업무환경 변화와 늘어난 엔드포인트에 대한 고민, 안티바이러스가 답
안티바이러스에 대한 사용자 선호도 조사 결과는?
[인터뷰] 카이스트 사이버보안연구센터 신강식 연구원
안티바이러스 전문기업 집중분석: 비트디펜더, 시만텍, 이스트시큐리티
[보안뉴스 원병철 기자] 사이버보안의 기본이자 가장 대중에게 잘 알려진 ‘안티바이러스(Anti-Virus)’ 소프트웨어는 처음 컴퓨터 바이러스(Virus)에 대응하기 위해 만들어졌다. PC의 인기와 함께 성장했으며, 특히 우리나라에서는 대통령 후보였던 안철수 박사의 ‘국내 최초의 안티바이러스 개발’ 이야기가 TV를 통해 알려지면서 대중화됐다. 다만 너무나 대중화되고 ‘무료’라는 이미지가 굳어지면서 다른 보안 제품에 밀려 무용론까지 나오기도 했다. 그럼에도 불구하고 가장 기본적인 엔드포인트 보안 솔루션이라는 효용성과 다른 보안 솔루션과의 연동으로 꾸준하게 성장하고 있다.
[이미지: gettyimagesbank]
컴퓨터 바이러스는 자기복제 능력을 갖고 있으며 다른 프로그램이나 파일에 기생해 감염을 확산시키는 악성 소프트웨어로, 주로 시스템을 손상시키거나 데이터를 삭제하는 등의 피해를 준다. 바이러스와 혼용해서 사용하는 ‘멀웨어(Malware)’는 악성 소프트웨어(Malicious Software)의 줄임말로, 바이러스 또한 멀웨어의 한 종류다. 이 멀웨어에 대응하는 소프트웨어가 바로 ‘안티 멀웨어(Anti-Malware)’인데, 우리나라는 최초의 안티바이러스(V3)가 워낙 알려진 탓에 당시 사용하던 ‘PC 백신(Vaccine)’, ‘안티바이러스’라는 용어를 더 많이 사용한다.
안티바이러스는 바이러스와 트로이목마, 웜과 스파이웨어와 같은 멀웨어를 탐지하고 제거해 컴퓨터 시스템이나 네트워크를 보호한다. 멀웨어를 탐지하는 기술과 감염된 파일을 복구하거나 격리하는 기술을 통해 시스템을 실시간으로 보호한다.
그렇다면 안티바이러스는 멀웨어를 어떻게 감지할까? 첫 번째는 바로 ‘시그니처 기반 탐지(Signature Base Detection)’다. 잘 알려진 멀웨어의 특징(시그니처)을 데이터베이스에 저장하고 이후 파일이나 프로그램을 비교해 악성 여부를 판단한다. 이때 중요한 것이 바로 시그니처인데, 보안 기업들은 이 시그니처를 업데이트하는 데 사활을 걸고 있다. 자체적으로 시그니처를 수집하기도 하지만, 기업들이 모든 종류의 악성코드를 분석하고 시그니처를 생성할 수 없기 때문에 협력을 통해 시그니처를 공유하거나 구입하기도 한다. 다만 이 방식은 알려지지 않은, 즉 시그니처가 없는 멀웨어는 감지하지 못한다는 단점이 있다.
‘휴리스틱 탐지(Heuristick Detection)’ 방식은 멀웨어의 특징적인 패턴이나 구조를 분석해 악성 여부를 탐지하는 방식이다. 멀웨어의 공통적인 특징을 미리 정의하고, 이 특징을 보이면 멀웨어로 판단해 알리거나 격리한다. 시그니처 방식과 달리 알려지지 않은 새로운 멀웨어나 변종 멀웨어를 탐지할 수 있지만, 오진 가능성과 시스템 자원을 소모한다는 단점도 있다.
‘행위 기반 탐지(Behavior-based Detection)’ 방식은 프로그램의 실행 과정을 모니터링하고 멀웨어의 특징적인 행위를 감지해 악성 여부를 판단한다. 휴리스틱 탐지와 혼용되기도 하지만, 휴리스틱이 멀웨어의 패턴이나 구조를 분석한다면, 행위 기반은 멀웨어의 실행과정과 행위를 분석해 악성 여부를 판단한다.
최근에는 인공지능과 머신러닝 기술을 활용해 탐지 수준이 더 정교해졌다. 에브리존에서는 안티바이러스를 비롯한 엔드포인트(Endpoint) 보안이 기존 시그니처 기반 탐지를 넘어 실시간 위협 대응과 위협 사냥(Threat Hunting) 기능을 포함한 차세대 보안 프레임으로 발전하고 있다고 설명한다. 특히 랜섬웨어의 고도화와 해킹 그룹의 공격이 늘어나면서 기업과 기관들은 단순한 안티바이러스를 넘어 다중방어전략(Defence in Depth)을 채택하고 있다는 것. 이 때문에 MDR(Managed Detection and Response) 서비스와 SOAR(Security Orchestration, Automation and Response) 솔루션 등이 엔드포인트 보안 시장으로 성장 및 확대되고 있다고 밝혔다.
[이미지: gettyimagesbank]
안티바이러스, 무료 VS 유료 논란
안티바이러스는 기본적으로 엔드포인트 기기에서 사용한다. PC와 서버가 가장 많이 사용하며 최근 모바일과 IoT 기기에서도 사용이 늘어나고 있다. 이중에서 가장 시장이 큰 PC 안티바이러스는 기업용과 개인용으로 나뉘어 있다. 기업용과 개인용 안티바이러스는 모두 악성 위협을 차단하고 엔드포인트 기기를 보호한다는 목적은 동일하지만, 구매자와 실사용자, 사용 환경과 요구사항 등 다른 특성을 가졌다. 특히 사용자의 요구사항이 다르기 때문에 UI부터 기능 구성까지 시장 특성을 고려해 개발하고 있다고 업계에서는 말한다.
무엇보다 기업용과 개인용의 구분은 ‘비용’이 가장 큰 비중을 차지한다. 원래 안티바이러스는 상업 소프트웨어인 만큼 당연히 비용을 받고 판매됐다. 그런데 2007년 알약을 시작으로 2008년 안랩의 빛자루, 그리고 네이버가 안랩 V3 Lite와 카스퍼스키를 회원에게 무료로 서비스하는 등 개인 사용자를 위한 무료 안티바이러스가 등장하면서 변화가 시작됐다.
