이러한 공격자와 보안 업체 간의 이러한 쫓고 쫓기는 추격전 양상은 악성코드 출현 초기부터 현재까지 계속되는 현상이다. 나아가 최근에는 사이버 공격 횟수가 기하급수적으로 늘어나고 있으며, 수법도 점차 지능적·복합적으로 진행되고 있다는 측면에서 보안 업체를 더욱 어렵게 하고 있다.
하루에도 수천, 수만 개의 악성코드가 생성됨으로써 공격자들이 만들어내는 신종 악성코드 수와 보안 업체들이 처리하는 시그니처 수의 격차는 좀처럼 좁혀 들지 않고 있으며, 오히려 그 간격이 점차 커지고 있는것이 오늘날의 현실이다.
따라서 오늘날에는 이와 같은 사이버 공격을 사람의 힘으로 대응하는 것은 불가능하며, 자동화된 방식으로 신속하게 대처하더라도 불충분하다고 평가된다. 기하급수적으로 증가하는 강력한 사이버 공격에 대처하기 위해 사전에 이를 방어할 수 있는 적극적인 방어 기술이 요구되는 것이다.
급증하는 공격, 기존 기술 한계 노출
매시간 수백에서 수천 개의 신종 악성코드를 처리함에도 불구하고, 점점 더 많은 변종 악성코드가 만들어지고 있어 기존에 악성코드를 수집하고, 분석하고, 엔진에 포함시키는 일련의 작업들 만으로는 모든 악성코드를 처리할 수 없게 된 것이 오늘날의 현실이다. 이에 많은 안티바이러스 업체들이 이러한 악성코드에 대항해 진단율을 높이기 위해 시그니처 기반의 블랙리스트(Blacklist) 방식 이외에도 휴리스틱 디텍션(Heuristic Detection), 프로액티브 프리벤션(Proactive Prevention), 샌드박스(Sandbox) 등의 다양한 기법을 사용하고 있다.
하지만 이러한 방식은 안티바이러스 솔루션이 설치되는 PC 환경의 다양성, PC 사양의 제한, 업데이트 관리, 그리고 오진 등의 이슈로 인해 범용적으로 사용하기에는 한계를 지님을 부인할 수 없다. 또한 진단 개수 증가는 엔진 사이즈 증가와 더불어 검사 속도 증가 및 더 많은 메모리 사용을 필요로 하며, 그만큼 오진의 가능성을 높이고 있다.
과거와 달리 이제는 단 한 시간 업데이트가 지연돼도 수 천 개 이상의 신종 악성코드에 감염될 위험에 노출되는 상황에서 가장 우선적으로 적용된 것은 업데이트 주기를 단축하는 방법이다. 현재 대부분의 업체에서 하루에 한번 이상, 또는 매시간 단위로 시그니처 업데이트를 제공하고 있는 중이지만, 이러한 업데이트 주기 변경 만으로는 현재의 이슈를 해결하는 것은 불가능하다.
더불어 시그니처 수의 증가는 엔진 사이즈의 증가를 동반하고 있다. 과거 18개월간 대부분의 안티바이러스 솔루션들의 엔진 사이즈가 두 배로 증가됐으며, 심한 경우에는 3배까지도 증가했다. 또 엔진 사이즈가 커지고, 업데이트 빈도가 늘어남에 따라 업데이트 사이즈도 기하급수적으로 증가하고 있다.
이처럼 기존의 방식만으로는 악성코드의 위협으로부터 100% 안심할 수 있다고 얘기하기가 힘든 상황에서 기존 악성코드 대응 방법을 보완할 수 있는 새로운 방식이 속속 소개되고 있다. 안철수연구소가 클라우드 컴퓨팅 개념을 도입해 소개한 악성코드 대응기술과 이를 이용한 새로운 룰 기반 진단법도 고도화된 보안 위협에 대응하기 위한 방법이다.
클라우드 컴퓨팅 개념을 도입한 악성코드 대응 기술은 기존에 악성코드에 대한 모든 데이터를 PC로 다운로드한 후 PC에서 처리하던 방식과 달리 클라우드 컴퓨팅 개념을 이용한 새로운 기술이다. 즉, 대규모 파일 DB를 중앙서버에서 관리하며, PC에 설치돼 있는 백신에서 파일의 악성여부에 대해 문의하면 이에 대해 응답을 해주는 방식이다.
클라우드 컴퓨팅 개념을 도입한 악성코드 대응 기술은 우선 PC에 설치된 백신을 통해 파일의 액세스가 발생하면 해당 파일의 고유한 특징을 추출한 데이터인 파일DNA를 클라우드 센터로 전송하고, 클라우드 센터에서는 질의한 파일DNA 유형을 확인하고, 악성코드인지 정상파일인지 확인해 알려주는 방식을 작동한다.
