보안의 기본으로 자리매김한 ‘안티바이러스’

변화하는 위협 대응 위해 시그니처, 휴리스틱 등 탐지 기술 고도화

안티바이러스(Anti-Virus)는 30년이 넘는 시간 동안 사이버보안의 기본 솔루션으로 자리해 왔다. 특히 바이러스부터 시작해 웜, 트로이목마 등 기술 발전에 따라 형태를 달리해 온 악성코드에 대항해 엔드포인트를 지키는 최전선 역할을 도맡았다. 날이 갈수록 치밀하고 정교해지는 보안 위협에 맞서 안티바이러스는 인공지능(AI) 등 신기술과 결합해 엔드포인트 보안 체계를 아우르는 솔루션으로 변모하고 있다. 안티바이러스가 쌓아온 역사와 현재 동향을 살펴본다.

컴퓨터 보안의 필수로 자리 잡은 ‘안티바이러스’

안티바이러스는 30여 년간 보안의 최전선에서 고군분투해 왔다. 악성코드가 바이러스로 시작해 웜, 트로이목마 등 수백만 개의 변종으로 위협을 확대하는 동안 안티바이러스는 빠른 기술 고도화로 대중의 컴퓨팅 환경 보호에 힘써왔다.

최초의 상용 바이러스는 1987년 출시한 ‘바이러스스캔(VirusScan)’으로 알려져 있다. 맥아피는 제너럴일렉트릭(GE) 등에서 엔지니어로 일했던 존 맥아피(John McAfee)가 브레인 바이러스를 퇴치하는 안티바이러스를 개발하며 설립한 회사다. 바이러스스캔에 뒤이어 ‘이셋 노드(ESET NOD)’가 개발됐으며, 이후 판다(Panda), 트렌드마이크로(TrendMicro), 노턴(Norton) 등 다양한 소프트웨어가 시장에 속속 출시됐다.

국내에서는 안랩(당시 안철수연구소)의 창업자인 안철수 박사가 개발한 ‘백신(Vaccine)’이 효시다. 안 박사는 1988년 브레인 바이러스를 치료하기 위해 ‘백신’이라는 이름의 안티바이러스 프로그램을 개발했다. 백신은 이후 1989년 LBC 바이러스를 퇴치하는 기능을 탑재한 ‘백신 II’, 1991년 초에는 대대적 기능 향상을 거친 ‘VIII(V3)’로 업그레이드됐다. 특히 V3는 미켈란젤로 바이러스가 유행하며 대중으로부터 높은 인지도를 얻었고, 이때부터 ‘백신’은 한국에서 안티바이러스를 일컫는 대명사로 자리 잡았다.

1990년대, 2000년대를 거치며 국내 안티바이러스 시장은 꾸준한 성장을 거듭했다. 안랩 ‘V3’ 외에도 △하우리 ‘바이로봇(ViRobot)’ △잉카인터넷 ‘엔프로텍트(nProtect)’ △SGA EPS(에스지에이이피에스) ‘바이러스체이서(VirusChaser)’ △이스트시큐리티 ‘알약(ALYac)’ 등 여러 제품이 시장에서 각축을 벌였다.

패턴 분석 및 행위 식별로 악성코드 차단

안티바이러스는 크게 △시그니처(Signature) 데이터베이스 △악성코드 탐지 엔진 △실시간 탐지 모듈 △자체 보호 기능 등으로 구성된다. 이 중 시그니처 기반으로 악성코드를 탐지하는 기술은 초기 안티바이러스부터 이어져 온 기본 요소다.

시그니처 기반 탐지 기술은 알려진 악성코드의 고유 패턴(Signature)을 데이터베이스(DB)에 저장, 시스템을 스캔해 해당 DB와 일치하는지 확인하는 기술이다. 이는 1980년대 안티바이러스 기술인 문자열 진단과 해시 기반 진단에 그 뿌리를 두고 있다. 문자열 진단은 악성코드의 특정 문자열을 식별하는 기술이며, 해시 기반 진단은 파일 고유의 값을 비교해 악성코드를 탐지하는 방식이었다.

