시만텍, 왜 평판기반 보안을 외치나

[도쿄(일본)=김우용 기자]시만텍이 평판 기술을 대폭 강화한 통합보안솔루션 ‘시만텍 엔드포인트 프로텍션12’을 공개했다. 시만텍은 '엔드포인트 프로텍션12'를 통해 기존 시그니처 기반 보안의 한계를 보완하기 위해 평판과 행동기반 보안 기술을 대폭 강화했다. 변화하는 엔터프라이즈 보안시장에서 주도권을 확보하려는 행보다.

운메시 데시무크 시만텍 아태지역 엔드포인트보안 영업담당 이사는 16일 기자와 만나 “'엔드포인트 프로텍션12'는 시장 판도를 바꿀 만한 획기적인 제품”이라고 치켜세웠다. 그는 이 솔루션이 스턱스넷같은 새로운 형태의 사이버 공격 위협과 클라우드 컴퓨팅, 가상화같은 새로운 IT트렌드를 위한 최적의 솔루션임을 거듭 강조했다.‘시만텍 엔드포인트 프로텍션12’는 그동안 시만텍이 쌓아온 시그니처 기반 보안과 함께 실제 사용자들의 파일정보를 모아 수립한 평판보안기술, 행위기반 보안탐지 기능을 녹여낸 솔루션이다. 평판보안기술은 날이 갈수록 정교해지는 보안 공격과 자동으로 변종을 생성하는 악성코드의 확산을 막기위해 해결책으로 내놓은 것이라고 시만텍은 설명했다.

과거 악성코드가 동일 코드에 기반해 대규모로 배포되는 형태를 띄었다면, 최근 악성코드는 특정 목표를 겨냥하는 방향으로 바뀌고 있다. 소품종 대량생산에서 다품종 소량생산으로 산업 패러다임이 바뀐것과 비슷한 맥락이다. 하루에 생성되는 악성코드 개수가 많아지면서, 이를 막기는 더 힘들어졌다. 보안업체가 일일이 시그니처를 만들어 대응하는 것으로는 한계가 있을 수 밖에 없다.

시만텍은 사용자들의 파일정보를 모아 점수를 매기고 사용자에게 위협정도를 보여주는 평판 방식을 도입한 것도 바로 이 때문이다. 인사이트로 명명된 이 기술은 5년간 1억7천500만대의 시만텍 사용자 PC로부터 파일 생성시기, 사용빈도 및 패턴, 저장위치 등을 모아 분석한 시스템이다. 시만텍은 현재까지 25억건의 파일을 수집했으며 매주 3천100만건의 새로운 파일이 추가된다.

생성 시점이 최근임에도 사용빈도가 1회정도에 불과한 파일의 경우 변종 악성코드일 수 있다는 식으로 평판 정보를 제공하게 된다. 파일 설치 전 사용자에게 '알려지지 않은 악성코드'일 가능성을 제시해 미연에 위험을 방지하는 효과를 노린 것이다.

이같은 평판 기반 기술을 이용하면 얻게 되는 이점은 크게 두가지다. 우선, 맨처음 파일 스캐닝을 하고 난 후 평판이 좋은 것으로 분류된 파일은 이후 스캐닝에서 제외된다. 화이트리스트 작성으로 볼 수 있다.

여기에 휴리스틱, 행위기반 기술을 더한 3세대 행동기반 엔진 SONAR3, 시그니처 기법을 더하면 시스템 성능을 극대화하면서 스캔 속도를 줄이는 효과를 얻을 수 있다는 게 회사 측 설명이다.

운메시 데시무크 이사는 “시만텍이 구축한 평판DB를 바탕으로 1차 검색을 거친 후 2차, 3차 스캐닝은 검사 대상을 더 줄이게 된다”라며 “최대 70%까지 스캐닝 속도를 줄일 수 있기 때문에 안티바이러스 실행 시 발생하는 시스템 지연을 방지할 수 있다”고 설명했다.

가상화 환경에 최적화된 지원 기능도 강화됐다. ‘시만텍 엔드포인트 프로텍션 12’는 가상 머신(VM) 간 인사이트 정보 캐시를 통해 불필요한 시스템 또는 중복되는 시스템 스캔 작업을 최소화한다.

운메시 데시무크 이사는 “가상화 환경은 한 서버내에서 다양한 VM이 돌아가기 때문에 보안 측면에서 어려운 점이 많다”며 “실제 업무용 VM과 별도로 캐시용 인스턴스를 생성한 후 검사하지 않는 파일 정보를 공유하는 것으로 가상화 시스템 스캔 작업을 최소화시킨다”고 설명했다.

또한 VM별로 스캔과 콘텐츠 업데이트 시 시간차를 두는 랜더마이징(randomizing) 기술 등을 적용해 네트워크 대역폭과 지연 시간을 절감시켰다. 데시무크 이사는 “이를 다 활용하면 디스크의 I/O를 90%까지 줄일 수 있다”고 강조했다.