7·7 DDoS 공격 이후 초기에는 안티 DDoS 전용 솔루션이 인기를 끌었지만, 이후 DDoS 공격 발생시 우회 서비스 등에 대한 관심 증가와 함께 봇을 차단, 좀비PC를 제거함으로써 DDoS 공격 발생을 사전 차단할 수 있는 좀비PC 탐지·차단 솔루션에 대한 관심이 높아지고 있다. 특히 좀비PC 탐지·차단은 내부 보안 위협 제거 효과뿐 아니라 외부 DDoS 공격 이용에 내부 PC가 악용되는 것을 방지, 공익에 기여하는 순기능도 기대할 수 있다.
까다로운 악성봇 탐지
좀비PC 탐지·차단 솔루션의 원리는 공격자에게 조종되는 좀비PC의 원인인 봇을 집중적으로 탐지, 차단하는데 있다. 악성코드와 달리 봇은 탐지가 까다롭다. 봇 자체만을 놓고 보면, 악성여부를 쉽게 판별할 수 없기 때문이다. 봇은 프로그램의 대리자로 사용자의 의도에 따라 여러 역할을 수행한다. 검색엔진의 경우에도 봇을 이용해 웹상의 정보를 수집, 저장한 후 이를 검색시 알려주는 것이며, 가격비교를 위해 온라인 쇼핑몰을 돌아다니면서 상품의 정보를 수집하는 봇도 존재한다. 봇(bot)의 어원은 로봇으로, 사람의 일을 대신하는 로봇처럼 봇을 이용해 웹에서 사람이 수행해야 할 업무를 자동화해 편리함을 더하는 것이다.
하지만 봇을 악용하게 되면 얘기는 달라진다. 봇을 사용자 PC에 침투시킨 후 이를 이용해 사용자 PC의 통제권을 획득하는 것이 대표적으로 이렇게 봇이 침투, 공격자의 의도대로 원격 조종되는 PC가 바로 좀비PC다. 공격자는 이러한 봇을 활용해 다수의 PC를 감염시키고, 이렇게 조성된 봇넷을 통해 수많은 좀비PC를 원격조종해 특정 사이트나 시스템에 대량의 신호를 보내 장애를 유발하는 분산서비스거부(DDoS) 공격을 감행하거나 봇을 이용해 좀비PC의 중요 정보를 빼내는데 이용할 수 있다.
봇 감지 차단이 어려운 까닭은 바로 봇이 지닌 이러한 양면성 때문이다. 정상 프로그램의 에이전트 역시 일종의 봇으로 볼 수 있어 악성 활동을 수행하는 악성 봇만을 차단해야 하기에 봇의 탐지, 차단은 더욱 까다로운 문제가 된다. 나아가 봇 자체는 악성 활동을 전혀 하지 않을 수 있다는 점도 봇의 탐지를 어렵게 하는 요소다. 봇을 통해 추가적으로 악성코드 다운로드를 수행하도록 한다면, 시그니처 방식의 백신은 악성코드만을 감지하게 될 뿐 지속적으로 다른 악성코드를 받도록 하는 봇의 존재를 감지하지 못하는 경우도 발생할 수 있다. 또 최근에는 자동화된 툴에 의해 매번 다른 형태의 바이너리를 갖는 수많은 변종이 등장, 탐지를 더욱 까다롭게 만들고 있다.
PC단에서 악성코드를 차단할 수 있는 백신이 존재하고 있음에도 불구하고 좀비PC 탐지·차단 솔루션이 요구되는 이유는 이러한 악성 봇 탐지, 차단의 까다로움 때문이다. 악성 봇은 기존 바이러스, 웜 등의 악성코드와는 달리 시그니처 보안 기술을 우회해 은밀하게 공격자의 명령을 받아 공격을 유발하기에 트래픽 분석을 통해 이상행위를 감지, 차단하는 전용 솔루션이 요구되는 것이다.