클라우드 센터는 파일DNA 정보를 토대로 평판시스템 분석, 파일의 활동 동향 분석, 행위기반 활동 분석, 파일간 관계 분석 등 다양한 기술을 이용해 파일의 정상 또는 악성 여부를 판단하고, 이를 DNA 데이터베이스로 관리하기에 백신의 요청에 대한 정확하고 신속한 답변을 줄 수 있다는 이점을 제공한다. 2010년 12월 현재 안철수연구소의 클라우드 컴퓨팅 기술을 도입한 악성코드 대응 기술이 적용된 클라우드 센터 내 DNA 데이터베이스에는 1억 6000만개 이상의 정상/악성 파일 정보가 보관돼 있으며, 매월 1000만~2000만개 이상의 새로운 정보가 추가되고 있다.
또 안철수연구소가 새롭게 개발한 룰 기반 진단법은 인간의 DNA 맵을 그리는 게놈 프로젝트와 같이 클라우드 센터가 보유하고 있는 1억6000만개의 정상/악성 파일의 고유한 특징을 분류하여 인간의 DNA 맵과 같이 파일 DNA 맵을 구성, 신종 및 변종 악성코드를 진단하는 기술로 ▲클라우드 센터가 보유하고 있는 악성/정상 파일DNA의 고유한 특징을 분류해 DNA 맵을 구성한 후 ▲DNA 맵의 구성 중 악성코드만이 가지고 있는 특징들을 추출, 새로운 악성코드 진단 룰을 생성 ▲새롭게 생성된 룰을 클라우드 센터가 보유하고 있는 모든 파일DNA에 대입해 오진 가능성 여부를 테스트한 후 ▲PC에 설치된 백신 엔진 업데이트 시 검증된 룰을 함께 제공하여 진단하는 방식으로 제공된다.
신개념 악성코드 대응 기술 효과
새로운 개념의 악성코드 대응 기술을 사용할 경우, 앞서 언급한 안티바이러스 대응 기술의 한계점을 해결할 수 있다. 클라우드 컴퓨팅 개념을 도입한 악성코드 대응 기술의 경우, 기존에 사용자에게 일방적으로 악성코드 패턴 DB를 내려 검사/치료하는 방식이 아닌 사용자와 클라우드 센터간 양방향 통신을 통해 악성 여부를 판단함으로써 보다 정확한 악성코드 대응 및 악성코드 활동 패턴의 분석이 가능하게 되는 것이다.
예를 들어 새로이 나타난 악성코드의 전파 속도가 어떠한지, 어떤 악성코드에 가장 많이 감염되고 있는지 등 기존에 파악하기 힘들었던 위협 상황을 데이터를 통해 한눈에 확인할 수 있어 기존에 분석가 또는 관리자의 감에 의해 진행되었던 악성코드 대응 업무를 정확한 데이터를 기반으로 우선 순위를 매겨 대응할 수 있는 것이다. 이는 동일한 업무를 수행하더라도 우선 순위를 가지고 악성코드에 대응함으로써 보다 효과적인 대응을 할 수 있는 이점을 제공한다.
DDoS 공격 대응에도 효과적이다. DDoS공격을 위한 봇의 경우 활동을 하기 전까지는 해당 파일에 대한 악성코드 여부를 판단하기는 아주 어렵다는 특징이 있다. 하지만 클라우드 컴퓨팅 개념을 도입한 악성코드 대응 기술은 정상적인 인터넷 접속이 아닌 특정 파일이 특정 시간대에 갑자기 트래픽을 증가시키고, 이것이 많은 사용자들에게서 동시 다발적으로 발생한다면 DDoS 공격일 확률이 높다고 판단하여 별도로 관리하도록 돼 있어 사후 처리만 가능했던 DDoS 방어를 한 단계 업그레이드해 DDoS 공격 초기에 대응할 수 있는 방안을 제공할 수 있는 이점을 줄 수 있다.
파일 DNA 맵을 이용한 룰 기반의 진단법은 악성코드들이 보유하고 있는 악성 DNA만 추출, 이를 패턴화하고, 이와 동일한 DNA를 가지고 있는 파일을 악성코드로 분류하는 엔진을 기존 안티멀웨어 엔진과 함께 업데이트해 진단함으로써 ▲신종 악성코드에 대한 사전 대응 문제 ▲엔진 사이즈 증가 이슈 등을 해결할 수 있다. 또 수억 개의 정상 파일 DNA와 매칭한 후 이상이 없을 경우에만 배포되기에 오진률을 획기적으로 낮출 수 있다.
악성코드 제작이 리스크가 적은 쉬운 돈벌이 수단이 되면서 많은 범죄조직이 악성코드 제작에 달려들어 점점 고도화되고 수많은 변종을 양산하고 있다. 특히 수적으로 이전에는 상상도 못할 정도의 엄청난 양의 악성코드가 생성되고 있다.
따라서 이제는 더 이상 기존의 개념에서 벗어나 새로운 접근 방법이 필요한 시점이다. 새로운 개념인 클라우드 컴퓨팅 개념을 도입한 악성코드 대응 기술과 룰 기반 진단법이 악성코드의 폭발적 증가와 복합적 공격 양상으로 변화하고 있는 현 상황에서 사용자들에게 좀더 안전한 컴퓨팅 환경을 조성해줄 것으로 기대한다.