이러한 사건들 이후 일반 사용자들에게 안티바이러스는 ‘무료’라는 인식이 생겼다. 이는 안티바이러스에 대한 일반인들의 인지도가 높아지면서 보안 측면에서는 좋은 평가를 받았지만, 보안업계에는 안좋은 선례를 남기기도 했다. 게다가 무료버전의 안티바이러스가 광고를 도입해 수익을 창출하면서 사용자의 인식이 나빠지는 문제도 있었다.
여기에 쐐기를 박은 것이 바로 마이크로소프트의 디펜더다. 마이크로소프트가 윈도우 운영체제에 자사의 안티바이러스인 ‘디펜더(Defender)’를 기본 장착하고 무료로 서비스하기 시작한 것이다. 게다가 디펜더는 2017년 2월 AV-Test에서 높은 점수를 받은 이후 꾸준하게 평가를 받으면서 성능에 대한 검증까지 받아 인지도가 높아졌다.
다만 디펜더에 대한 안티바이러스 업계의 판단은 아직 유보적이다. 일부 기업들은 디펜더가 OS에 기본 탑재됐기 때문에 사용자 접근성이 높아 시장 점유율이 빠르게 상승했지만, 국내 조달체계와 보안인증 등 국내 시장의 특수성과 고객 요구사항 대응 속도 등에서 상대적으로 어려움을 겪는 부분이 있다고 평가했다.
반대로 디펜더로 인해 기존 안티바이러스가 어려움을 겪을 것이라고 보는 시각도 존재한다. 특히 기업용 보안 솔루션인 ‘디펜더 for Endpoint’가 EDR와 XDR 기능까지 지원하면서 디펜더를 선택하는 사용자들이 늘고 있다는 분석이다. 무엇보다 윈도우에 최적화된 것이나 MS365 시큐리티와 애저 시큐리티와 같은 통합 보안 솔루션이 강화되고 있기 때문에 이러한 영향은 더욱 커질 것으로 내다봤다.
▲국내외 대표 안티바이러스[자료정리: 보안뉴스]
모바일부터 IoT까지, 세력 넓혀가는 안티바이러스
우리에게 가장 잘 알려지고 대중적으로 사용하는 PC 때문에 ‘엔드포인트 기기=PC’라는 공식이 있긴 하지만, 엄밀히 말하면 엔드포인트에는 윈도우가 아닌 mac, 서버, 모바일, IoT 등 다양한 기기가 포함되어 있다. 좀 더 자세하게 말하면 윈도우가 아닌 macOS, 리눅스 등 다양한 ‘운영체제’를 사용하는 기기가 있으며, 멀웨어 역시 이 운영체제에 맞춰 만들어진다. 대부분의 사이버 공격이 윈도우를 기반으로 만들어지지만, 다른 운영체제를 노리는 공격과 여러 운영체제를 동시에 겨냥하는 크로스 플랫폼 멀웨어도 최근 급증하고 있다. 실제로 독일의 IT 보안 연구기관 AV-TEST에 따르면 2023년 신종 macOS 멀웨어 패밀리 수는 전년 대비 2배가 증가한 것으로 집계됐다.
클라우드 확산으로 서버 보안에 대한 수요와 시장도 크게 성장하고 있다. 인프라가 확산됨에 따라 서버 환경을 타깃으로 한 악성코드도 급증하고 있기 때문이다. AV-TEST에 따르면 서버 운영체제로 주로 사용되는 Linux를 타깃으로 한 악성코드는 2020년 이후 매년 100% 이상의 증가율을 보일 만큼 빠른 속도로 확산되고 있다.
특히 모바일 기기는 PC에 못지않은 인기를 끌고 있지만, 모바일 보안 이슈는 아직 미미한 수준이다. 업계에서는 모바일 환경과 데스크톱 환경을 노리는 사이버 위협의 유형이 다르기 때문에 대응 기능에서도 차이가 있다고 설명한다.
안랩은 데스크톱 환경과 달리 모바일 기기는 주로 앱을 통해 악성 코드가 유입되므로, 앱에 대한 스캐닝, 네트워크 보안에 보다 집중한다고 설명했다. 더불어 사용자 친화적인 인터페이스와 유틸리티를 제공해 사용성을 높이는 부분도 개발시 주로 고려된다고 덧붙였다.
특히 안랩은 “당사가 발표한 ‘2025년 5대 사이버 보안 위협 전망’에서도 모바일, IoT를 타깃으로 한 악성 위협도 지속적으로 늘고 있다는 점을 지적했다”면서, “글로벌 리서치 기관에 따르면 모바일 안티 멀웨어 시장 규모는 2024년 79억 2천만 달러로 예측, 16%에 달하는 연평균 성장률을 기록할 것으로 예상된다”고 설명했다.
에브리존은 “모바일 안티바이러스는 일반 안티바이러스와 근본적으로 다른 보안 패러다임을 기반으로 작동하며, 이는 운영 환경의 격리 모델, 위협 탐지 방식, 보안 정책의 적용 범위 차이에서 비롯된다”면서, “예를 들면, 모바일 OS는 샌드박스 구조를 통해 애플리케이션 간의 직접적인 파일 시스템 접근을 원천적으로 차단하지만, 일반 OS는 프로세스 간 메모리 공유와 커널 모드 접근이 가능하기 때문에, 악성코드가 루트킷(Rootkit)과 같은 형태로 OS 내부에 깊숙이 침투한다”고 설명했다.
시큐리온도 “코로나19로 인해 많은 기업들이 원격근무 등 디지털 혁신을 도입하면서 기존 PC보안 중심의 보안 체계를 모바일까지 확장하려는 시도가 있었다”면서, “보안위협이 고도화되는 추세를 기업에서도 인지하고 있었기 때문에, 안티바이러스를 넘어 보다 고도화된 보안 솔루션에 대한 수요가 있었다”고 강조했다.
진화하는 멀웨어와 함께 진화하는 안티바이러스
최근의 멀웨어들은 점점 더 복잡하고 광범위하게 고도화되고 있다. 특히 업계에서는 AI, 적응형 코드, 파일리스 기법 등이 악성 위협에 더욱 공격적으로 활용될 것으로 예상하고, 클라우드 도입 가속화 및 IoT 기기 확산으로 인한 다양한 IT 계층의 공격 표면 증가를 걱정하고 있다.
