Home > 전체기사
정보보호의 시작과 끝 ‘안티 멀웨어’ 시장 현황·선호도 전격 분석
  |  입력 : 2020-03-30 01:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
인공지능 적용, EDR 등 관련 솔루션과 협업하면서 제2전성기 진입
본지 회원 대상 <안티 멀웨어 솔루션 기업 선호도 조사>...1,547명 응답결과 분석
조사 결과, MS와 안랩 사용자가 절반 넘어...그 이유는 ‘브랜드 파워’


[보안뉴스 원병철 기자] 안티 멀웨어(Anti-Malware), 우리가 흔히 ‘백신(Vaccine)’ 혹은 ‘안티 바이러스(Anti-Virus)’라 부르는 이 제품은 PC로 대변되는 ‘엔드포인트’ 기기의 보안을 책임지는 제품이다. 정보보호에 관심 없는 사람이라 할지라도 PC에 안티 멀웨어 하나쯤은 설치했을 정도로 대중화된 제품이기도 하다. 그러나 한동안 다른 보안제품에 밀려 ‘무용론’까지 나왔다가 인공지능(AI) 적용과 EDR 등 다른 솔루션과의 협업이 주목받으며 다시금 힘을 얻고 있다.

[사진=dreamstime]


안티 멀웨어는 ‘반대하는’이란 뜻의 안티(Anti)와 ‘악성 소프트웨어(Malicious Software)’의 줄임말 ‘멀웨어(Malware)’를 합친 말로, 말 그대로 악성 소프트웨어를 대처하는 소프트웨어를 말한다. 보통은 안티 멀웨어와 백신, 안티 바이러스를 혼용해서 쓰지만, 정확하게 말하면 자가복제를 통해 다른 컴퓨터를 감염시키는 ‘바이러스’와 악의적인 목적으로 남을 공격하기 위해 만든 ‘멀웨어’로 구분해 업계에서는 ‘안티 멀웨어’라는 용어를 선호한다.

세계 최초의 컴퓨터 바이러스와 안티 바이러스의 등장
세계 최초의 컴퓨터 바이러스는 1971년 개발자 ‘밥 토마스’가 만든 ‘크리퍼 바이러스(Creeper Virus)’로 알려졌다. 인터넷의 선구자로 불리는 아파넷을 통해 ‘복제’되는 이 바이러스는 ‘I'm the creeper, catch me if you can’이란 메시지를 남긴 것으로 유명하다. 여기서 주목할 점은 바로 ‘복제’다. 즉, 컴퓨터 바이러스는 ‘복제’를 통해 다른 컴퓨터를 ‘감염’시킨다.

미국의 프로그래머 ‘레이 톰린슨’은 이 크리퍼 바이러스를 삭제하는 프로그램 ‘리퍼(Reaper)’를 만들었는데, 이 리퍼를 세계 최초의 컴퓨터 안티 바이러스로 사람들은 추정한다. 이와 별개로 PC에서의 최초의 바이러스는 ‘브레인’이며, 악성프로그램 보다는 프로그램 개발자가 불법복제를 방지하기 위해 만든 것으로 알려졌다.

컴퓨터 바이러스가 엄청난 피해를 일으킬 수 있다는 것은 1988년 11월 최초의 ‘웜(Worm)’으로 알려진 컴퓨터 바이러스 ‘모리스 웜(Morris Worm)에 의해서다. 미국 코넬대학의 대학원생 ‘로버트 타판 모리스’가 실험을 위해 만든 웜이 NASA는 물론 미국 국방부, 하버드 대학교, MIT 대학교, UC버클리 대학교 등 다수의 연구기관과 대학교의 서버와 워크스테이션을 공격했고, 미국 전역에서 6,000여개의 유닉스 기반 장비를 고장냈다.

기록에 의하면 당시 기준으로 전체 인터넷의 10%가 마비됐다고 한다. 컴퓨터의 대중화로 개인 컴퓨터(PC)가 기업과 가정에 보급되고, 인터넷의 등장 이후 각종 사이버위협에 노출되면 서 안티 바이러스에 대한 관심도 조금씩 높아졌다. 특히, 우리나라는 ‘세계 유일의 분단국가’라는 특성과 잊을 만하면 발생하는 대형 사건들 때문에 ‘적어도 무료 백신이라도 설치하자’는 인식이 생기기 시작했다.