시그니처 기반 탐지는 1990년대부터 신종 및 변종 악성코드를 효과적으로 탐지하지 못한다는 평가를 들으며 한계를 드러냈다. ‘휴리스틱(Heuristic) 분석’은 이를 보완하기 위해 도입된 기술이었다. 휴리스틱 분석은 악성코드의 행위 패턴을 분석해 시그니처 없이도 잡아내는 방식으로, 행위 기반 탐지의 초기 형태로 평가받는다.

2000년대부터는 네트워크를 통한 감염이 증가하면서 방화벽 기능이 더해진 통합 보안 솔루션이 등장했다. 또 클라우드 기반으로 개별 PC가 아닌 중앙 서버에서 악성 여부를 판단하는 기술을 비롯해 파일의 인증서, 제조사, 제작일시 등 정보를 바탕으로 신뢰도를 평가하는 평판 기반 기술이 발전했다.

최근에는 AI 기술로 새로운 위협을 탐지하고 대응하는 역량을 강화하고 있다. 악성코드가 정교화되고 탐지 회피 기법이 늘어남에 따라 AI 기반 예측이 적극 활용되기 시작했다. 의심스러운 파일을 가상 격리 환경에서 실행, 실제 시스템에 영향을 미치지 않으며 악성 여부를 판가름하는 ‘샌드박스’도 널리 쓰이고 있다.

SGA EPS 관계자는 “안티바이러스는 시그니처 기반 탐지, 휴리스틱 분석 같은 전통적 방법뿐 아니라 머신러닝, AI와도 결합해 다층적이고 지속적인 보호 체계를 갖춰 나가고 있다”고 설명했다.

둔화한 시장 성장세…엔드포인트 보안으로 ‘돌파구’ 마련

컴퓨터, 인터넷 사용이 보편화됨에 따라 안티바이러스는 누구나 알게 모르게 한 번쯤은 사용해 봤을 것이다. 일반 가정이든 사무실이든 환경을 막론하고 안티바이러스는 30여 년간 사람들이 만나는 사이버보안의 첫 관문 역할을 도맡아 왔다.

하지만 오랜 역사와 익숙한 이미지, 그 이면에는 어느샌가 더뎌진 성장세가 자리하고 있다. 한국정보보호산업협회(KISIA)가 매년 발간하는 ‘국내 정보보호산업 실태조사’에 따르면, 국내 안티바이러스 관련 시장 매출은 2018년 매출 4,884억 원에서 2019년 5,341억 원으로 9.37% 성장한 이래 최근 5년간 5천억 원대 선을 유지하고 있다. 2021년에 한 차례 전년(5,592억 원) 대비 9.9% 증가한 6,145억 원을 기록했으나, 이는 코로나19 대유행으로 비대면 업무가 증가하며 맞은 일시적 성장으로 그다음 해인 2022년에는 다시 5,542억 원으로 줄었다.

정체된 성장세 속 기업들은 안티바이러스를 기반으로 엔드포인트 보안 전략을 제공함으로써 새로운 사업을 확보해 나가고 있다. 보안 위협이 점점 더 고도화되며 개별 솔루션만으로는 효과적인 대응이 어려워졌다. 이에 안티바이러스를 시작으로 여러 솔루션과의 유기적 연계·연동으로 탄탄한 보안 체계를 수립한다는 계획이다.

(이하 생략)

기사 출처 : 아이티데일리(http://www.itdaily.kr/news/articleView.html?idxno=230667)

—

ESET Endpoint Solution에는 랜섬웨어 공격 후 파일을 복원하는 기능이 있습니다. 이 기술은 공격 후반부에서 랜섬웨어가 감지되면 암호화 프로세스가 이미 시작된 후 암호화된 파일을 자동으로 복원합니다.

ESET Endpoint Antivirus는 30년간 안티바이러스 산업의 기술혁신을 기반으로 기업 내 자산을 보호하는 강력한 안티바이러스 솔루션입니다. ESET 백신에 대한 상담이 필요하시다면 (주)피플러스로 문의 주시기 바랍니다.