이러한 위협에 실시간으로 대응하기 위해 위협 진단에 대해 인공지능 및 머신러닝을 적용, 새로운 위협을 실시간으로 진단할 수 있도록 하고 있다. 또 진단뿐 아니라 대응, 보안 운영 등 다양한 포인트에 AI나 머신러닝을 적용해 대응 프로세스 단축과 자동화를 마련하고 있다는 설명이다.
이에 대해 에스케어는 “침해사고에 사용되는 IoC 지표들이 일반적인 악성코드를 벗어나 LoLBins(Living off the land binaries) 형태와 메모리 공격 형태로 변형됨에 따라 기존 시그니처 방식의 안티바이러스에서 벗어나 현재는 대부분 머신러닝 또는 AI 와 같은 최신 탐지 기술을 도입하고 있다”면서, “정교화된 악성코드 탐지를 위해서는 행위기반의 AI 엔진이 필수적으로 필요하며, 모든 행위를 모니터링 하기 때문에 성능적인 요소도 필수적으로 고려돼야 한다”고 강조했다. 아울러 “보안 관리자에게 필수적인 가시성 확보를 위해 악성 행위에 대한 시각적 가시화도 주목해야 하며, 악성코드로 인한 파일의 암호화나 시스템의 변경을 바로 사용가능한 형태로 복원할 수 있는 기술도 고민하고 있다”고 덧붙였다.
이처럼 보안기업들은 진화하는 멀웨어에 맞춰 안티바이러스도 함께 진화하고 있다고 설명한다. 특히 인공지능과 머신러닝을 활용해 기술적인 보완을 하고 있으며, 기존 윈도우 외에 macOS와 리눅스, 그리고 모바일 등 다른 포맷을 위한 전용 안티바이러스 개발에도 집중하고 있는 것으로 알려졌다.
▲안티바이러스에 대한 사용자 설문조사[자료: 보안뉴스]
안티바이러스에 대한 사용자 선호도 조사
그렇다면 실제 사용자들의 안티바이러스에 대한 생각은 어떨까? <보안뉴스>는 사용자들의 의견을 알아보기 위해 2025년 1월 20일부터 23일까지 4일간 약 10만여명의 보안 담당자에게 ‘안티바이러스 인식 및 선호도 조사’를 실시했다. 이번 설문조사에서는 공공(26.7%)과 민간(26.7%)의 보안담당자 2,219명이 응답했다.
먼저 사용 중인 안티바이러스의 종류에 대해 물어봤다. 기업이나 기관의 보안담당자가 대부분인 만큼 57.5%의 사용자가 유료 안티바이러스를 사용하고 있었고, EDR 등 고성능 엔드포인트 보안 솔루션을 사용하는 사용자도 15.4%에 달했다. 또한 방화벽 등 다른 보안 솔루션에 담긴 안티바이러스를 사용하는 사용자가 6.3%였고, 윈도우 디펜더 사용자도 6.3%에 달했다. 무료 안티바이러스를 사용하는 사용자는 14.5%였다.
이어 몇 개의 안티바이러스를 사용하는 지도 물어봤다. 일부 사용자는 글로벌 제품과 한국 제품을 함께 사용하는 경우가 있기 때문이다. 1개만 사용하는 사용자가 대다수(67%)였지만, 2개를 사용하는 사용자도 24%나 있었으며, 3개를 사용하는 사용자도 7.7%에 달했다. 심지어 숫자는 작았지만 4개(0.4%)를 사용하거나 5개(0.9%)를 사용하는 사용자도 있었다.
그렇다면 사용자들은 안티바이러스를 선택할 때 어떤 기준으로 선택할까? 당연하게도 보안 성능이 32.1%로 가장 많았지만, 도입비용(24.4%)이나 다른 보안솔루션 및 인프라와의 호환성(19.0%)을 따지는 사용자들도 많았다. 또한 브랜드 인지도(13.6%)나 유지보수 등 기술지원(5.9%), 그리고 다양한 기능(5.0%)을 꼽은 사용자도 있었다.
사용하면서 느낀 불편한 점도 물어봤다. 사용자의 절반(47.1%)은 오탐·미탐·과탐 등 탐지 정확도 미흡을 문제로 지적했고, 잦은 자동 업데이트와 스캔(23.1%)을 두 번째로 선택했다. 이어 과도한 웹사이트 및 소프트웨어 차단(16.7%)과 팝업 등 광고(13.1%)가 불편하다고 답했다.
한편, 대부분의 안티바이러스가 랜섬웨어 방어도 가능하다고 홍보하는 만큼 이에 대한 생각도 물어봤다. 하지만 절반 이상(56.1%)의 사용자가 ‘안티바이러스로는 랜섬웨어를 100% 방어할 수 없다’고 답했으며, 29.9%의 사용자는 ‘별도의 랜섬웨어 방어 솔루션을 함께 사용해야 한다’고 답했다. 14.0%의 사용자는 충분히 랜섬웨어를 방어할 수 있다고 생각한다고 답했다.
늘어난 엔드포인트 보호에 대한 고민
지금까지 엔드포인트 보안의 최전선을 지키는 안티바이러스에 대해 알아봤다. 안티바이러스는 엔드포인트 기기를 보호하는 최후의 보루로, 인공지능 등 신기술을 활용해 발전하고 있는 멀웨어에 대응하기 위해 함께 발전해오고 있다. 한동안 새로 등장하는 엔드포인트 보안 솔루션에 밀려 부침을 겪기도 했지만, PC 외에 모바일과 IoT 등 다양한 기기로 활동영역을 넓히고 신기술을 받아들이며 함께 발전함으로써 다시금 성장을 발판을 마련했다. 특히 코로나 펜데믹 이후 재택근무 등 업무환경이 변화하면서 늘어난 엔드포인트는 안티바이러스의 부활에 한몫 한 것으로 알려졌다.
1971년 세계 최초의 바이러스 ‘크리퍼 바이러스(Creeper Virus)’와 크리퍼 바이러스를 삭제해 세계 최초의 안티바이러스로 알려진 ‘리퍼(Reaper)’가 등장하면서 시작된 바이러스와 안티바이러스의 전쟁은 아직도 지속되고 있다. 특히 랜섬웨어처럼 공격을 위한 악성 소프트웨어인 멀웨어가 급속도로 증가하면서 안티바이러스 역시 다양한 기능을 더하며 이에 대응하고 있다.
