세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
바이러스토탈의 새로운 경쟁자 될까? 폴리스웜 출시 임박
  |  입력 : 2019-01-03 17:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
“현재의 안티 멀웨어 시장은 메이저 기업 위주로만 돌아가는 구조”
개별 전문가들의 전문성 활용하면서 악성 파일 분석률 높일 수 있어


[보안뉴스 문가용 기자] 폴리스웜(PolySwarm) 1.0이 완성됐다. 이제 앞으로 수주 안에 공식적으로 발표가 될 것으로 보인다. 폴리스웜이란, 의심스러운 파일에 관한 위협 첩보를 공유하고, 집단 지성을 활용해 분석하며, 블록체인을 통해 분석 결과를 발표하고 배포하는 새로운 플랫폼이다. 바이러스토탈(VirusTotal)과 흡사하지만 개인 단위로 활동하는 멀웨어 분석가의 의견도 받아들이고, 심지어 보상까지 해준다는 것에서 큰 차이를 보인다. 그래서 일부 전문가들은 ‘바이러스토탈의 스테로이드 버전’이라고 부르기도 한다.

[이미지 = iclickart]


어떤 문제에 대한 새로운 접근법은, 늘 이전 접근법에 대한 약점을 보완하면서 태어난다. 그렇다면 폴리스웜은 어떤 문제에 대한 어떤 접근법을 보완하며 태어난 것일까? 기존 안티멀웨어 시장과 바이러스토탈의 약점을 보완하고자 나타난 것이다. 안티멀웨어 시장의 약점은 ‘반복되는 노력’ 혹은 ‘파편화된 노력’이다. 수많은 기업들이 수많은 전문가들을 고용해 독자적인 연구를 진행한다. 그러니 결과가 겹치는 일이 수두룩하다. 이는 비효율적이다.

바이러스토탈이 가진 약점은 두 가지 부작용으로 정리된다. 하나는 긍정 오류를 확산시킬 수 있다는 것이다. 바이러스토탈에 업로드 된 파일들은 인간 분석가들이 분석하지 않는다. 안티멀웨어 시장 내 선두 주자 기업들이 개발한 엔진들이 분석을 맡는다. 그러므로 의도치 않은 결과가 나올 수 있다. 또한 서너 개의 엔진이 파일을 ‘악성’으로 분류한다면, 그 다음 분석을 해야 하는 기업들은 ‘정치적’인 고민에 휩싸이게 된다. 다른 엔진들처럼 무난하게 악성으로 해야 한다는 압박이 심하다. 그것이 긍정 오류라고 할지라도 말이다.

바이러스토탈의 두 번째 문제는 안티멀웨어 시장을 일정한 테두리 안에 가둔다는 것이다. 마치 안티멀웨어 시장은 바이러스토탈에 엔진을 제공하는 메이저 업체들만으로 구성된 것과 같은 느낌을 준다. 그러나 안티멀웨어 시장에는 수많은 중소기업들과 독립적인 개인 전문가들도 포진되어 있다. 이들은 바이러스토탈이 형성한 커뮤니티 안에서 어울릴 만한 계기나 필요를 찾지 못하고 있다.

“멀웨어 공격이 계속해서 성장하고 진화하는 가운데, 방어하는 입장에서도 새로운 도구가 필요한 것이 당연합니다.” 폴리스웜의 CEO인 스티브 바시(Steve Bassi)의 설명이다. “현재의 백신들은 하나만 사용했을 때 오탐이 너무 많이 난다는 문제를 아직 제대로 해결하지 못하고 있습니다. 아직도 알려진 위협들을 찾아내는 것에 집중하고 있는 것도 사실이고요. 멀웨어를 찾아낸다는 게 느릴 수밖에 없는 구조고, 따라서 위험 부담은 사용자들이 지게 되어 있습니다. 그런데 산업 내에서는 전문가가 부족하기 때문에 손을 쓸 수가 없습니다. 그래서 멀웨어 대응에 대한 새로운 체제가 필요하지 않을까 고민하게 되었습니다.”

그래서 폴리스웜은 탈중앙화 된 분석 네트워크를 생각하게 되었다. 주류라고 불리는 안티 멀웨어 업체들의 기능과 실력을 한 데 모으고, 여기에 금전적인 보상을 마련해 전 세계적으로 흩어져 있는 소규모 전문가 그룹들의 참여를 독려함으로써 수상한 것들을 효율적으로, 빠르게 찾아낼 수 있지 않을까 하면서 블록체인망을 구성했다. 이 때 사용한 것은 이더리움 플랫폼이었다. 보상은 폴리스웜의 독자적인 암호화폐인 넥타(Nectar, NCT)로 제공될 예정이라고 한다.

