Offcanvas

CSO / 보안

최고의 안티바이러스만으론 부족... 그래도 필요한 이유는?

2018.11.02 Maria Korolov  |  CSO
전통적인 시그니처 기반 안티바이러스(AV) 솔루션은 제로데이 공격이나 랜섬웨어처럼 전례가 없는 새로운 위협에 속수무책일 정도로 취약하다. 그럼에도 불구하고 많은 기업이 다중 엔드포인트 보안 전략의 일환으로 시그니처 기반 안티바이러스 솔루션을 유지하고 있다.


Credit: Getty Images Bank

시그니처 기반 솔루션의 제1 목적은 보안의 최전선에서 대부분의 악성코드 공격을 막아 다른 엔드포인트 보안 소프트웨어들이 처리해야 할 물량을 최소한으로 줄여주는 것이다.

기존 안티바이러스 솔루션들은 각 악성코드의 특징을 담은 시그니처를 생성해 이를 기준으로 악성코드를 판단하지만, 이 방법은 일단 최초 감염자가 발생할 수밖에 없다는 치명적인 단점이 있다.

사이랜스(Cylance)의 마케팅 책임자 에드 메카프는 "그리고 설령 안티바이러스 솔루션 업체가 시그니처를 생성해 낸다고 해도 모든 엔드포인트에서 새로운 시그니처를 업데이트 하는 데에는 짧게는 수일에서, 길게는 수개월까지 걸린다. 이 때가 되면 사이버 공격의 여파는 전 기업에 퍼져 나가고 데이터는 이미 유출된 상태일 것이다"라고 말했다.

설문조사를 통해 보는 안티바이러스의 역할 변화
지난 해 블랙 햇 이벤트 참가자들을 대상으로 한 설문조사 결과에 따르면, 응답자의 73%가 전통적인 안티바이러스 솔루션을 무용지물이라고 답했다. NSS Labs의 전략 및 연구 부대표 마이크 스팬바우어는 "안티바이러스 솔루션의 악성코드 차단 및 보호 기능에 대한 신뢰가 급격히 추락하고 있다"고 말했다.

실제로 많은 연구 결과가 이런 주장을 뒷받침해주고 있다. 지난 9월, 보안 전문 기업 워치가드 테크놀로지스(WatchGuard Technologies)는 전통적인 안티바이러스 솔루션에 대한 포괄적 테스트 결과를 발표했다. 워치가드는 안티바이러스 솔루션과 차세대 엔드포인트 보안 솔루션을 모두 사용하는 소비자들을 관찰해 전통적 솔루션이 제로데이 공격 예방에 얼마나 효과가 있는지를 살펴 보았다.

그 결과 전통적인 솔루션들은 행동 기반 접근을 사용하는 차세대 플랫폼들에 비해 38%의 악성코드를 잡아내지 못한 것으로 나타났다. 이는 2016년 말 경 조사했을 때 나온 30%보다 더 증가한 수치다.

이 테스트에 사용된 전통적인 안티바이러스 제품은 AVG 테크놀로지스의 솔루션으로 훌륭한 평판을 지닌, 널리 사용되고 있는 제품이다. 지난 9월 AV 컴패러티브(AV Comparatives)가 내놓은 한 보고서에 따르면, AVG 사의 솔루션은 테스트에서 샘플 악성코드를 100% 잡아냄으로써 시장 최고 수준(10위 이내)의 악성코드 탐지율을 보여주었다. 그러나 AV 컴패러티브는 알려지지 않은, 새로운 악성코드가 아니라 이미 널리 알려져 있는 악성코드 샘플을 가지고 AVG 솔루션을 테스트 했다는 한계가 있다.

그렇다면 왜 기존의 시그니처 기반 안티바이러스 솔루션들은 그 유효성을 잃고 있는 것일까.

마이크로소프트 365의 기업 부사장 롭 레퍼츠는 "악성코드의 지평이 변화하고 있기 때문"이라며, "굳이 '안티바이러스 솔루션은 죽었다'고 까지 말하고 싶지는 않지만, 이제 안티바이러스 솔루션 하나만 가지고 악성코드나 위협을 잡아 내는 시기는 끝났다"고 말했다.