DDoS 공격, 좀비PC 제거가 근본 해결책
최근에는 산업용 시스템을 공격할 수 있는 스턱스넷이 등장해 테러로 활용되는 사이버 공격 가능성을 높였지만, 스턱스넷 발견 이전에 사이버 테러로 활용될 수 있는 사이버 공격으로는 단연 대규모 DDoS 공격이 첫손에 꼽혔다. 특히 지난해 7·7 DDoS 공격은 사이버 공격이 사회적 혼란을 일으키는 사이버 테러의 가능성을 보여줬다는 측면에서 많은 시사점을 남겼다.
7·7 DDoS 공격 이후 국내 보안 시장에서는 DDoS 광풍이 전개됐다. 자사 시스템과 서비스 보호를 위해 공공은 물론 금융, 유통 등 다양한 분야에서 DDoS 공격에 대응할 수 있는 대응책 마련에 나서면서 2009년 하반기에는 “제품 소개에 ‘DDoS 공격 대응’이란 용어를 붙이지 않으면 영업이 안 된다”는 말까지 나돌았을 정도로 DDoS 공격 방어에 대한 열기가 높았던 것이다.
1차적인 수혜주는 바로 안티DDoS 솔루션이다. 기업 네트워크의 최전방에 위치해 정상 트래픽과 DDoS 공격 트래픽을 분류, 정상 트래픽만을 허용함으로써 DDoS 공격으로부터 서비스 안정성을 유지시킬 수 있는 전용 솔루션 시장이 급속히 확대된 것이다. 이와 더불어 DDoS 공격 발생시 우회경로를 제공해 서비스 안정성을 유지할 수 있게 하는 DDoS 우회 서비스도 주목받았다.
안티DDoS 솔루션 도입, DDoS 우회 서비스 등의 인기몰이는 DDoS 공격에 대한 대응수준을 마련하게 했다는 점에서 의미를 지닌다. 하지만 이 이면에는 아쉬움도 존재한다. 지나친 쏠림현상에 대한 우려와 안티DDoS 솔루션, 서비스만이 만연한 사이버 공격에 대한 근본적 해결책은 아니라는 점이 아쉬움의 배경이다.
실제로 DDoS 공격은 방어가 매우 까다롭다는 특징이 있다. DDoS 공격은 일반적으로 봇넷을 소유한 공격자가 실시간으로 하달하는 명령에 의해 좀비PC가 공격을 수행하게 된다. 즉 공격 대상이 해당 공격에 어떻게 반응하는지를 실시간으로 살피면서 공격 방법을 변화시킬 수 있는 것이다. 따라서 DDoS 공격 방어를 위해서는 안티DDoS 솔루션의 성능과 더불어 관리자의 운용 능력 또한 중요한 요소다. 더불어 회선 용량을 넘어서는 초대형 DDoS 공격은 안티DDoS 솔루션으로는 결코 해결할 수 없다. 만일 공격자가 수천만대의 좀비PC가 포함된 봇넷 소유자라면 회선 용량을 넘어서는 DDoS 공격을 통해 일순간에 사이트를 마비시킬 수 있다.
따라서 DDoS 위협을 줄이는 가장 근본적 방안은 DDoS 공격의 원천이 되는 좀비PC를 제거하는 것이라고 지적된다. 좀비PC의 수가 적어질수록 DDoS 공격은 위력을 잃게 되기 때문이다. 이러한 측면에서 봇을 차단해 좀비PC 발생을 방지하는 좀비PC 탐지·차단 솔루션의 등장과 확산은 분명 반가운 일이다.