특히 안티바이러스는 PC의 대중화와 함께 가장 대중적으로 알려진 사이버보안 솔루션이 됐으며, 그만큼 사이버보안 보편화에 기여했다. 물론 ‘무료’라는 이미지나 잦은 스캔과 업데이트로 인한 사용자 불편에 따른 인식저하는 지적받았지만, 안티바이러스가 사이버보안 강화에 기여한 성과는 누구도 부인하지 못할 사실이다.
모바일과 IoT 등 다양해진 플랫폼으로 인해 다시금 성장을 발판을 마련한 안티바이러스는 인공지능과 클라우드 등 신기술을 접목해 한 차원 높은 보안을 선보이고 있다. 특히 업무환경의 변화로 인해 늘어난 엔드포인트에 대한 조직들의 고민이 깊어가면서, 이에 대한 해결책을 제시할 수 있는 엔드포인트의 가치 상승은 당분간 지속될 것으로 보인다.
▲카이스트 사이버보안연구센터(KAIST CSRC) 신강식 연구원[사진: 보안뉴스]
Interview. 카이스트 사이버보안연구센터(KAIST CSRC) 신강식 연구원
“완벽한 보안 솔루션은 없어, 사용자 상황과 니즈에 맞춰 안티바이러스 도입해야”
국내 최고 권위의 사이버보안 전문 R&D센터인 카이스트 사이버보안연구센터(KAIST CSRC)는 각종 사이버보안 이슈를 해결하고 관련 기술 연구개발을 선도하기 위해 2010년 설립됐다. 특히 정부 차원의 거대 사이버보안 연구는 물론, 국민에게 꼭 필요한 사이버보안 연구도 함께 진행하고 있다. 2023년부터 진행해 온 안티바이러스 10종 성능 테스트와 모바일 안티바이러스 10종 성능 테스트, 그리고 가장 최근에는 안티바이러스 10종의 랜섬웨어 탐지 및 암호화 진행률 테스트가 그것이다. 이에 해당 연구를 직접 진행한 카이스트 CSRC 신강식 연구원에게 안티바이러스 연구에 대해 물어 봤다.
카이스트 CSRC에서 특히 안티바이러스 테스트를 많이 하고 있다. 그 이유는 무엇인가?
카이스트 사이버보안연구센터는 국가 사이버안보 강화를 위해 공익성과 공공성을 갖고 다양한 사이버보안 기술의 R&D를 수행하고 있다. 따라서 정보보안 제품 중에 가장 시장이 크고 일반 국민들이 가장 많이 접할 수 있는 제품을 생각해 봤고, 가장 친숙하게 다가갈 수 있는 제품을 고른 것이 바로 안티바이러스 제품이었다.
당시 안티바이러스 테스트 결과가 그리 좋지 못했던 것으로 기억한다
안티바이러스가 당연히 악성코드를 100% 탐지할 순 없다고 생각한다. 대부분 최신(약 3개월) 악성코드는 제품마다 차이가 있는 반면, 과거 악성코드들은 대부분 비슷한 탐지율을 보였다. 다만, 안티바이러스 제품마다 악성코드를 탐지하는 기준(룰로 봤을 때 악성이냐 아니냐)이 달라서, 좋다 나쁘다를 판단하는 기준이 모호하고, 그에 따라 탐지명이 제품마다 다른 경우가 많았다. 예를 들면 A 제품은 랜섬웨어, B 제품은 트로이목마로 탐지하는 경우가 있는데, 이런 경우 사용자는 안티바이러스 탐지 명에 의존할 수밖에 없는 것이 문제라고 생각한다.
그래서 어렵겠지만 여러 국제표준이 있듯이 탐지 룰에 대한 국제표준도 만들어지면 좋겠다는 생각을 했다.
안티바이러스를 사용할 때 함께 사용하면 시너지 효과가 날 보안 솔루션이 있다면?
요즘 안티바이러스 개발 회사들은 악성코드 탐지뿐만 아니라 다양한 부가기능을 제공하거나 별도의 솔루션으로 출시하고 있다. 사용자의 주요 활동, 예를 들어 인터넷 서핑이나 게임, 문서작업이나 이메일 등에 따라 취약한 부분이 생길 수 있기 때문에 그에 맞춰 랜섬웨어 탐지 솔루션이나 유해사이트 탐지 기능 등을 추가로 사용하면 좋을 것 같다.
특히 사용 중인 안티바이러스가 있다면, 옵션에 추가로 활성화할 수 있는 기능이 있을 수 있으니 먼저 해당 기능을 제공하는지 확인하는 것이 필요하다.
안티랜섬웨어 구입할 때 팁이 있다면?
안티랜섬웨어를 고를 때 첫 번째는 당연히 탐지 기능을 보는 것이 매우 중요하다. 또한, 탐지뿐만 아니라 탐지한 멀웨어를 제거해 실제 데이터 보호가 가능한지 확인해야 한다. 그리고 일부 제품에서 제공하는 데이터 백업 기능도 중요하며, 얼마나 많은 용량을 백업할 수 있는지 확인하는 것도 필요하다. 현재 사용 중인 안티바이러스가 있다면 다른 제품이 좋다고 무작정 구매하기보다는, 호환성을 확인해 기존 제품과의 충돌 여부를 먼저 확인해야 한다.
▲비트디펜더 테크놀로지 다이아그램[이미지: 비트디펜더]
[안티바이러스 집중분석-1]
완벽히 통합된 단일 콘솔을 통한 강력하고 확장된 보안 관리 제공
비트디펜더 그라비티존 XDR: 보안팀의 부담을 덜어주는 통합된 확장 보안 솔루션
비트디펜더 그라비티존 XDR(Extended Detection and Response)은 사이버 위협의 복잡성이 점차 증가하는 환경에서 기업 보안을 한 차원 높이는 혁신적인 플랫폼이다. 비트디펜더 그라비티존 XDR은 자사의 EDR 솔루션과 통합된 단일 센서를 통해 다양한 공격 표면(엔드포인트, ID, 이메일, 생산성 앱, 클라우드, 네트워크 등)에서 수집된 위협 데이터를 자동으로 상관 분석하고 통합해 공격의 전반적인 상황을 시각적으로 제공한다.
