Home > 전체기사

악성 파일인지 의심스러울 땐? ‘바이러스토탈’로 한번 검사해봐!

  |  입력 : 2021-03-21 23:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
전세계 다수의 안티 바이러스 엔진 통해 파일 검사하는 ‘바이러스토탈’ 100% 활용하기
악성코드는 해외 개발 후 국내 유포되는 경우 많아... 최신 악성코드로 의심되면 검사해볼 수 있어


[보안뉴스 이상우 기자] 독일 IT 보안 연구기관 AV-TEST가 지난해 8월 말 발표한 ‘The AV-TEST Security Report 2019/2020’에 따르면 2019년에 새롭게 생성된 악성코드는 1억 1,431만 2,703개며, 2020년 1분기에 AV-TEST에 새로 등록된 악성코드 샘플은 4,300만 개 이상이다.

[이미지=utoimage]


이러한 악성코드의 대표적인 유포 경로는 이메일, 악성 웹사이트, 영화나 음악 등 불법 복제 콘텐츠 등이다. 공격자는 저작권 침해 안내, 재난지원금, 금융기관 등 사용자가 관심을 가질 만한 내용으로 속여 이메일을 발송하기도 하고, 자신이 심어놓은 악성코드가 작동할 수 있는 웹페이지에 접속하도록 URL을 첨부하기도 한다.

또한, 유료 소프트웨어나 영화 등을 무료로 내려받을 수 있다고 속여 각종 악성코드 실행 파일을 함께 첨부해 유포하는 방식도 사용한다. 이렇게 사용자 PC에 안착한 악성코드는 단순히 해당 PC에서만 악성 행위를 실행할 수도 있지만, 명령제어(C&C) 서버와 통신하면서 기능을 확장하고 기업 주요 시스템까지 퍼져나가 기밀 유출 및 랜섬웨어 감염 등의 추가적인 공격도 펼칠 수 있다.

이처럼 사이버 공격자는 본격적인 공격을 위한 초석으로 다양한 형태의 악성 파일을 유포한다. 사용자가 자신의 PC에 안티 바이러스 제품을 설치해서 실시간 감시를 켜놓았더라도, 해당 제품을 개발한 기업이 새롭게 등장한 악성코드 정보를 업데이트하지 않았다면 해당 파일을 탐지하기 어렵다. 그렇다고 다수의 안티 바이러스를 사용할 수도 없다. 제품 사이에 충돌이 발생하거나 시스템 자원을 지나치게 소모해 PC 작동 성능을 저하시키기 때문이다.

앞서 언급한 것처럼 새롭게 생성된 악성코드의 경우 안티 바이러스에서는 탐지하지 못할 가능성도 있다. 이 때문에 사용자가 의심스러운 파일을 받았지만, 설치된 안티 바이러스가 이를 탐지하지 않을 경우 ‘바이러스토탈’ 웹 페이지를 통해 파일을 검사하는 것도 좋은 방법이다. 바이러스토탈은 수십여 종의 안티 바이러스 엔진을 통해 특정 파일이나 URL을 검사하고, 그 결과를 알려주는 서비스다.

▲바이러스토탈 메인 페이지[자료=보안뉴스]


구글이나 네이버 등의 검색엔진에서 한글로 바이러스토탈이라는 검색어를 입력해 쉽게 서비스를 찾을 수 있으며, 여기서 단순히 파일이나 URL을 검사해보는 것은 회원가입이나 결제 등 번거로운 과정 없이도 이용할 수 있다.

바이러스토탈은 웹 브라우저를 통해 특정 파일을 업로드하거나 URL을 입력하면 서버에 있는 샌드박스 환경에서 다수의 엔진으로 이를 검사하는 방식이다. 이로 인해 사용자는 의심스러운 파일이 위험한지 아닌지 별도의 안티 바이러스 설치 없이도 확인해볼 수 있다. PC에 설치된 안티 바이러스처럼 실시간 감시나 다수의 파일을 검사할 수는 없다. 하지만, 맥아피, 시만텍, 카스퍼스키, 안랩, 이스트시큐리티, 포티넷, 팔로알토 네트웍스 등 다수의 보안기업 엔진을 통해 특정 파일 하나만 집중적으로 검사할 수 있기 때문에 의심스러운 파일을 실행하기 전에 이를 검사해 안전을 확보할 수 있다.