|
좀비PC방지법 발의, 시장 확대 ‘청신호’ ‘좀비PC방지법’이 최근 국회 발의됐다. 국회 문화체육관광방송통신위원회에서 활동중인 한선교 의원(한나라당)은 ‘악성프로그램 확산방지 등에 관한 법률안’을 발의, 입법절차에 들어선 것이다. 좀비PC방지법의 발의로 좀비PC 탐지·차단 솔루션 등 관련 솔루션 벤더의 기대도 높아지고 있다. 좀비PC방지법이란, DDoS 공격 등 침해사고에 악용되는 좀비PC의 확산을 막기 위해 이용자 PC에 백신 등 보안 프로그램 설치·이용을 유도하고, 필요한 경우 인터넷 접속 제한 등의 긴급조치를 취할 수 있는 것이 골자다. 이는 일반 사용자에게 좀비PC의 위험성을 알릴 수 있을 뿐 아니라 인터넷접속 제한 등의 조치를 통해 자발적으로 PC 보안에 나서게 하는 효과를 줄 수 있을 것으로 기대된다. 우선 이를 구현하기 위해서는 네트워크에 접근하는 기기의 보안성을 검사, 격리조치를 취할 수 있게 하는 네트워크 접근제어(NAC) 솔루션이 요구될 것으로 전망되며, 좀비PC를 탐지, 차단하는 좀비PC 탐지·차단 솔루션의 시장 개화를 앞당길 수 있는 계기가 될 것으로 전망된다. 기업의 입장에서 업무 수행에 있어 IT가 밀접하게 연관된 오늘날 접속중단은 재앙이 될 것이기 때문이다 따라서 기업 시장에서 선제적 대응을 위해 좀비PC 탐지·차단 솔루션의 확대를 꾀할 수 있는 계기가 될 것이라는 기대다. |
공공시장 쏠림, 기업 인식전환 ‘절실’
좀비PC 탐지·차단 솔루션은 지난해 하반기부터 수요가 점차 증가하고 있다. 초기 안티DDoS 전용장비, DDoS 우회 서비스 등에 쏠렸던 시장 관심이 서서히 좀비PC 탐지·차단 솔루션으로 이동되면서 시장이 빠르게 성장하고 있는 것으로, 업계의 분석에 따르면 올해 좀비PC 탐지·차단 솔루션 시장은 100억원대 수준에 올라선 것으로 평가된다. 그리 크지 않은 시장 규모로 볼 수 있지만 2009년 하반기부터 본격적으로 시장이 형성되기 시작했다는 점을 고려하면 비교적 빠르게 시장을 형성하고 있는 것이다.
그러나 공공 분야에 지나친 쏠림현상을 보이고 있다는 점은 해결해야 할 과제다. 올해 좀비PC 탐지·차단 솔루션 시장의 80~90%는 공공 분야에서 발생했다는 것이 업계의 분석이다. 물론 새로운 위협에 대응하는 새로운 보안 솔루션 등장시 높은 보안성이 요구되는 공공에서 도입이 선도되고, 이후 보안성과 안정성, 도입 효과가 입증되면서 기업 시장으로 전개되는 것이 일반적인 모습이다. 하지만 좀비PC 탐지·차단 솔루션의 경우에는 이러한 현상이 향후 시장 확산의 걸림돌이 될 수 있다고 지적된다.
이는 좀비PC 탐지·차단 솔루션이 지닌 공익적 성격 때문이다. 좀비PC 탐지·차단 솔루션이 강력하게 대두된 배경은 DDoS 공격 때문이다. 하지만 안티DDoS 전용 솔루션과 달리 좀비PC 탐지·차단 솔루션은 DDoS 공격 발생시 대상 기업의 피해를 직접적으로 막아주는 성격의 솔루션은 아니다. DDoS와 연결지어 생각하면 앞서 언급했듯 좀비PC 탐지·차단 솔루션의 역할은 봇을 차단, 기업내 좀비PC를 줄임으로써 기업의 리소스가 사이버 공격에 악용되지 않도록 하는 것이다. 이는 전사회적으로 볼 때 DDoS 공격의 위력을 감소시킴으로써 공익에 기여하게 된다. 이에 내부 보안 강화는 물론 전사회적으로 DDoS 공격 피해를 감소시키기 위해 공공기관에서는 좀비PC 탐지·차단 솔루션 도입에 나서고 있는 것이다.
