2015년은 악성코드의 해라고 할 만큼 기록적인 수치를 보였다. 판다시큐리티(Panda Security)의 한 보고서에 따르면, 2015년에 8,400만 개 이상의 새로운 악성코드 샘플이 수집됐다.
판다시큐리티의 판다랩스 기술책임 루이 콜론스는 "이런 수치는 하루 평균 약 23만 개의 새로운 악성코드 샘플들이 만들어진 것으로, 지금껏 출현한 모든 악성코드 가운데 27%가 지난해에 만들어진 것"이라고 밝혔다. 주요 악성코드 가운데 트로이목마(51.45%)가 1위를 유지했으며, 뒤를 이어 바이러스(22.79%), 웜(13.22%), 애드웨어와 같은 원하지 않는 프로그램(10.71%), 스파이웨어(1.83%) 순이었다.
콜론스에 따르면, 다수의 악성코드 변종이 급증하고 있는 반면, 안티바이러스 소프트웨어도 탐지, 방어 기술이 나날이 증가하고 있다. 콜론스는 "요즘 공격자들은 방어 시스템에게 다르게 보이는 악성코드를 좀더 빠르게 변형할 수 있는 자동화된 소프트웨어를 갖고 있다"고 말했다. "이로 인해 감염된 웹사이트는 접속한 사용자들은 조금씩 다른 버전의 트로이 목마에 감염된다"고 설명했다.
17년 전, 그가 처음 악성코드를 연구할 때 공격자들은 하루당 100개의 새로운 변형 악성코드를 보았다. 콜론스는 "당시 우리는 이를 미쳤다고 생각했다. 연구소 내 모든 프로세스들이 꽤나 수동적였기 때문에 그것도 미친 짓이었다"고 말했다.
콜론스는 "그러나 방어자들은 좀더 나아지고 있다. 예를 들어, 판다랩스는 이전에 본 적이 없는 파일을 보고 있다면 그것은 추가적인 정밀조사를 해야 하는 지표가 된다. 이는 클라우드 기술의 급속한 확산으로 가능해졌다"고 설명했다. "우리가 지금껏 본적이 없었던 새로운 파일을 본다는 것은 이 파일이 세상 어느 곳에서도 본적이 없던 것을 보는 것"이라고 말했다.
게다가 안티바이러스 개발업체들은 악성코드 샘플링 공유에 있어 좀더 현명해지고 있다.
판다는 자체 경쟁업체들과 악성코드 샘들을 공유하고 있다. 그리고 판다 서버에 질의를 할 수 있도록 해놓았다. 이는 단지 새로운 악성코드 샘플만이 아니라 판다 스스로도 보지 못했던 것들도 파악할 수 있다. 콜론스는 "만약 판다가 악성코드 공유를 멈춘다면 시만텍 또한 공유를 중단할 것이다. 이는 고객들을 미치게 만든다"고 말했다.
대신 개발업체들은 악성코드 샘플링에 어떤 프로세스를 거치는지, 이 정보들을 어떻게 관리하는지, 어떤 방법으로 탐지하는 지에 대해 차별화에 나섰다. 트립와이어 보안 연구원 크레이그 영은 "이는 고객들이 다양한 안티바이러스 서비스를 받을 필요가 없다는 것을 의미한다"며, "그러나 개별 업체마다 사용자 관점에서 보여주는 시각화에서 차이가 있을 것"이라고 덧붙였다.
사용자들은 다양한 안티바이러스 소프트웨어가 자신의 엔드포인트 기기에서 동작하는 것을 원하지 않을 것이다. 그러나 이메일 서버에서 하나의 안티바이러스 소프트웨어를 통해 모든 이메일을 모니터링하고, 침입방지 시스템은 다른 안티바이러스 엔진을 사용할 지 모른다. 게다가 실제 각 컴퓨터들은 해킹을 통해 무용지물이 된 각각의 엔진을 갖고 있을 지 모른다.
사실 다른 안티바이러스 엔진들은 다른 보안 제품에 종종 탑재되기도 한다. 그래서 하나의 기업에 여러 개의 엔진이 돌아가고 있다.
콜론스와 영은 "그러나 안티바이러스 탐지는 충분치 않다. 기업들은 다양한 방어 전략이 필요하다"고 경고했다. 영은 "계층별 접근 방법으로 가는 것이 유일한 보안 방법이다"고 의견을 피력했다.
콜론스는 "모든 이들이 끊임없이 공격에 놓여있다. 중견, 대기업들은 이미 해킹을 당했다고 추정해야 한다. 누군가 이미 내부 네트워크에 잠입해있다고 생각해야 하며, 많은 경우 그건 이미 사실이다"고 경고했다. 그래서 기업들은 사전 방어 개념이 아닌, 그들의 시스템 내부에서 잠입해 있는 것, 즉 감염 사실을 발견하는데 도움을 주는 기술에 대한 투자가 필요하다. editor@itworld.co.kr