특히, 홀수년도에 유독 대형 사이버 사건들이 발생해 하나의 징크스처럼 여겨지기도 했다. 2003년 1월 25일 발생한 ‘인터넷 대란’과 ‘정보보호의 달’과 ‘정보보호의 날’을 탄생시킨 2009년 7월 7일 ‘디도스 대란’, 그리고 2013년 3월 20일과 6월 25일 발생한 ‘사이버테러’와 2014년 연이어 발생한 ‘카드3사 개인정보 유출사고’, ‘한수원 해킹사건’이 정부와 기업들이 ‘정보보호’의 중요성을 인지하게 했던 사건이었다면, 2017년 발생한 ‘워너크라이 랜섬웨어’ 사건은 일반인까지 영향을 끼쳤다고 할 수 있다.

이러한 일련의 사건들을 통해 컴퓨터용 ‘안티 바이러스’가 급속하게 발전하기 시작했다. 특히, 사이버 공격들이 해커들의 능력 과시를 위한 공격에서, ‘금전적 이익’을 노린 공격으로 발전해갔고, ‘랜섬웨어’처럼 공격만을 위한 악성소프트웨어인 ‘멀웨어’가 급속도로 증가하면서 ‘안티 바이러스’는 ‘안티 멀웨어’로 변화했다. 현재 안티 바이러스란 용어보다 안티 멀웨어를 더 선호하는 이유다.

안티 멀웨어와 멀웨어의 끝없는 공방
안티 멀웨어는 이미 알려진 악성코드 패턴을 DB에 저장해놓고, 이를 바탕으로 ‘비교’해 악성코드를 판별하는 ‘시그니처 방식(Signature)’으로 동작한다. 문제는 매년 늘어나는 멀웨어의 수가 너무 많아 일일이 대응하기 어렵다는 사실이다. 글로벌 보안제품 성능 평가기관 AV-Test는 “2020년까지 발견된 멀웨어는 총 1,035.31밀리언(Million), 즉 10억 3,531만여개로 추정되며, 매일 35만개의 새로운 멀웨어를 등록하고 있다”고 밝혔다.

이 때문에 최근 안티 멀웨어는 다양한 휴리스틱 기술들을 도입하거나, 인공지능(AI)을 적용해 신·변종 멀웨어에 대응하고 있다. 특히, 많은 사용자를 바탕으로 다른 안티바이러스보다 ‘많은 멀웨어 샘플’을 보유하고 있던 글로벌 기업에 대응하기 위해 국내 기업과 스타트업들이 적극적으로 인공지능을 활용하고 있다.

그렇다면 현재 안티 멀웨어 솔루션을 시장에 공급하고 있는 기업은 어떤 곳들이 있을까? 구글이 운영하는 세계적인 악성코드 정보 공유 사이트인 바이러스토탈(Virus Total)에 등록된 안티 멀웨어 솔루션은 총 72개이며, 실제 안티 멀웨어는 그 이상으로 추정된다. 다만 국내 시장에서는 △마이크로소프트(MS) △맥아피 △베일리테크 △비트디펜더 △소포스 △시큐리온 △아비라 △안랩 △어베스트 △에브리존 △에스지에이솔루션즈 △에프원시큐리티 △이셋(ESET) △이스트시큐리티 △카스퍼스키랩 △트렌드마이크로 △하우리(업체명 가나다 순) 등 전통의 강호와 신생스타트업들이 어우러져 있다.

문제는 ‘막으려는 자, 안티 멀웨어’에 맞서 ‘뚫으려는 자, 멀웨어’들도 발전에 발전을 거듭하고 있다는 사실이다. 특히, 멀웨어들은 안티 멀웨어보다 더 적극적으로 인공지능 등 신기술을 적용하고 있고, 나아가 안티 멀웨어를 무력화시키는 방법을 사용하고 있다. 갠드크랩 랜섬웨어 제작자와 안티 멀웨어 ‘비트디펜더’의 ‘복구툴-버전업’ 공방은 잘 알려져 있으며, 역시나 갠드크랩 랜섬웨어와 우리나라 ‘안랩 V3’와의 ‘삭제’ 공방도 매우 유명하다.