기업의 입장은 다르다. 솔루션 도입 비용과 운용 비용을 고려하면 좀비PC 탐지·차단 솔루션의 비용은 적지 않다. 하지만 이러한 비용을 들여 도입한 솔루션이 자사에 대한 DDoS 공격시 별다른 이점을 주지 못한다면 기업의 입장에서 도입은 쉽지 않다. 기업 역시 공익과 사회적 의무를 생각하지 않는다고는 말할 수 없으나, 이익 창출이 절대과제인 기업의 입장에서 볼 때 DDoS 이슈로 좀비PC 탐지·차단 솔루션 도입을 고려하는 것은 결코 합리적인 판단이 될 수는 없다. 내부 리소스의 악용을 막는다는 측면에서의 효과는 있으나, DDoS의 타깃이 될 때 실질적인 차단 효과를 주지 않기에 DDoS 이슈와 연관짓는다면 도입에는 물음표가 따라붙게 된다.
내부로부터의 DDoS 공격 차단의 효과가 있는 L2 보안 스위치의 경우에도 DDoS 이슈와 관련한 수요 증가를 기대했던 DDoS 이슈가 시장 확산의 요소로 작용하지 못했다. L2 보안 스위치와 마찬가지로 좀비PC 탐지·차단 솔루션 또한 기업 시장에서는 DDoS 이슈가 주는 효과는 크지 못했던 것이다. 하지만 기업은 시각을 달리 할 필요가 있다고 지적된다. 좀비PC의 문제는 단지 DDoS 공격에 그치는 것이 아닌 까닭이다. 대형 봇넷에 공격 명령을 하달, 특정 사이트를 대상으로 사이버 공격을 수행하는 DDoS 공격은 공격자에 의해 원격 조종되는 좀비PC가 발생하는 수많은 문제 중 하나일 뿐이다.
좀비PC 탐지·차단 솔루션은 공격자에 의해 조종되는 좀비PC를 유발하는 원인인 봇을 차단하는 것으로 안티봇넷 시스템이라고 말할 수 있다. 일단 봇이 침투하게 되면 공격자의 의도대로 시스템이 조종돼 DDoS 공격을 수행함은 물론 각종 정보유출, 악성코드 감염으로 인한 네트워크 안정성 저하 등의 다양한 문제를 유발할 수 있다. 즉 봇이 유발하는 다양한 보안 위협을 고려한다면, 안티봇넷 시스템으로써 역할이 충분하며, 이를 고려한 기업의 인식전환이 절실한 것이다.
파로스네트웍스·트렌드마이크로, 시장 선도
좀비PC 탐지·차단 솔루션, 혹은 악성 봇 탐지·차단 솔루션을 국내에 부각시킨 것은 바로 파로스네트웍스가 공급하는 ‘파이어아이 봇월’이다. 파로스네트웍스는 7·7 DDoS 발발보다 이른 2008년부터 국내 시장에 안티봇넷 전용 솔루션의 필요성을 역설하면서 파이어아이 봇월을 소개, 좀비PC 탐지·차단 솔루션 시장을 개척해 왔다.
파이어아이 봇월의 가장 큰 특징은 가상화다. 이상 트래픽 감지 엔진을 통해 의심스러운 트래픽을 분류한 후 이를 파이어아이 봇월에 탑재된 가상머신에서 재현함으로써 보다 정확하게 악성 봇을 판별할 수 있는 것이다.
파이어아이 봇월을 국내 독점 공급하고 있는 파로스네트웍스의 황항수 사장은 “변종이 다양하고, 탐지가 어려운 봇은 오탐이 가장 큰 문제”라면서 “파이어아이 봇월은 장비 내부에 12개의 가상 OS인 버추얼 피팅 머신을 통해 의심 트래픽을 적용, 검사하기 때문에 보다 정확한 분석을 통해 오탐을 최소화한다”고 강조했다.
파이어아이 봇월은 정부통합센터를 비롯해 한국인터넷진흥원(KISA)의 인터넷침해대응센터, 전국 시도 경찰청 등 주요 공공기관의 DDoS 대응 프로젝트의 일환으로 구축되면서 좀비PC 탐지·차단 솔루션 시장을 선도하고 있음을 보여줬다. 또 기업 시장에서도 SK텔레콤, 삼성그룹 등에 구축하는 성과를 이뤄냈으며 금융결제원을 비롯해 보험사 등 금융권에서도 구축이 확산되고 있다.