오늘날 공격자들은 기존 악성코드를 안티바이러스 솔루션이 생성한 시그니처에 잡히지 않을 정도로만 변형한, 새로운 악성코드 버전을 수없이 만들어 내는 데 점점 더 익숙해지고 있다. 뿐만 아니라 파일리스 공격(fileless attack)과 같은 새로운 형태의 위협들은 아예 기존의 안티바이러스 솔루션으로는 탐지가 불가능하다.

기업들도 이 문제를 인식하고 있다. 최근 IT 전문가들을 대상으로 한 SANS 엔드포인트 보안 설문조사 결과에 따르면, 전통적인 안티바이러스 솔루션들의 엔드포인트 공격 탐지율은 47%에 그쳤다. 나머지 공격은 SIEMs, 네트워크 분석, 고급 엔드포인트 보안 시스템 등 다른 테크놀로지들에 의존할 수 밖에 없었다.\

그럼에도 불구하고 차세대 안티바이러스 솔루션을 채택한 기업은 전체의 50%에 불과했으며, 이 가운데 차세대 위협 탐지 기능을 활용하는 기업은 37%에 그쳤다. 또한 파일리스 공격을 탐지할 수 있는 툴을 보유한 기업은 전체의 49%에 달했으나 38%는 이런 툴을 제대로 활용하고 있지 않은 것으로 나타났다.

이번 달 IT 보안 전문가들을 대상으로 실시한 포네몬 인스티튜트(Ponemon Institute)의 설문조사 결과도 이와 비슷했다. 응답자의 70%는 아직 알려지지 않은 새로운 위협에 대한 우려가 크다고 답했지만, 전통적인 시그니처 기반 솔루션만으로 충분한 보안이 이뤄지고 있다고 답한 기업은 29%에 불과했다.

전통적인 안티바이러스 솔루션, 쓰임새는 있다
그렇다면 지금이라도 기존의 안티바이러스 솔루션을 버리고, 새로운 차세대 보안 솔루션으로 갈아 타야 할까. 꼭 그렇지는 않다. 전통적인 안티바이러스 솔루션들이 해야 할 역할이 남아 있다.

행동 분석, 샌드박스, 그리고 기타 고급 툴을 사용할 때는 시간이 소요될 뿐 아니라 네트워크 대역폭과 컴퓨테이션 리소스를 잡아 먹는다. 반면, 전통적인 안티바이러스 솔루션은 빠르고, 비용이 저렴하며, 가볍다는 장점이 있다.

레퍼츠는 "악성코드의 여러 종류를 살펴 보면, 갈수록 다형적 악성코드나 커스텀 공격이 늘어난다는 사실을 알 수 있다. 그러나 아직은 코모디티 악성코드(commodity malware)가 전체 악성코드 공격의 대다수를 차지하고 있는 것이 현실이다"고 설명했다.

설령 전통적인 안티바이러스 솔루션이 모든 공격을 다 막아줄 수는 없다 해도, 이 가운데 상당수를 매우 저렴한 비용으로 차단해 주는 최전방 방어선의 역할은 여전히 가능하다는 것이다.

레퍼츠는 "그러니 기존 솔루션들은 그런 용도에 사용하면 된다. 물론 그것으로 끝은 아니다. 전통적 안티바이러스 솔루션이 모든 위협을 막아줄 수 있을 것이라 생각하는 사람은 없다"고 말했다.

다음은 최전방 방어선을 뚫고 들어온 잠재적 위협들을 대상으로 행동적 특성을 분석하거나, 악성코드의 안전한 해체를 위해 이를 샌드박스로 보내는 작업이 남아 있다.

미국 캘리포니아 주 에머리빌(Emeryville)에 위치한 내셔널 모기지 인슈어런스(National Mortgage Insurance)는 전통적인 안티바이러스 솔루션 사용이 선택이 아니라 필수인 기업들 가운데 하나다. 내셔널 모기지 인슈어런스의 정보 보안 책임자 밥 베일은 "우리의 주 고객은 은행이다. 은행들은 우리의 보안 시스템에 시그니처 기반 안티바이러스 솔루션을 포함시킬 것을 요구하는 경우가 많다"고 말했다.