보안 관리자는 이러한 통합 컨텍스트를 통해 위협의 전반적인 흐름을 명확히 이해하고, 필요한 조치를 빠르게 취할 수 있다. 비트디펜더 그라비티존 XDR은 서드파티 보안 도구나 복잡한 설정 없이도 작동하며, 기업의 IT 리소스를 최소화하면서 효율적인 보안 관리를 실현하므로 보안팀의 업무 부담을 덜어줄 뿐만 아니라 모든 UI 영역에서 한국어를 지원하기 때문에 국내 고객의 편의성 또한 향상시켜 준다.
다양한 확장 센서를 통한 강력한 공격 모니터링
비트디펜더 그라비티존 XDR은 다양한 이벤트의 상관관계, 인시던트의 신속한 분류, 자동처리 및 권장 대응조치를 통해 공격을 억제할 수 있으며, 고도화된 위협 보호 기능과 획기적인 분석, 풍부한 보안 컨텍스트를 결합해 제공하기 때문에 솔루션의 사용 기간이 길어질수록 더욱 견고한 보안 설정을 구성할 수 있도록 도와준다.
또한, 비트디펜더 그라비티존 XDR은 인시던트를 발생 시간에 따라 연결하고 엔드포인트, 클라우드, ID, 네트워크 및 생산성 앱 등 데이터 전반에 걸친 자동화된 증거 수집 및 근본 원인 분석을 통해 더욱 심층적인 가시성을 제공함으로써 공격의 전체 흐름을 이해하기 쉽게 가시화한다. 뿐만 아니라 Office 365, Google Workspace, Active Directory, Azure AD, MS Intune, AWS, Azure, GCP, CSPM, Atlassian 클라우드, 엔드포인트, 모바일, 네트워크에 대한 확장 센서를 지원하며, 이를 통해 다양한 공격 시도를 더욱 확장된 통찰력으로 탐지하고 모니터링한다.
효율적인 위협 대응을 통한 시간 및 리소스 절약
비트디펜더 그라비티존 XDR은 완벽히 통합된 단일 콘솔과 통합된 자체 에이전트를 통해 강력하고 확장된 보안 솔루션을 제공함에도 불구하고 단순하고 편리한 관리 환경을 제공하므로 기업에서는 위협 탐지 및 대응에 필요한 인적/물적 리소스를 절약할 수 있다. 위협 신호를 자동으로 연계 분석해 근본 원인을 찾아 조치를 취할 수 있으며, 즉각적인 대응으로 비즈니스의 피해를 최소화한다. 또한 보안팀이 의사결정을 쉽게 내릴 수 있도록 불필요한 경고를 줄이고, 명확한 우선순위를 설정할 수 있도록 돕는다. 이로 인해 기업은 사이버 공격으로 인한 운영 중단을 최소화하고, 랜섬웨어 등의 사이버 공격의 피해를 효과적으로 방지할 수 있다.
한편, 비트디펜더 그라비티존 제품은 2024년 2분기에 실시한 Forrester Wave의 EDR 벤더 평가에서 Strong Performer로 선정됐으며, 2023년 4분기에 실시한 Forrester Wave의 엔드포인트 보안 평가 부문에서 ID 보호, 멀웨어 예방, 익스플로잇 방지, 공격 표면 완화, 취약점 수정, 패치 수정, 네트워크 위협 탐지, 혁신 기술, 채택, 가격 유연성 및 투명성에서 최고점을 받아 엔드포인트 보안 부문의 리더로 선정 받는 등 고객에게 제품 전반에 걸친 신뢰를 보여주며, EPP와 XDR 분야에서 글로벌 리더로써 행보를 보이고 있다.
▲Symantec® Data Center: Server Advanced(DCSA)[이미지: 이테크시스템]
[안티바이러스 집중분석-2]
Symantec® Data Center: Server Advanced(DCSA)
제로데이 공격 및 새로운 취약점으로부터 IT 인프라 보호
비즈니스에서 IT 인프라를 보호하는 일은 매우 복잡하고 힘든 일이다. 더 많은 어플리케이션과 비즈니스 서비스가 도입됨에 따라 아키텍처는 더욱더 복잡해지고 있으며, IT 인프라의 복잡성이 증가할수록 제로데이 위협과 새로이 발견된 취약점을 이용하려는 익스플로잇 공격으로부터 인프라를 보호하는 것은 점점 더 어려워지게 된다. 최근의 보안 침해 사고 사례는 오늘날 직면하고 있는 사이버 공격의 위협 표면과 공격 기술의 정교함이 점점 더 증가하고 있음을 나타낸다.
Symantec® Data Center: Server Advanced(DCSA)은 Web 인프라에 대한 선제적 보호와 하드 기술을 통해 제로데이 공격이나 새로운 취약점으로부터 기업의 IT 인프라를 완벽히 보호함과 동시에 중단 없는 서비스를 제공한다.
Symantec® Data Center : Server Advanced(DCSA)는 아래의 주요 기능을 제공한다.
IPS/IDS(침해방지/탐지시스템) : Windows/Unix/Linux 시스템에 대한 보호 및 정책 관리
Symantec DCSA는 Windows Sandworm과 같은 보안 패치를 아직 적용하지 않았거나, 시스템에 취약점이 있다는 사실을 파악하지 못한 상태에서도 인프라를 보호할 수 있다. Linux와 Unix 시스템을 공격하는 Bash 취약점이 발견된 경우에도 IPS 기능을 활성화해, 고객은 애플리케이션 성능에 부담을 주지 않으면서도 비정상적이고 의심스러운 활동을 신속하게 감지하고 경고 알림을 설정할 수 있다. 외부에 노출된 호스트의 경우, Symantec DCSA를 통해 정책을 조정해 중요한 파일은 사용자나 프로세스(ROOT 포함)에 ‘읽기’만 가능하도록 해 시스템을 위협으로부터 보호할 수 있다.
Full Application Control and Sandboxing : 완벽한 앱 제어 및 샌드박싱
Symantec DCSA는 공용 게이트웨이 인터페이스(Common Gateway Interface : CGI)를 통해 공격을 시작하는 멀웨어로부터 웹 서버를 보호할 수 있다. 해당 서버의 프로세스를 제한해 필요한 기능만 수행하거나 CGI가 완전히 실행되지 않도록 설정한다.
Root User 권한 제한
Symantec DCSA는 고객이 Unix 시스템에서 Root User의 기능을 제한하는 용도로 사용할 수 있다. 취약점이 발견된 경우, Root User 권한을 제한해 위협이 될 수 있는 노출을 방지하도록 Unix Prevention 정책을 조정해야 한다.