좀비PC 탐지·차단 솔루션 시장을 개척했다는 평가를 받고 있는 파이어아이 봇월의 뒤를 바짝 쫓고 있는 것은 트렌드마이크로다. ‘TMS’ 출시를 통해 좀비PC 탐지·차단 솔루션 시장에 뛰어든 트렌드마이크로는 교육과학기술부, 경남도청, 한국전력, 코스콤 등에 솔루션 공급에 성공하면서 좀비PC 탐지·차단 솔루션 시장의 강자로 뛰어올랐다. 특히 시장 포화와 경쟁 심화로 성장이 답보상태에 있는 백신 시장을 대체할 수 있는 새로운 성장 동력으로 좀비PC 탐지·차단 솔루션 시장을 설정하고, 본사 차원의 적극적인 지원이 이뤄지고 있다는 점도 트렌드마이크로 TMS의 전망을 밝게 하는 부분이다.
트렌드마이크로 TMS의 장점은 엔드포인트 치료가 가능하다는 점이다. 중앙의 시스템에서 봇에 감염된 좀비PC가 발생하는 이상트래픽을 감지하면, 이를 즉시 엔드포인트에 설치된 TMS 에이전트로 전달해 엔드포인트의 치료까지 수행함으로써 악성 봇을 신속히 제거하게 되는 것이다. 트렌드마이크로의 클라우드 보안센터와 연계해 이상 트래픽을 신속히 분석, 시그니처를 신속하게 제작, 배포할 수 있다는 점도 TMS의 장점이다.
TMS의 단점으로 꼽히는 것은 복잡한 구성이다. 엔드포인트 기기에 에이전트 설치가 필요해 관리 포인트 증가에 대한 관리자의 우려와 사용자 반발을 가져올 수 있는 것. 또한 단일 어플라이언스 형태가 아닌 탐지, 분석 등을 다양한 장치로 구성된다는 점도 단점으로 꼽을 수 있다.
천국진 한국트렌드마이크로 과장은 “단일 어플라이언스에 비해 구성이 복잡하고, 에이전트 설치에 의한 부담도 가질 수 있지만, 이는 보다 철저한 분석과 오탐 방지를 위한 필수적인 요소로 특히 자동 치료를 통해 이를 상쇄하는 이점을 가져다 준다”며 “에이전트의 경우에도 유휴 상태에 있다가 봇 발생시에만 치료를 위해 동작함으로써 관리 부담은 그리 크지 않다”고 설명했다.
이어 최 차장은 “무엇보다 백신 시장에서 축적한 트렌드마이크로의 기술력이 응축된 트렌드마이크로 클라우드 보안센터와의 연동을 통해 실시간으로 봇에 대한 완벽한 방어를 갖추게 하는 것은 트렌드마이크로 TMS만이 갖는 특징”이라고 강조하면서 “SMB 시장을 겨냥, 올인원 형태의 ‘TMS 좀비가드’도 출시, 복잡한 구성과 비용에 부담을 느끼는 중소기업의 애로사항도 해소시켰다”고 덧붙였다.
파이어아이 봇월과 트렌드마이크로 TMS 등 글로벌 솔루션이 시장을 선도하고 있지만, 국내 기업의 도전도 거세다. 모젠소프트, 이세정보통신은 각각 ‘프리가드’와 ‘헤제크’를 선보이면서 좀비PC 탐지·차단 솔루션 시장 공략에 나서고 있다.
모젠소프트의 프리가드는 특허 출원중인 IP변조 차단 기능이 특징인 솔루션으로 공격 발생 근원지를 속이기 위한 IP변조를 원천적으로 탐지·차단할 수 있는 장점이 있다. 또한 P2P 등의 유해 프로세스 제어 기능, 유해 사이트에 대한 블랙리스트를 만들어 접속을 금지하는 URL 필터링 기능 등을 탑재해 활용도가 높은 점도 특징이다. 모젠소프트는 콤텍씨엔에스와 프리가드 총판 계약을 체결, 본격적인 시장 확대에 나서 점유율을 끌어올린다는 방침이다.