폴리스웜은 네 가지 주요 요소들로 구성되어 있다. 기업, 대사, 결정권자, 전문가가 바로 그것이다. 여기에 ‘생성물(artifact)’과 ‘포상(bounty)’이라는 개념도 중요하게 작용한다. 기업들은 최종 사용자로, 의심스러운 생성물을 가지고 있다. 현재는 이 의심스러운 생성물들이 파일 형태로 존재하지만, 앞으로 URL, 도메인, 이메일도 포함시킬 예정이라고 한다. 대사란 현재 시점에서 주류라고 불리는 안티 멀웨어 기업들이다. 이 대사들이 전문가들에 포상을 지급한다. 독립적으로 활동하는 전 세계 전문가들이 이 네트워크에 참여할 동기를 부여하는 게 바로 이 대사들이다.

전문가들은 그럼 뭘 잘 해서 포상을 얻는 걸까? 이들은 폴리스웜 내로 자신들의 전문적인 의견과 연구 결과를 가지고 들어온다. 특히 대사들이 과제처럼 내놓은 ‘생성물’들에 대한 연구 결과가 제출되는 것이다. 이 때 결정권자가 심판이 돼서 이들의 의견을 듣고 분류하며 판단한다.

이러한 구조를 조금 더 간단히 설명하면 다음과 같다. “기업들이 의심스러운 파일을 안티 멀웨어 업체들에 제공합니다. 물론 업체들도 이 파일을 분석할 수 있고, 자체적으로 연구를 마친 상태일 겁니다. 하지만 단독으로 결론을 내리기에 확실치 않을 수 있습니다. 그 때 내부적으로 더 심층적인 분석을 진행할 수도 있지만, 폴리스웜에 그 의심스런 것을 제출할 수도 있는 겁니다. 물론 제출하려면 돈을 내야 하죠. 폴리스웜에 참여하는 전문가들이 받아갈 포상금이 바로 이것입니다. 이를 본 전문가들 중 문제에 대해 잘 알고 있는 사람들이 답을 제출합니다. 하지만 아무 말이나 하지 않도록 하기 위해 이들도 돈을 걸도록 되어 있습니다. 결정권자가 맞다고 판단을 내리면 자신이 건 돈을 전부 회수하는 것은 물론 다른 전문가들이 건 돈의 일부도 특정 비율에 따라 가져올 수 있게 됩니다. 포상금도 정답을 낸 사람의 것이 되지요.”

그렇다면 대사들에게 이 시스템은 무슨 이득이 있을까? “돈을 주고 외부 전문가를 고용하는 것과 같은 효과를 누릴 수 있습니다. 대형 업체들은 하루에도 수없이 많은 악성 파일을 분석해야 하거든요. 다 처리할 수가 없을 정도로 많은 양이죠. 실제로 경보가 울린 것의 1/10도 분석하지 못한다고 합니다. 폴리스웜을 통해 분석할 수 있는 파일을 늘릴 수 있습니다.”또한 최종 사용자인 기업들은 더 효과적인 보호를 받을 수 있게 된다고 폴리스웜 측은 강조한다.

폴리스웜은 하나의 ‘마켓플레이스’라고 폴리스웜 측은 설명한다. “기존의 위협 탐지 및 분석 시장은 너무나 많은 위협거리와 전문가들을 소외시키고 있습니다. 그러면서 인력이 부족하다고 늘 말하지요. 이를 재편성하고자 하는 것이 폴리스웜입니다. 이 시장이 더 커지면 보안의 지형도 역시 보다 효율적으로 바뀌게 되지 않을까 합니다. 적어도 우리가 충분한 인력을 확보할 수 있을 때까지는 말이죠.”

보안 업체 K7 시큐리티(K7 Security)의 위협 전문가이자 폴리스웜의 ‘결정권자’로 참여하게 된 사미르 모디(Samir Mody)는 “폴리스웜은 혁신적인 개념의 마켓플레이스”라고 말한다. “사이버 전문가들이 기술과 재능만 있다면 얼마든지 수익을 올릴 수 있는 창구가 마련되었고, 회사들로서는 이러한 전문가들의 능력을 보다 효율적으로 활용할 수 있게 되었습니다. 따라서 어둠의 길로 들어설 유혹도 어느 정도 줄어들 수 있으리라고 봅니다.”

3줄 요약
1. 바이러스토탈이 중심이 되는 기존 안티 멀웨어 시장에 새로운 ‘마켓플레이스’ 등장.
2. 블록체인으로 구성된 네트워크 속에서 기업들이 개별 전문가들에게 분석을 의뢰하는 구조.
3. 기업들은 더 많은 분석을 실시할 수 있게 되고, 전문가들은 수익을 늘릴 수 있게 되고, 최종 사용자는 더 효율적으로 보호받을 수 있게 되는 구조.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)