Micro-segmentation(마이크로 세그멘테이션)
Symantec DCSA를 사용하면 고객은 어플리케이션 인스턴스별로 마이크로 세그먼트(자산 그룹)의 보안 컨테이너를 수동으로 생성하고, 보안을 위해 적절한 정책을 적용할 수 있다. 마이크로 세그멘테이션을 사용하는 고객은 진보된 위협에 대해 더 빠르고 정확한 대응을 할 수 있으며, 침해된 물리 호스트 내에서도 악성 소프트웨어가 중요한 애플리케이션에 액세스하는 것을 차단할 수 있다.
이 밖에도, Symantec DCSA는 Windows 2008 Server와 같은 레거시 시스템에 대해 하드닝(hardening) 기능을 통해 주요 어플리케이션을 보호할 수 있으며, 새로 도입되는 물리적, 또는 가상의 자산에 대한 보호도 즉각적으로 적용할 수 있다.
Symantec Data Center Security : Server Advanced를 통해 고객은 SDDC(Software Defined Data Center)의 라이프 사이클과 관계없이 IT 인프라를 안전하게 보호하고, 보안 규정을 완벽히 준수할 수 있게 된다.
▲이스트시큐리티 ‘알약’ 랜섬웨어 차단[이미지: 이스트시큐리티]
[안티바이러스 집중분석-3]
랜섬웨어 방어부터 중앙 관리까지, 엔드포인트 통합 보안을 완성하다
엔드포인트 보안의 새로운 기준, 이스트시큐리티 ‘알약(ALYac)’
최근 사이버 공격은 제로데이 취약점과 신종 랜섬웨어를 악용한 지능형 위협으로 갈수록 정교해지고 있다. 이러한 위협은 기업의 엔드포인트 환경을 지속적으로 위협하고 있으며, 기존의 정적인 안티바이러스로는 대응하기 어려운 상황이다. 이스트시큐리티는 통합 백신 솔루션 ‘알약(ALYac) 5.1’(이하 ‘알약’)을 통해 고도화된 위협에 선제적으로 대응하고 있다. ‘알약’은 랜섬웨어 차단, 악성코드 탐지, 중앙 관리 등 다층적인 보안 체계를 제공해 기업의 엔드포인트 환경을 철저히 보호한다.
랜섬웨어 차단에 특화된 백신 솔루션, 알약
알약은 국내 최초로 랜섬웨어 차단 기술인 미끼(Decoy) 파일 탐지 방식을 특허 출원하며, 랜섬웨어로부터 기업 및 개인 사용자의 데이터를 보호하는 데 앞장서 왔다. 또한 최신 버전에서는 암호화 시도를 실시간으로 분석하고 사전에 차단하는 기능을 추가해 랜섬웨어 대응 역량을 한층 강화했다.
강력한 악성코드 탐지와 방어 기능
알약은 듀얼 엔진 구조를 통해 강력한 악성코드 탐지 능력을 제공한다. 시그니처 기반 탐지와 휴리스틱 검사를 결합해 알려지지 않은 신종 악성코드까지 식별하며, 스마트 DB 기술을 적용해 엔진을 경량화하고 검사 속도를 최적화했다. 이를 통해 보안 성능을 유지하면서도 시스템 자원을 효율적으로 사용해 사용자 경험을 개선한다.
효율적인 중앙 관리 솔루션 ASM과의 연계
알약은 ‘ASM(ALYac Security Manager)’과 통합되어 모든 엔드포인트 보안 이벤트를 중앙에서 관리할 수 있다. ASM은 보안 정책의 일괄 적용, 패치 배포, 악성코드 방역 등 다양한 작업을 지원하며, 대규모 환경에서도 운영 효율성을 극대화한다. 이로써 보안 담당자는 분산된 엔드포인트 환경에서도 효과적으로 보안을 유지할 수 있다.
알약 EDR과 PMS로 확장되는 보안 체계
알약은 ‘알약 EDR’ 및 ‘PMS(Patch Management System)’과 연계해 엔드포인트 보안을 더욱 강화한다. 알약 EDR은 행위 기반 탐지를 통해 지능형 위협에 대응하며, PMS는 패치 관리 자동화를 통해 취약점을 최소화한다. 이 같은 연계 솔루션은 다층 보안 체계를 완성하며, 기업의 보안 운영을 한층 더 효율적으로 만든다.
알약은 강력한 랜섬웨어 방어, 악성코드 탐지, 중앙 관리 솔루션 연계를 통해 지능화되는 위협 환경에서 엔드포인트 보안을 선도하는 솔루션이다. 기업 보안의 새로운 기준을 제시하는 ‘알약’은 복잡해지는 보안 과제를 해결하는 데 최적의 선택이 될 것으로 보인다.
[원병철 기자(boanone@boannews.com)]
안티바이러스에 대한 사용자 선호도 조사 결과는?
[인터뷰] 카이스트 사이버보안연구센터 신강식 연구원
안티바이러스 전문기업 집중분석: 비트디펜더, 시만텍, 이스트시큐리티
[보안뉴스 원병철 기자] 사이버보안의 기본이자 가장 대중에게 잘 알려진 ‘안티바이러스(Anti-Virus)’ 소프트웨어는 처음 컴퓨터 바이러스(Virus)에 대응하기 위해 만들어졌다. PC의 인기와 함께 성장했으며, 특히 우리나라에서는 대통령 후보였던 안철수 박사의 ‘국내 최초의 안티바이러스 개발’ 이야기가 TV를 통해 알려지면서 대중화됐다. 다만 너무나 대중화되고 ‘무료’라는 이미지가 굳어지면서 다른 보안 제품에 밀려 무용론까지 나오기도 했다. 그럼에도 불구하고 가장 기본적인 엔드포인트 보안 솔루션이라는 효용성과 다른 보안 솔루션과의 연동으로 꾸준하게 성장하고 있다.
