말을 들었지만, 이는 사실이 아니라고 강조했다. 페리는 "매년 '안티바이러스는 죽었다!'고 말하는 사람이 등장한다. 우리는 엔드포인트를 보호하기 위해 할 수 있는 모든 일을 해야 한다. 게이트 보호가 철저해도, 데스크톱 감염을 처리해야 한다"고 말했다.

페리는 "안티바이러스 무용론을 주장하는 사람 중에 지금 당장 이용할 대안을 갖고 있는 사람이 있는가? 보안 업계에는 안티바이러스가 불필요하다고 생각하는 사람들이 있다. 그러나 대형 은행이나 보잉 같은 대기업에 물어보라! 이들 회사는 데스크톱에서 악성코드를 찾아 청소할 방법이 필요하다고 말할 것이다. 매일 모든 것을 깨끗이 정리를 할 수는 없기 때문이다"고 덧붙였다.

페리는 클라이언트 PC들이 모두 가상 데스크톱을 사용, 감염이 될 경우 PC를 리이미지(Reimage)하는 시대로 나아가고 있다고 생각한다. 그러나 "결국 그런 날이 오겠지만, 지금 당장은 아니다. 특히 로펌 같은 회사의 선택지는 될 수 없다"고 지적했다. 에이브럼스는 적절히 백업을 유지한다면, 악성코드 제품 없이 랜섬웨어를 처리할 수 있다고 생각한다. 랜섬웨어 공격을 받을 경우 깨끗이 지운 후 복원하는 방법이다.

또 다른 솔루션은 사전에 승인한 애플리케이션만 실행되도록 만드는 화이트리스트 기법이다. 바이러스 백신에서 알려진 악성 실행 파일 목록과 비교해 차단하는 블랙리스트와 대척점에 위치한 기법이다. 보안 업체인 PC-매틱(PC-Matic)은 케이블 뉴스 채널에 화이트리스트 보안 광고를 계속 운영하고 있다.

그러나 페리는 쓸모없는 해결책이라고 생각한다. 페리는 "제대로 화이트리스트를 적용할 경우 시스템에 어떤 것도 추가할 수 없다. 그러면 대부분 웹페이지를 이용할 수가 없다. 모두 자바스크립트와 Ajax가 실행되고 있기 때문이다. 넷플릭스(Netflix)도 이용하지 못한다. 윈도우 7에서 넷플릭스를 이용하려면 실버라이트를 다운로드받아야 한다. 이런 식으로 매번 어려움에 직면할 것이다. 프로그램 하나에 실행 파일이 하나만 있는 것도 아니다. 마이크로소프트 워드의 경우 실행 파일 수가 150개다"고 지적했다.

두 사람 모두 인터넷과 최종 사용자에 도달하는 악성코드가 급증하고 있다고 말했다. 페리는 "내가 보안직종에 일하기 시작했을 때만 해도 매일 새로운 악성코드는 약 30개였다. 지금은 15만 개가 넘는다. 앞으로는 더할 것이다"고 말했다.

계속 동일한 악성코드의 조금씩 다른 변종과 세대를 생성할 수 있는 악성코드 개발자 키트가 무수히 많다. 때론 5분 간격으로 생성된다. 에이브럼스에 따르면, 바이러스 백신 업체로 보내지는 새로운 악성코드 샘플 중 80%는 한 차례씩만 관찰된다. 모든 악성코드가 변종들이기 때문이다. 페리는 "제로데이다. 얼마나 많은 사람들에게 영향을 줄까? 단 한 명이다"고 말했다.

랜섬웨어가 문제인 이유는 웹사이트를 방문하거나 링크를 클릭했을 때 수많은 악성코드를 로딩시키기 때문이다. 그리고 기술로는 사용자의 '어리석음'을 극복할 수 없다.

에이브럼스는 "안티바이러스 프로그램이 크게 개선됐다. 그러나 랜섬웨어는 여전히 문제가 있다는 점을 보여준다. 기술로는 소셜 엔지니어링을 극복하기 어렵다. 사고방식과 태도가 관여하는 문제이기 때문이다. 최종 사용자 교육으로 귀결되는데, 이것이 까다롭다"고 지적했다. editor@itworld.co.kr  



2017.05.23

"안티바이러스 무용론, 터무니없다"

Andy Patrizio | CIO
이제 엔드포인트 보안은 필요없고, PC의 안티바이러스(AV) 프로그램은 무용지물이라는 주장과 보고서가 계속 등장하고 있다.

기즈모도(Gizmodo)는 이제 바이러스 백신 앱은 필요없다고 딱 부러지게 주장한다. 윈도우 10과 브라우저의 보안이 최종 사용자를 적절히 보호할 수준에 도달했다는 것이 그 이유다. 윈도우 센트럴(Windows Central)도 같은 의문을 던졌다. 그러나 안티바이러스 등 엔드포인트 보호책이 더 튼튼한 것이 더 낫다고 결론내렸다.

톰스 가이드(Tom's Guide)는 무료 안티바이러스 프로그램이 사용자당 연 50달러 이상을 지불해야 하는 유료 바이러스만큼 효과적이라고 주장한다. 보안업체인 노우비4(KnowBe4)는 랜섬웨어는 특징이 달라 대부분 안티바이러스 프로그램이 무용지물이라고 주장한다.

안티바이러스 프로그램이 없어도 된다는 의미일까? 보안 전문가들은 터무니 없는 소리라고 강조한다. NSS랩스와 ESET에 재직했고, NOD 32 바이러스 백신 프로그램을 개발한 프리랜서 보안 컨설턴트 랜디 에이브럼스는 "어머니에게 PC의 안티바이러스 프로그램을 삭제하라고 말할 수 있는가? 아니라고 대답할 것이다. 그것이 정답이다"고 말했다.