충남대학교 공급으로 존재를 알린 이세정보의 헤제크는 단일 어플라이언스에서 탐지와 분석을 모두 수행하는 솔루션으로 시그니처 없이 행동기반으로 유해 프로그램을 검출하고 차단하는 특징이 있다. 또한 악성코드로 의심되는 파일을 수집, 분석해 제로데이 공격을 예방할 수 있으며, PC영역에서의 분석도 가능하다.
SWG, 활용도 장점으로 시장 공략 ‘고삐’
파이어아이 봇월, TMS 등 전용 솔루션이 주목받고 있지만, 기업의 경우에는 시큐어 웹 게이트웨이(SWG)도 고려할 수 있다. SWG의 경우, 악성 봇 탐지·차단뿐 아니라 악성코드 차단, 스팸 차단 등의 기능을 제공해 보다 활용도가 높기 때문이다. 비용효율성을 최우선 가치로 두는 기업의 입장에서는 SWG 솔루션이 보다 더 매력적일 수 있다.
SWG란, 기존 방화벽이나 침입탐지시스템(IPS)과 같이 게이트웨이 단에 자리하면서 기업 내부로 들어오는 인바운드 트래픽을 검색, 악성코드, 스팸 등 불법 트래픽을 방지하는 역할을 수행하는 솔루션이다. 특히 오늘날 웹을 통한 위협이 높아지면서 SWG 도입이 요청되고 있어 SWG에서 제공하는 악성 봇 차단 기능을 통해 좀비PC의 위협을 최소화하는 방안을 고려할 수 있는 것이다.
SWG를 통해 좀비PC 탐지·차단 시장을 공략하고 있는 대표적인 기업은 바로 시만텍이다. 시만텍은 자사의 SWG 솔루션인 ‘시만텍 웹 게이트웨이’에 콜홈(Call Home) 패턴에 대한 ‘네트워크 핑거 프린트’를 제공해 봇에 의한 좀비PC 발생을 차단하도록 함으로써 이 시장에 대응하고 있다. 콜홉이란 공격자의 외부 명령제어(C&C) 서버와 감염된 좀비PC 사이의 통신을 의미한다. 즉 좀비PC와 공격자간의 연결을 끊음으로써 내부 좀비PC가 악성활동에 이용되지 않도록 하는 것이다.
시만텍은 대기업, 공공, 교육 등 약 7개의 구축사례를 확보하면서 SWG의 시장 확산에 나서고 있다. 특히 SWG 솔루션의 경우, 좀비PC를 실질적으로 무력화함은 물론 악성코드 차단 등 다양한 웹 위협으로부터 포괄적 보호를 제공하는 이점이 있어 비용효율적인 보안 방안을 강구하는 기업 등에서 관심이 높다는 것이 시만텍코리아 측의 전언이다.
홍진천 시만텍코리아 차장은 “시만텍 웹 게이트웨이는 핑거프린팅을 통해 효과적으로 악성 봇을 비롯한 다양한 웹 위협에 대응하게 할 뿐 아니라 의심/활동중 등으로 구분된 리포트를 제공해 가시성을 확보할 수 있도록 하는 장점도 제공한다”고 강조했다. 홍 차장은 “봇 감염이 의심되는 엔드포인트 기기를 격리, 치료 사이트로 유도하는 일종의 NAC 기능도 제공할 수 있는 점도 시만텍 웹 게이트웨이의 이점”이라고 덧붙였다.
시만텍은 통합 보안 제공이라는 관점에서 SWG를 발전시킴과 동시에 이를 통한 통합의 이점을 고객에게 제공한다는 방침이다. 이러한 관점에서 엔드포인트 통합 보안 솔루션인 ‘시만텍 엔드포인트 프로텍션(SEP)’과 SWG의 연동을 추진한다는 계획을 갖고 있다. 이러한 연동이 완성되면, 네트워크단에서의 웹 위협 차단과 엔드포인트단에서의 보호를 통해 사이버 위협에 보다 효과적인 대처는 물론 SEP에 통합된 NAC 기능을 활용해 보다 정교한 보안 정책 수립과 이행까지 가능할 것으로 기대된다.
