[디지털데일리 이민형기자] 지난 5월 브라이언 다이(Brian Dye) 시만텍 정보보호 수석부사장은 “백신은 죽었다(Antivirus is dead)”는 발언으로 IT업계의 이목을 끌었다. 사후조치 솔루션인 백신으로는 악성코드를 탐지·차단하는데 한계가 있을 수 밖에 없다는 주장이었다.

악성코드 분석 사이트인 바이러스토탈(Virus Total)에 따르면 1개의 제로데이(Zero-Day) 취약점을 통해 100~200여개의 변종 악성코드가 유포되지만, 악성코드 차단을 위해 가장 많이 사용되는 백신의 탐지율이 50%에도 미치지 못하는 것으로 알려져 있다.

이로 인해 백신이 아닌 새로운 엔드포인트 보안솔루션이 필요하다는 지적이 나오고 있다. 지능형지속가능위협(APT), 제로데이 취약점 등 백신이 잡아내지 못하는 것을 탐지하기 위해서다.

김동우 이글루시큐리티 선행기술연구소장은 “악성코드 숫자의 전쟁에서는 공격자들이 방어자들을 상회하고 있는 상황이기 때문에 새로운 방어전략을 세울 필요가 있다”며 “앞으로는 시그니처 방식으로 악성코드를 탐지·치료하는 것이 아닌 행위기반 탐지기술을 통해 각종 소프트웨어의 취약점 공격 행위를 탐지·차단하는 기술이 유효할 것”이라고 주장했다.

이글루시큐리티는 지난달 악성코드 탐지 솔루션 ‘아이에스 키모(IS-KIMO, 키모)’를 출시했다. 키모는 ‘SAR(Stop-Analysis-Response)’이라는 개념을 기반으로 개발됐다.

SAR이란 악성코드의 활동을 중단시키고(Stop), 이를 심층적으로 분석한 뒤(Analysis), 악성코드의 정보를 다른 시스템에 전파하는(Response) 절차를 뜻한다.

SAR 전략에 따라 키모는 악성코드 유포 경로로 가장 많이 이용되는 국내외 상용 소프트웨어와 응용 프로그램의 취약점을 사전에 탐지 및 차단함으로써 사용자 PC의 악성코드 유입을 원천적으로 차단할 수 있다는 것이 회사측의 주장이다.

김 소장은 “기존 백신, 침입탐지시스템(IDS), 침입방지시스템(IPS) 등에서 통상 사용하는 시그니처 또는 블랙리스트 방식으로는 제로데이 공격을 막을 수가 없다. 제로데이는 SW패치도 만들어지지 않은 상태에서 들어오는 공격이기 때문”이라며 “키모는 취약한 SW를 보호해주는 방어모델을 엔진을 탑재해 제로데이 공격 발생 여부를 모니터링하고 이를 탐지하고 차단할 수 있다”고 설명했다.

또 키모는 악성코드가 실행될 때 이를 차단하는 실행감지엔진과 백신처럼 실행은 되지 않았지만 악성코드가 삽입된 파일을 탐지하는 스마트엔진이 모두 탑재됐다. 이른바 듀얼엔진이다.

듀얼엔진의 경우 아래아한글 문서를 비롯해, 마이크로소프트 오피스, 어도비 리더 문서를 모두 탐지할 수 있다. 특히 취약점 공격코드의 패턴에 상관 없이 다양한 공격을 실시간 방어하도록 설계된 것이 특징이다.

김 소장은 인터뷰 도중 바이러스토탈에서 5% 미만의 탐지율을 보이는 악성코드를 실제로 시스템에 침투시키는 시연도 진행했다. 시연에 사용된 취약점은 CVE-2014-0515로 이를 악용한 악성코드는 약 100여개에 달한다.

악성파일을 키모가 설치된 PC에서 실행시킨 즉시 해당 SW의 동작이 정지됐으며 이에 대한 리포트가 도출된다. 사용자나 관리자는 해당 파일에 대한 정보를 리포트를 통해 알 수 있게 된다.

김 소장은 “키모는 SW의 메모리 영역을 보호한다. 코드 영역과 데이터 영역을 구분해서 감시하고 이 부분에 대한 공격이 일어나는지를 상시 모니터링하게 된다”며 “이러한 특징으로 가상환경에서 동작하지 않는 악성코드에 대한 탐지도 가능하다”고 설명했다.

키모에도 단점은 있다. 악성파일에 대한 탐지는 가능하지만 이를 치료할 수는 없기 때문이다. 가령 업무에 사용되는 파일에 악성코드가 삽입돼 있을 경우 이를 열람할 수 있는 방법은 없다. 하지만 악성코드에 의한 피해를 사전에 예방한다는 측면에선 가장 안전한 방법이라고 할 수 있다.

이글루시큐리티는 향후 이런 부분을 해소할 수 있는 새로운 기술을 개발할 계획이다. 단 백신과는 다른 형태의 솔루션이 될 것으로 보인다.

이와 관련 김 소장은 “키모와 백신을 통합할 경우 시너지는 예상되나 백신 사업에 뛰어들 생각은 없다”며 “백신의 한계점을 극복할 수 있는 기술을 개발해 키모에 적용할 것”이라고 말했다.

한편 이글루시큐리티는 자사의 ESM, SIEM을 사용 중인 고객사를 대상으로 키모에 대한 프로모션을 진행할 계획이다.

<이민형 기자>kiku@ddaily.co.kr