[이미지: gettyimagesbank]
컴퓨터 바이러스는 자기복제 능력을 갖고 있으며 다른 프로그램이나 파일에 기생해 감염을 확산시키는 악성 소프트웨어로, 주로 시스템을 손상시키거나 데이터를 삭제하는 등의 피해를 준다. 바이러스와 혼용해서 사용하는 ‘멀웨어(Malware)’는 악성 소프트웨어(Malicious Software)의 줄임말로, 바이러스 또한 멀웨어의 한 종류다. 이 멀웨어에 대응하는 소프트웨어가 바로 ‘안티 멀웨어(Anti-Malware)’인데, 우리나라는 최초의 안티바이러스(V3)가 워낙 알려진 탓에 당시 사용하던 ‘PC 백신(Vaccine)’, ‘안티바이러스’라는 용어를 더 많이 사용한다.
안티바이러스는 바이러스와 트로이목마, 웜과 스파이웨어와 같은 멀웨어를 탐지하고 제거해 컴퓨터 시스템이나 네트워크를 보호한다. 멀웨어를 탐지하는 기술과 감염된 파일을 복구하거나 격리하는 기술을 통해 시스템을 실시간으로 보호한다.
그렇다면 안티바이러스는 멀웨어를 어떻게 감지할까? 첫 번째는 바로 ‘시그니처 기반 탐지(Signature Base Detection)’다. 잘 알려진 멀웨어의 특징(시그니처)을 데이터베이스에 저장하고 이후 파일이나 프로그램을 비교해 악성 여부를 판단한다. 이때 중요한 것이 바로 시그니처인데, 보안 기업들은 이 시그니처를 업데이트하는 데 사활을 걸고 있다. 자체적으로 시그니처를 수집하기도 하지만, 기업들이 모든 종류의 악성코드를 분석하고 시그니처를 생성할 수 없기 때문에 협력을 통해 시그니처를 공유하거나 구입하기도 한다. 다만 이 방식은 알려지지 않은, 즉 시그니처가 없는 멀웨어는 감지하지 못한다는 단점이 있다.
‘휴리스틱 탐지(Heuristick Detection)’ 방식은 멀웨어의 특징적인 패턴이나 구조를 분석해 악성 여부를 탐지하는 방식이다. 멀웨어의 공통적인 특징을 미리 정의하고, 이 특징을 보이면 멀웨어로 판단해 알리거나 격리한다. 시그니처 방식과 달리 알려지지 않은 새로운 멀웨어나 변종 멀웨어를 탐지할 수 있지만, 오진 가능성과 시스템 자원을 소모한다는 단점도 있다.
‘행위 기반 탐지(Behavior-based Detection)’ 방식은 프로그램의 실행 과정을 모니터링하고 멀웨어의 특징적인 행위를 감지해 악성 여부를 판단한다. 휴리스틱 탐지와 혼용되기도 하지만, 휴리스틱이 멀웨어의 패턴이나 구조를 분석한다면, 행위 기반은 멀웨어의 실행과정과 행위를 분석해 악성 여부를 판단한다.
최근에는 인공지능과 머신러닝 기술을 활용해 탐지 수준이 더 정교해졌다. 에브리존에서는 안티바이러스를 비롯한 엔드포인트(Endpoint) 보안이 기존 시그니처 기반 탐지를 넘어 실시간 위협 대응과 위협 사냥(Threat Hunting) 기능을 포함한 차세대 보안 프레임으로 발전하고 있다고 설명한다. 특히 랜섬웨어의 고도화와 해킹 그룹의 공격이 늘어나면서 기업과 기관들은 단순한 안티바이러스를 넘어 다중방어전략(Defence in Depth)을 채택하고 있다는 것. 이 때문에 MDR(Managed Detection and Response) 서비스와 SOAR(Security Orchestration, Automation and Response) 솔루션 등이 엔드포인트 보안 시장으로 성장 및 확대되고 있다고 밝혔다.
[이미지: gettyimagesbank]
안티바이러스, 무료 VS 유료 논란
안티바이러스는 기본적으로 엔드포인트 기기에서 사용한다. PC와 서버가 가장 많이 사용하며 최근 모바일과 IoT 기기에서도 사용이 늘어나고 있다. 이중에서 가장 시장이 큰 PC 안티바이러스는 기업용과 개인용으로 나뉘어 있다. 기업용과 개인용 안티바이러스는 모두 악성 위협을 차단하고 엔드포인트 기기를 보호한다는 목적은 동일하지만, 구매자와 실사용자, 사용 환경과 요구사항 등 다른 특성을 가졌다. 특히 사용자의 요구사항이 다르기 때문에 UI부터 기능 구성까지 시장 특성을 고려해 개발하고 있다고 업계에서는 말한다.
무엇보다 기업용과 개인용의 구분은 ‘비용’이 가장 큰 비중을 차지한다. 원래 안티바이러스는 상업 소프트웨어인 만큼 당연히 비용을 받고 판매됐다. 그런데 2007년 알약을 시작으로 2008년 안랩의 빛자루, 그리고 네이버가 안랩 V3 Lite와 카스퍼스키를 회원에게 무료로 서비스하는 등 개인 사용자를 위한 무료 안티바이러스가 등장하면서 변화가 시작됐다.
이러한 사건들 이후 일반 사용자들에게 안티바이러스는 ‘무료’라는 인식이 생겼다. 이는 안티바이러스에 대한 일반인들의 인지도가 높아지면서 보안 측면에서는 좋은 평가를 받았지만, 보안업계에는 안좋은 선례를 남기기도 했다. 게다가 무료버전의 안티바이러스가 광고를 도입해 수익을 창출하면서 사용자의 인식이 나빠지는 문제도 있었다.
여기에 쐐기를 박은 것이 바로 마이크로소프트의 디펜더다. 마이크로소프트가 윈도우 운영체제에 자사의 안티바이러스인 ‘디펜더(Defender)’를 기본 장착하고 무료로 서비스하기 시작한 것이다. 게다가 디펜더는 2017년 2월 AV-Test에서 높은 점수를 받은 이후 꾸준하게 평가를 받으면서 성능에 대한 검증까지 받아 인지도가 높아졌다.
다만 디펜더에 대한 안티바이러스 업계의 판단은 아직 유보적이다. 일부 기업들은 디펜더가 OS에 기본 탑재됐기 때문에 사용자 접근성이 높아 시장 점유율이 빠르게 상승했지만, 국내 조달체계와 보안인증 등 국내 시장의 특수성과 고객 요구사항 대응 속도 등에서 상대적으로 어려움을 겪는 부분이 있다고 평가했다.