SWG 시장에서도 다양한 솔루션이 존재하지만, C&C 서버와 좀비PC간 콜홈 차단 기능을 제공하면서 좀비PC 차단 시장에 적극적으로 접근하고 있는 벤더는 시만텍이 유일하다. 하지만 악성 봇과 좀비PC의 위협이 높아질수록 SWG에서도 좀비PC에 대응할 수 있게 하는 기능이 속속 추가될 것으로 예상된다.
오탐 방지, 기술력 관건
좀비PC 탐지·차단을 둘러싼 경쟁이 뜨거워지고 있는 가운데 향후 경쟁우위를 가늠할 키는 역시 기술력이다. 특히 봇은 탐지가 어렵다는 특성이 있어 오탐 없는 탐지가 무엇보다 중시된다. 즉 공급기업의 보안 기술력이 어느 분야보다 강조되는 시장인 것이다.
예를 들어 행위기반 기법만을 적용한다면 오탐으로 인해 많은 문제를 발생시킬 수 있다. 외부와 통신하고, 파일을 다운로드받는 행위를 한다고 해서 모두 악성 봇은 아니기 때문이다. 백신 에이전트도 업데이트를 위해 현재 악성코드 DB 버전을 중앙 서버로 전송하고, 새롭게 업데이트된 시그니처를 전달받게 된다. 즉 외부와 통신하고, 다운로드받는 행위를 기준으로 악성 여부를 판별한다면 백신 업데이트를 중단시켜 더욱 큰 문제를 야기할 수 있는 것이다. 오늘날 복잡한 IT 환경에서 이러한 경우는 백신 외에도 수없이 많이 존재한다.
따라서 공급업체의 보안 기술력이 중시되는 것이다. 트렌드마이크로, 시만텍 등 전통적 보안 벤더가 강조하는 부분은 바로 이 사항이다. 오랜 기간 보안 시장에서 활동하면서 악성코드뿐 아니라 정상 프로그램에 대한 다양한 데이터베이스를 축적하고, 전세계 기업과 공조체제를 구축하고 있어 이를 기반으로 오탐 가능성을 줄일 수 있다는 것이다. 특히 트렌드마이크로는 클라우드 기술을 접목, 의심 트래픽을 자사의 클라우드 보안센터로 전송, 분석함으로써 정확한 탐지와 차단이 가능하다는 점을 내세운다.
이에 대해 파이어아이 봇월은 8개의 특허기술이 적용된 버추얼 피팅 머신에서의 검증을 통한 오탐방지 기능과 더불어 안티봇넷 전문업체로써 축적된 기술력을 내세운다. 모젠소프트 등의 국내 기업은 국내 환경에 맞춤화된 커스터마이징과 다양한 국내 기업과의 공조 우위를 강조하고 있다.
7·7 DDoS 공격이 남긴 교훈은 보다 완벽한 보안을 구현하기 위해서는 지속적 관심과 더불어 취약점을 보완하려는 노력이 요구된다는 점이다. 또 이러한 노력에는 전사회적인 공조도 뒷받침돼야 한다는 점도 7·7 DDoS 공격이 남긴 교훈이라고 할 수 있다.
좀비PC는 DDoS 공격의 원천이 된다는 점에서 반드시 막아야 할 요소다. ‘나’만이 아닌 ‘우리’ 모두를 위협할 수 있다는 점을 생각해 공익적 관점에서 우선적인 대응이 필요한 것이다. 더불어 좀비PC는 단순히 DDoS 공격만이 아닌 정보 유출 등 다양한 보안 사고를 일으키는 원인이 된다는 점도 명심해야 할 부분이다. ‘나’의 입장에서도 좀비PC화되는 것은 공격자에게 PC의 통제권을 넘겨준다는 점에서 각종 사이버 위험에 노출되게 되는 것이다. 좀비PC에 대한 보다 적극적인 대응이 요구된다.