내셔널 모기지 인슈어런스의 안티바이러스 공급업체인 소포스(Sophos)는 무척 가벼우면서도 높은 악성코드 탐지율을 자랑하는 솔루션을 제공하고 있다. 이런 특성을 지닌 안티바이러스 솔루션은 최전선에 배치하기에 좋지만, 그것만으로는 부족하다고 베일은 말했다.

베일은 "안티바이러스 솔루션 자체가 '소 잃고 외양간 고치는 격'인 경우가 대부분이다. 최초의 누군가는 악성코드에 감염이 되어야 시그니처를 생성할 수 있다. 그 때까지 자사는 감염되지 않기를 바랄 뿐이다"고 말했다.

내셔널 모기지는 최전선을 뚫고 들어온 악성코드에 대응하기 위한 또 다른 보안 계층을 마련해 뒀다. 엔사일로(enSilo)의 행동 기반 보안 시스템이 그것이다. 베일은 "두 솔루션은 서로 궁합이 아주 잘 맞는다"며, "우리에게 이미 알려진 바이러스가 침투할 경우, 해당 파일이 실행되기 전에 소포스 솔루션이 이를 격리시킨다. 소포스에서 걸러지지 않는 악성코드는 엔사일로의 솔루션이 탐지해 처리한다. 고전적인 이중 방어막 시스템이다"고 설명했다.

전통적인 안티바이러스 솔루션은 행동 분석, 샌드박스 및 머신러닝과 같은 기술을 사용하는 새로운 보안 솔루션들을 보완, 보조할 수 있다. 고급 기술을 사용하는 솔루션일수록 프로세싱 파워도 많이 필요하고, 컴퓨터 속도를 느리게 만든다.

특히 사용자 액세스를 허용하기 전 잠재적 위협에 대한 행동 테스트 및 기타 테스트를 실시하는 솔루션의 경우 직원들의 생산성에도 영향을 미칠 수 있다. 그렇다고 잠재적 위협 요소를 일단 통과 시킨 후 나중에 별개로 테스트 한다면 악성코드가 기업 시스템에 액세스 할 수 있는 기회의 창을 열어 두는 셈이다.

마지막으로, 새로운 위협이 발견됐을 때는 이런 위협을 최소화하고 향후 동일한 공격이 발생하는 것을 막기 위해 시그니처를 생성해야 한다. 맥아피 LLC의 기업 솔루션 부사장 라자 파텔은 "최전방에 배치되는 보안 솔루션은 항상 시그니처 기반의 솔루션이 될 것이다. 어차피 악성코드라는 사실을 이미 알고 있다면, 굳이 그것을 막기 위해 부가적인 보호 장치를 사용할 필요는 없다"고 말했다.

시그니처 기반 솔루션의 사전 스크리닝 단계가 없다면, 모든 잠재적 위협들을 다 처리하는 데 훨씬 더 많은 시간과 노력, 비용이 들어갈 것이다.

파텔은 "보안 팀의 업무가 얼마나 늘어날 지 상상만 해도 끔찍하다. 따라서 누가 봐도 악성코드가 분명한 것들은 애초에 걸러내는 것이 가장 효율적이다. 시그니처 기반 솔루션들은 인력의 투입을 줄여주고, 시간 지연과 악성코드 여부에 대한 오판단을 줄여준다. 아직은 시그니처 기반 안티바이러스 솔루션이 해야 할 일이 많이 남아 있다"고 말했다.

전통적 솔루션과 차세대 엔드포인트 보안 툴의 병합
보안 솔루션 산업이 성숙해짐에 따라 앞으로는 단일 공급업체로부터 모든 기능이 통합된 완전 보안 솔루션을 구매하는 것도 가능해 질 전망이다. 전통적인 안티바이러스 솔루션 공급업체 가운데 차세대 솔루션과 기능을 추가하는 곳들이 늘어나고 있고, 새로운 솔루션을 판매하는 업체들 중에서도 자사 제품에 시그니처 기반 보호 기능을 포함시키는 곳들이 증가하고 있다.

엔드포인트 보안 스타트업 크라우드스트라이크(CrowdStrike)의 경우만 해도 4년 전 '올인원' 팔콘(Falcon) 플랫폼을 출시해 국제전략연구소(Center for Strategic and International Studies, CSIS)같은 기관이 단 하나의 솔루션으로 전천후 보안 니즈를 충족하도록 했다. CSIS는 워싱턴 DC의 씽크 탱크다.

