PC백신, 악성코드 방어 어떻게 할까?

일반입력 :2012/01/05 15:36    수정: 2012/01/05 15:44

김희연 기자

최근 악성코드의 지능화·고도화로 보안 솔루션을 우회하는 악성코드 숫자도 늘고 있어 사용자들의 피해가 증가하는 추세다. 완벽한 보안은 없다고 하지만 백신 프로그램까지 우회해 공격하는 해커들의 공세에 일반 사용자들은 속수무책이다.

관련 업계에 따르면, 악성코드 탐지 및 대응 기술은 적용 대상에 따라 다소 차이가 있다. 우리가 흔히 사용하는 PC백신 프로그램은 호스트 기반의 시그니처 방식을 이용하는 경우가 대부분이다.

즉 악성코드 탐지를 위해 각 호스트에 설치된 악성코드 탐지 프로그램을 이용하는데 이것이 바로 백신 프로그램이 되는 것이다.

시그니처 기반 악성코드 탐지기술은 파일 특정 부분이나 고유 부분을 대상으로 이미 알려진 악성코드 패턴과 일치하는지 여부를 검사하는 방식이다.

그러나 악성코드가 다양한 기능을 수행하기 시작하면서 시그니처 기반 악성코드 탐지 기술로만은 더 이상 악성코드를 방어할 수 없게 됐다.

이로 인해 행위 기반 악성코드 탐지 기술을 도입하는 백신도 늘고 있는 추세다. 행위 기반 악성코드 탐지 기술의 경우는 시스템 내 일어나는 다양한 행동을 분석해 악성코드 의심파일을 찾아내는 방식을 말한다.

보안 전문가들은 행위 기반 악성코드 탐지 기술이 시그니처 기반 탐지의 한계를 보완해 준다며 탐지율을 높이기 위해 최근 백신업체들이 두 기술을 동시에 이용하는 경우가 많아지고 있다고 설명했다.

■두 마리 토끼 잡은 백신, PC안전 책임 질 수 있나?

악성코드의 진화로 백신 프로그램의 탐지 기술도 발전하고 있다. 최근에는 새로운 패턴의 악성코드 등장은 물론 시그니처 일부를 변경한 악성코드 형태까지 등장해 기존 기술로만은 더욱 방어가 어려워졌다.

하루에도 수 백만개씩 생성되는 악성코드 전체를 데이터베이스화하기는 어렵기 때문에 더욱 그렇다. 이로 인해 백신 프로그램의 시그니처 방식과 행위 기반 탐지 방식을 동시에 적용하는 사례가 늘고 있다.

전상훈 KAIST 사이버보안연구센터 연구팀장은 일반적으로 시그니처 기반 탐지 기술은 미리 악성파일의 특징을 분석하고 미리 만들어진 패턴을 수집해 방어하기 때문에 알려지지 않은 악성코드 탐지에 한계가 있는 것이 사실이라고 말했다.

그는 이어 행위기반의 경우는 사전에 패턴을 파악하지 못했거나 분석 기법을 우회하는 신종 악성코드에 대해서도 이상 행위 범주 안에 들어가는 행위가 발견되면 악성코드 탐지가 가능하다고 설명했다.

관련기사

그러나 행위 기반 탐지 기술의 한계점도 존재한다. 정상 파일의 경우에도 악성코드로 잘못 탐지해 오탐을 할 수 있는 가능성도 있다는 점이다. 이 때문에 국내외 백신업체들은 각 탐지 기술의 한계점을 극복하기 위해 다양한 기술을 접목하고 있는 추세다.

두 기술을 접목해 방어에 나선 대표 업체로는 시만텍이 있다. 시만텍은 기존 방식에 사용자 커뮤니티 기반 평판 기술을 접목해 탐지가 불가능한 소규모 보안 위협도 차단할 수 있도록 지원하고 있다. 향후에는 시만텍 뿐 아니라 많은 백신 전문업체들이 다변화되고 있는 악성코드 탐지를 위해 행위 기반 탐지 기술을 적용해 나갈 것으로 보인다.