또한, 암호화폐 채굴 악성코드가 안티 멀웨어로 위장하거나, 백신 탐지를 피하기 위해 프로그램 개발 언어를 C/C++에서 Visual Basic 6.0(N-Code : Native)으로 변경해 유포한 사건 등 멀웨어와 안티 멀웨어의 공방은 잘 알려져 있다.

이처럼 늘어나는 멀웨어와 사이버공격자들의 위협으로부터 사용자들을 보호하기 위해 안티 멀웨어들은 기존 시그니처 방식으로는 한계가 있다고 판단했다. 그리고 그 한계를 극복하기 위해 안티 멀웨어 업체들이 선택한 것은 저마다 다른 방식이었다.

국내 최초의 안티 멀웨어 ‘V’ 시리즈로 유명한 안랩은 보안위협 경로 증가와 멀웨어 탐지 범위 확대로 악성 트래픽을 탐지하는 부분까지 확장됨에 따라 ‘개인 방화벽’과 ‘침입차단’ 기술 등을 추가했다. 또한, 일반 멀웨어는 물론 랜섬웨어, 파일리스 공격 등에 대응하기 위해 다양한 기술을 적용했고, 엔드포인트 위협 탐지 및 대응 솔루션(EDR, Endpoint Detection & Response) 등 다른 앤드포인트 보안 솔루션과의 연계·통합도 추진했다.

‘알약’으로 더 잘 알려진 이스트시큐리티는 안티 멀웨어와 EDR 어느 하나의 솔루션만으로는 진화하는 위협에 대응할 수 없다고 판단했다. 알려진 공격은 신속하고 효율적인 시그니처 기반 기술과 행위기반 기술을 통해서 탐지 및 차단하고, 알려지지 않은 공격은 행위 이벤트를 기반으로 EDR이 분석 및 탐지하는 한편, 대응에 필요한 포렌식 기능을 지원해야 한다는 전략이다. 이처럼 2개의 솔루션이 서로의 보완재 역할을 하고, 위협 인텔리전스를 활용해 위협을 보다 상세하게 분석하고 대응할 수 있는 인사이트를 획득해야 한다고 강조했다.

차세대 인공지능 안티 멀웨어 ‘Metis AI’로 주목받는 베일리테크는 기존의 백신이 신·변종 악성코드에 대응할 때 많은 시간이 걸리는 것은 사람이 분석하고 판별하기 때문이라고 판단하고, 이제는 인공지능이 수집·분석·판별·업데이트까지 맡아 자동화하는 것이 필요하다고 밝혔다. 특히, 기존 시그니처 방식은 시그니처가 일치돼야 차단했지만, 인공지능 백신은 신경망으로 구성된 정상파일DB, 악성파일 DB를 동시에 비교분석해 판별한다고 설명했다.

클라우드 기반 머신러닝 안티 멀웨어 솔루션 ‘OnAV’로 중국 SKDLabs 인증을 획득한 시큐리온은 클라이언트에 설치된 애플리케이션 정보를 클라우드 서버에 보내 악성 여부를 판단하는 중앙집중 검사방식을 선택했다. 이는 매번 클라이언트가 서버로부터 DB를 공급받지 않아도 되며, 분석된 결과를 실시간에 가깝게 반영할 수 있다는 장점이 있다.

또한, 이렇게 클라우드 기반으로 수집된 빅데이터를 분석·분류하고 가공된 데이터를 활용하며, 기계학습 과정을 거친 머신 러닝 기술을 통해 기존 방식보다 더 많은 신변종 악성코드를 탐지하고 분류할 수 있다고 설명했다.

글로벌 기업 트렌드마이크로는 30년 이상 축적된 위협 인텔리전스를 활용한 머신러닝 기반의 악성코드 탐지기술을 기반으로 EPP+EDR뿐만 아니라 XDR 기능까지 제공하는 올인원(All in One) 기술을 강조했다. 여기에 신변종 랜섬웨어 대응을 위해 악성코드의 행위를 모니터링(탐지 및 차단)하는 행위기반 악성코드 탐지 엔진과 파일리스 악성코드를 탐지할 수 있는 기능까지 추가했다고 밝혔다.