에이브럼스는 바이러스 백신 프로그램이 완벽하지는 않지만, 그래도 대부분 위협을 방지한다고 강조했다. 에이브럼스는 "2000년대 초부터 안티 바이러스는 효과가 없고, 이제 '죽었다'는 말이 나왔다. 그렇지만 새 위협을 제외한 절대 다수의 위협을 효과적으로 방지하는 것이 사실이다"고 설명했다.

에이브럼스는 보안업체인 워치가드(WatchGuard)가 최근 발표한 보고서에 따르면, 상당수 악성코드가 오래된 악성코드라고 말했다. 2016년 4분기 악성코드 공격 중 안티바이러스 프로그램이 즉시 포착할 수 없었던 제로데이 취약점 공격의 비율은 약 30%였다. 바꿔 말해, 70%는 제로데이가 아니라는 의미다. 또 이 가운데에는 안티바이러스 프로그램이 잡을 수 있는 수개월 정도 된 바이러스 변종이 많았다.

시만텍(Symantech), 맥아피(McAfee), F-시큐어(F-Secure), 트렌드 마이크로(Trend Micro)에서 일했던 프리랜서 컨설턴트 데이빗 페리는 여러 번 '안티바이러스가 죽었다!'는 말을 들었지만, 이는 사실이 아니라고 강조했다. 페리는 "매년 '안티바이러스는 죽었다!'고 말하는 사람이 등장한다. 우리는 엔드포인트를 보호하기 위해 할 수 있는 모든 일을 해야 한다. 게이트 보호가 철저해도, 데스크톱 감염을 처리해야 한다"고 말했다.

페리는 "안티바이러스 무용론을 주장하는 사람 중에 지금 당장 이용할 대안을 갖고 있는 사람이 있는가? 보안 업계에는 안티바이러스가 불필요하다고 생각하는 사람들이 있다. 그러나 대형 은행이나 보잉 같은 대기업에 물어보라! 이들 회사는 데스크톱에서 악성코드를 찾아 청소할 방법이 필요하다고 말할 것이다. 매일 모든 것을 깨끗이 정리를 할 수는 없기 때문이다"고 덧붙였다.

페리는 클라이언트 PC들이 모두 가상 데스크톱을 사용, 감염이 될 경우 PC를 리이미지(Reimage)하는 시대로 나아가고 있다고 생각한다. 그러나 "결국 그런 날이 오겠지만, 지금 당장은 아니다. 특히 로펌 같은 회사의 선택지는 될 수 없다"고 지적했다. 에이브럼스는 적절히 백업을 유지한다면, 악성코드 제품 없이 랜섬웨어를 처리할 수 있다고 생각한다. 랜섬웨어 공격을 받을 경우 깨끗이 지운 후 복원하는 방법이다.

또 다른 솔루션은 사전에 승인한 애플리케이션만 실행되도록 만드는 화이트리스트 기법이다. 바이러스 백신에서 알려진 악성 실행 파일 목록과 비교해 차단하는 블랙리스트와 대척점에 위치한 기법이다. 보안 업체인 PC-매틱(PC-Matic)은 케이블 뉴스 채널에 화이트리스트 보안 광고를 계속 운영하고 있다.

그러나 페리는 쓸모없는 해결책이라고 생각한다. 페리는 "제대로 화이트리스트를 적용할 경우 시스템에 어떤 것도 추가할 수 없다. 그러면 대부분 웹페이지를 이용할 수가 없다. 모두 자바스크립트와 Ajax가 실행되고 있기 때문이다. 넷플릭스(Netflix)도 이용하지 못한다. 윈도우 7에서 넷플릭스를 이용하려면 실버라이트를 다운로드받아야 한다. 이런 식으로 매번 어려움에 직면할 것이다. 프로그램 하나에 실행 파일이 하나만 있는 것도 아니다. 마이크로소프트 워드의 경우 실행 파일 수가 150개다"고 지적했다.

두 사람 모두 인터넷과 최종 사용자에 도달하는 악성코드가 급증하고 있다고 말했다. 페리는 "내가 보안직종에 일하기 시작했을 때만 해도 매일 새로운 악성코드는 약 30개였다. 지금은 15만 개가 넘는다. 앞으로는 더할 것이다"고 말했다.

계속 동일한 악성코드의 조금씩 다른 변종과 세대를 생성할 수 있는 악성코드 개발자 키트가 무수히 많다. 때론 5분 간격으로 생성된다. 에이브럼스에 따르면, 바이러스 백신 업체로 보내지는 새로운 악성코드 샘플 중 80%는 한 차례씩만 관찰된다. 모든 악성코드가 변종들이기 때문이다. 페리는 "제로데이다. 얼마나 많은 사람들에게 영향을 줄까? 단 한 명이다"고 말했다.

랜섬웨어가 문제인 이유는 웹사이트를 방문하거나 링크를 클릭했을 때 수많은 악성코드를 로딩시키기 때문이다. 그리고 기술로는 사용자의 '어리석음'을 극복할 수 없다.

에이브럼스는 "안티바이러스 프로그램이 크게 개선됐다. 그러나 랜섬웨어는 여전히 문제가 있다는 점을 보여준다. 기술로는 소셜 엔지니어링을 극복하기 어렵다. 사고방식과 태도가 관여하는 문제이기 때문이다. 최종 사용자 교육으로 귀결되는데, 이것이 까다롭다"고 지적했다. editor@itworld.co.kr  

X