사용방법은 간단하다. 우선 바이러스토탈 첫 화면은 파일(FILE), URL, 검색(SEARCH) 등 세 가지 탭으로 구성돼 있다. 파일 탭에서는 아래에 있는 파일 선택(Choose file) 버튼을 누른 뒤 검사를 원하는 파일을 선택해 검사를 진행할 수 있다. URL 탭에서는 이름 그대로 웹 페이지 주소를 입력할 수 있으며, 검색 탭에서는 URL, IP 주소, 파일 해시값 등을 입력해 검사할 수 있다.

▲의심스러운 파일을 검사하는 모습[자료=보안뉴스]


파일의 경우 75개의 엔진을 통해 해당 파일을 검사하며, 해당 파일의 고유 정보(해시값)와 함께 몇 개의 엔진이 악성코드라고 탐지했는지, 파일 생성 시기는 언제인지 등의 정보를 보여준다. URL과 검색 탭 역시 이와 유사한 방식으로 작동한다. 각 탭에서 검색창에 인터넷 주소나 특정 파일의 해시값을 입력하면 이와 관련한 정보를 얻을 수 있다.

가령, 이메일을 통해 ‘연말정산 안내 프로그램’이라는 이름의 파일을 받았다면, 이를 실행하기 전 바이러스토탈을 통해 미리 확인해볼 수 있고, 알 수 없는 URL로 접속을 유도할 경우 해당 주소를 복사해 미리 검사해볼 수도 있다. 특히, 모바일 기기에서도 해당 서비스를 이용할 수 있기 때문에 외부 앱 설치 파일(apk)이나 스미싱으로 추정되는 문자 메시지의 URL을 검사하는 것 역시 가능하다.

▲모바일 기기에서도 이용할 수 있어 알 수 없는 apk 파일을 미리 검사한 뒤 설치할 수도 있다[자료=보안뉴스]


하지만 바이러스토탈을 이용할 때도 몇 가지 주의사항이 있다. 우선 바이러스토탈을 통한 검사에도 약간의 공백은 있다. 안티 바이러스는 기본적으로 악성 행위를 탐지하거나 악성코드의 고유 정보를 탐지해 이를 차단하고 사용자에게 알린다. 그런데 완전히 새롭게 생성된 악성코드 혹은 정상적인 파일을 이용하는 ‘파일리스 공격’의 경우 쉽게 탐지되지 않는다. 이 때문에 각 보안기업의 연구소 등에서 이러한 신종 위협을 확인한 뒤 해당 정보를 실시간으로 안티 바이러스에서 탐지할 수 있도록 업데이트하기도 한다. 즉, 바이러스토탈에서도 현재 시점에서 탐지하지 못하는 완전히 새로운 악성코드가 존재할 가능성도 있다.

또 다른 주의사항은 민감하거나 중요한 정보가 담긴 파일은 업로드를 지양해야 한다는 점이다. 바이러스토탈의 정책에 따르면 사용자가 올린 악성코드 샘플 파일은 보다 정확한 판단을 위해 주요 보안기업과 공유한다. 이 때문에 악성코드로 의심되는 파일 외에 중요한 정보가 담긴 문서 등을 함부로 올려 검사하는 일은 없어야 한다.

일반적으로 악성코드는 해외에서 먼저 개발된 이후 일부 변형된 뒤 국내에 유입되는 경우가 대부분이다. 따라서 국내 보안제품이 아직 탐지하지 못한 악성코드라도 이미 해외 제품의 악성코드 정보에는 추가돼 있을 가능성이 크다. 이에 조금이라도 의심스러운 파일을 확인하고 싶다면 바이러스토탈을 통해 안전성 여부를 확인할 필요가 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화