이처럼 안티 멀웨어 기업들은 끊임없이 쏟아져 나오는 멀웨어와 사이버위협에 대응하기 위해 기존 ‘안티 멀웨어’ 기능에 EDR과 AI 등 다양한 기능들을 더해 ‘종합 솔루션’으로 방향을 잡고 있다.

[안티 멀웨어 솔루션 기업 선호도 조사]
안티 멀웨어에 대한 사용자의 선택 기준
현재 사용자들은 현재 어떤 안티 멀웨어를 사용하고 있을까? 본지가 ‘온라인 뉴스레터 구독자’ 1,547명을 대상으로 실시한 ‘안티 멀웨어 솔루션 기업 선호도 조사’에서 대다수가 안티 멀웨어를 사용하고 있으며, 사용자중 40%는 유료 버전을 사용한 것으로 나타났다.

[설문조사 및 결과분석=보안뉴스, 시큐리티월드]


우선, 설문조사 응답자들은 대부분 공무원과 직장인이었다. 중앙부처·지자체 근무자 47명(3.04%), 공공기관·공기업 근무자 259명(16.74%), 대기업 근무자 281명(18.16%), 중소기업 근무자가 883명(57.08%)이었으며, 71명(4.59%)이 기타로 대답했다. 그리고 이들 중 75.69%에 해당하는 1,171명이 안티 멀웨어 솔루션을 사용해 봤다고 답했으며, 366명(23.66%)이 사용해 본적이 없다고 답했다. 주목할 것은 응답자의 40.53%인 627명만이 유료버전의 안티 멀웨어를 사용하고 있으며, 54.75%인 847명은 무료버전을 사용하고 있다는 점이다.

그렇다면 사용자들은 어떤 이유로 유료버전과 무료버전을 사용하고 있을까? 유료버전을 이용하고 있는 사용자는 ‘지속적인 안정적인 서비스’와 ‘유료버전에만 있는 필요한 기능’ 등을 이유로 선택했으며, ‘유지보수’와 ‘보안사고 발생시 서비스 및 사후관리’ 등을 꼽은 사용자도 있었다. 무료버전을 이용 중인 사용자는 대부분 ‘필요성을 느끼지 못한다’거나 ‘무료라도 온전한 콘텐츠가 제공된다’고 답했다.

이번에는 현재 사용자들이 가장 많이 사용하고 있는 안티 멀웨어는 어느 회사의 제품인지를 물어봤다. 가장 많은 사용자들이 선택한 회사는 바로 마이크로소프트(463명, 29.93%)였다. 이어 단 0.91%의 차이로 안랩(449명, 29.02%)이 2위를 차지했다. 두 회사의 안티 멀웨어를 합치면 절반 이상인 58.95%(912명)로 조사됐다. 이어 이스트시큐리티(109명, 7.05%)와 맥아피(67명, 4.33%), 어베스트(66명, 4.27%)가 순위에 올랐다.

해당 제품을 선택한 이유는 크게 5가지가 꼽혔다. 가장 많은 선택 이유는 바로 ‘브랜드 파워’(335명, 21.65%)였다. 아슬아슬하게 2위로 꼽힌 이유는 ‘성능’(326명, 21.07%)이었으며, ‘주변의 선호도가 높아서’(244명, 15.77%)와 ‘가격’(213명, 13.77%), ‘사용하고 있는 보안 솔루션과의 연동’(205명, 13.25%)이 뒤를 이었다.

마지막으로 앞으로 사용해보고 싶은 ‘안티 멀웨어’와 그 ‘이유’에 대해 물어봤다. 순위의 경우 현재 사용하고 있는 솔루션과 큰 차이는 없었지만, 선호 비율에 있어서는 제법 격차가 있었다. 응답자의 30.96%에 해당하는 479명은 ‘마이크로소프트’를 선택했다. 안랩은 242명(15.64%)이 선택해 그 뒤를 이었고, 카스퍼스키랩(136명, 8.79%)과 맥아피(122명, 7.89%)도 많은 선택을 받았다.

마이크로소프트를 선택한 사용자는 대부분 ‘OS와 연동이 잘 될 것 같다’와 ‘기업의 인지도’를 이유로 들었다. 안랩을 선택한 사용자 역시 ‘기업의 인지도’를 이유로 들었으며, ‘국내기업이고, 전문기업’인 것도 선택 이유로 꼽았다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)