CSIS의 CIO 이안 가티스먼은 "CSIS는 엔드포인트 보안 시스템의 일환으로 크라우드스트라이크의 솔루션을 이용하고 있다. 특히 기존 솔루션에 안티바이러스 기능을 더한 것은 무척 긍정적인 시도였다. 다른 공급업체들도 같은 선택을 할 것을 권고한다"고 말했다.

한편 기업들은 차세대 엔드포인트 솔루션에도 안티바이러스 보호 기능이 추가될 것이라 기대하고 있다. 악성코드바이트(Malwarebytes Corp)의 악성코드 정보 담당자 애덤 쿠자와는 "기업들은 여러 보안업체들을 동시에 이용하는 것을 좋아하지 않는다. 보안 솔루션 공급업체도 한 곳으로 모아지는 것을 선호한다. 때문에 미래의 보안 솔루션들은 보안 효과의 극대화를 위해 여러 가지 보안 기술을 접목시킨 다중적 솔루션이 되어야 할 것이다"고 말했다.

시그니처 기반의 안티바이러스 공급업체도 가만히 손 놓고 있지만은 않다. 이들 가운데 상당수가 시그니처 기반 솔루션으로는 잡아낼 수 없는 공격에 대처하기 위한 차세대 보안 툴을 매입하거나 개발 중에 있다.

판다 시큐리티(Panda Security)의 판다랩스(PandaLabs) 기술 책임자 루이 코론스는 "안티바이러스 솔루션은 진화해야 한다. 그렇지 않으면 향후 몇 년 내로 멸종하게 될 것이다. 판다 시큐리티는 이 사실을 잘 알고 있다"고 말했다.

판다 시큐리티는 수년 전부터 이미 행동 기반 악성코드 탐지 솔루션을 제공해 왔지만, 그것만으로는 부족하다고 코론스는 말한다. 요즘에는 아예 악성코드를 전혀 사용하지 않는 공격들도 등장하고 있기 때문이다. 코론스는 "솔직히 말해, 전통적인 안티바이러스 솔루션은 아예 악성코드를 사용하지 않는 이런 류의 공격 앞에서는 속수무책이다"고 말했다. 예컨대 해커는 기존의 비 악성 소프트웨어만 이용해서 공격을 할 수도 있다.

판다 시큐리티는 최근 기업 네트워크상의 모든 활성 애플리케이션의 행동을 모니터링 할 수 있는 새로운 툴을 내놓았다. 코론스는 "새로운 툴은 기업 네트워크에서 일어나는 일들에 대한 완전한 시야를 확보하게 해 준다"고 설명했다.

파텔은 "맥아피 역시 기존 솔루션에 새로운 보안 계층을 추가했다"며, "시그니처 기반 솔루션은 이미 알려진 위협에는 효과적이지만 최초 감염자를 보호해 주지는 못하며, 감염 이후 시그니처를 생성, 배포할 때까지 시간이 걸린다는 단점이 있다"고 말했다.

포네몬의 설문 조사 결과에 따르면, 전체 기업의 64%가 올 해 1건 이상의 엔드포인트 공격을 경험했으며, 이로 인해 회사의 자산, 인프라스트럭처 등이 타격을 받았다고 답했다. 또한 63%는 공격 건수가 지난해에 비해 증가했다고 답했다.

한편, 보안 공격을 막지 못했을 때 소요되는 비용은 평균 500만 달러에서 710만 달러로 증가했으며, 감염 엔드포인트 당 비용은 440달러에 달했다. 중소기업의 경우 엔드포인트 당 비용은 763달러로 훨씬 높았다.

버섹 시스템즈(Virsec Systems)의 창립자이자 CTO인 사티야 굽타는 "문제는 많은 기업이 새로운 공격 양상에 맞춰 자신들의 보안 전략을 수정하는 데 너무 많은 시간이 걸리고 있다는 것이다. 여전히 주변부 보안에만 신경을 쓴다거나, 과거 경험했거나 알려진 위협에만 대처하려는 마인드셋에서 벗어나지 못하고 있다"고 말했다. editor@itworld.co.kr  
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.