반대로 디펜더로 인해 기존 안티바이러스가 어려움을 겪을 것이라고 보는 시각도 존재한다. 특히 기업용 보안 솔루션인 ‘디펜더 for Endpoint’가 EDR와 XDR 기능까지 지원하면서 디펜더를 선택하는 사용자들이 늘고 있다는 분석이다. 무엇보다 윈도우에 최적화된 것이나 MS365 시큐리티와 애저 시큐리티와 같은 통합 보안 솔루션이 강화되고 있기 때문에 이러한 영향은 더욱 커질 것으로 내다봤다.
▲국내외 대표 안티바이러스[자료정리: 보안뉴스]
모바일부터 IoT까지, 세력 넓혀가는 안티바이러스
우리에게 가장 잘 알려지고 대중적으로 사용하는 PC 때문에 ‘엔드포인트 기기=PC’라는 공식이 있긴 하지만, 엄밀히 말하면 엔드포인트에는 윈도우가 아닌 mac, 서버, 모바일, IoT 등 다양한 기기가 포함되어 있다. 좀 더 자세하게 말하면 윈도우가 아닌 macOS, 리눅스 등 다양한 ‘운영체제’를 사용하는 기기가 있으며, 멀웨어 역시 이 운영체제에 맞춰 만들어진다. 대부분의 사이버 공격이 윈도우를 기반으로 만들어지지만, 다른 운영체제를 노리는 공격과 여러 운영체제를 동시에 겨냥하는 크로스 플랫폼 멀웨어도 최근 급증하고 있다. 실제로 독일의 IT 보안 연구기관 AV-TEST에 따르면 2023년 신종 macOS 멀웨어 패밀리 수는 전년 대비 2배가 증가한 것으로 집계됐다.
클라우드 확산으로 서버 보안에 대한 수요와 시장도 크게 성장하고 있다. 인프라가 확산됨에 따라 서버 환경을 타깃으로 한 악성코드도 급증하고 있기 때문이다. AV-TEST에 따르면 서버 운영체제로 주로 사용되는 Linux를 타깃으로 한 악성코드는 2020년 이후 매년 100% 이상의 증가율을 보일 만큼 빠른 속도로 확산되고 있다.
특히 모바일 기기는 PC에 못지않은 인기를 끌고 있지만, 모바일 보안 이슈는 아직 미미한 수준이다. 업계에서는 모바일 환경과 데스크톱 환경을 노리는 사이버 위협의 유형이 다르기 때문에 대응 기능에서도 차이가 있다고 설명한다.
안랩은 데스크톱 환경과 달리 모바일 기기는 주로 앱을 통해 악성 코드가 유입되므로, 앱에 대한 스캐닝, 네트워크 보안에 보다 집중한다고 설명했다. 더불어 사용자 친화적인 인터페이스와 유틸리티를 제공해 사용성을 높이는 부분도 개발시 주로 고려된다고 덧붙였다.
특히 안랩은 “당사가 발표한 ‘2025년 5대 사이버 보안 위협 전망’에서도 모바일, IoT를 타깃으로 한 악성 위협도 지속적으로 늘고 있다는 점을 지적했다”면서, “글로벌 리서치 기관에 따르면 모바일 안티 멀웨어 시장 규모는 2024년 79억 2천만 달러로 예측, 16%에 달하는 연평균 성장률을 기록할 것으로 예상된다”고 설명했다.
에브리존은 “모바일 안티바이러스는 일반 안티바이러스와 근본적으로 다른 보안 패러다임을 기반으로 작동하며, 이는 운영 환경의 격리 모델, 위협 탐지 방식, 보안 정책의 적용 범위 차이에서 비롯된다”면서, “예를 들면, 모바일 OS는 샌드박스 구조를 통해 애플리케이션 간의 직접적인 파일 시스템 접근을 원천적으로 차단하지만, 일반 OS는 프로세스 간 메모리 공유와 커널 모드 접근이 가능하기 때문에, 악성코드가 루트킷(Rootkit)과 같은 형태로 OS 내부에 깊숙이 침투한다”고 설명했다.
시큐리온도 “코로나19로 인해 많은 기업들이 원격근무 등 디지털 혁신을 도입하면서 기존 PC보안 중심의 보안 체계를 모바일까지 확장하려는 시도가 있었다”면서, “보안위협이 고도화되는 추세를 기업에서도 인지하고 있었기 때문에, 안티바이러스를 넘어 보다 고도화된 보안 솔루션에 대한 수요가 있었다”고 강조했다.
진화하는 멀웨어와 함께 진화하는 안티바이러스
최근의 멀웨어들은 점점 더 복잡하고 광범위하게 고도화되고 있다. 특히 업계에서는 AI, 적응형 코드, 파일리스 기법 등이 악성 위협에 더욱 공격적으로 활용될 것으로 예상하고, 클라우드 도입 가속화 및 IoT 기기 확산으로 인한 다양한 IT 계층의 공격 표면 증가를 걱정하고 있다.
이러한 위협에 실시간으로 대응하기 위해 위협 진단에 대해 인공지능 및 머신러닝을 적용, 새로운 위협을 실시간으로 진단할 수 있도록 하고 있다. 또 진단뿐 아니라 대응, 보안 운영 등 다양한 포인트에 AI나 머신러닝을 적용해 대응 프로세스 단축과 자동화를 마련하고 있다는 설명이다.
이에 대해 에스케어는 “침해사고에 사용되는 IoC 지표들이 일반적인 악성코드를 벗어나 LoLBins(Living off the land binaries) 형태와 메모리 공격 형태로 변형됨에 따라 기존 시그니처 방식의 안티바이러스에서 벗어나 현재는 대부분 머신러닝 또는 AI 와 같은 최신 탐지 기술을 도입하고 있다”면서, “정교화된 악성코드 탐지를 위해서는 행위기반의 AI 엔진이 필수적으로 필요하며, 모든 행위를 모니터링 하기 때문에 성능적인 요소도 필수적으로 고려돼야 한다”고 강조했다. 아울러 “보안 관리자에게 필수적인 가시성 확보를 위해 악성 행위에 대한 시각적 가시화도 주목해야 하며, 악성코드로 인한 파일의 암호화나 시스템의 변경을 바로 사용가능한 형태로 복원할 수 있는 기술도 고민하고 있다”고 덧붙였다.
이처럼 보안기업들은 진화하는 멀웨어에 맞춰 안티바이러스도 함께 진화하고 있다고 설명한다. 특히 인공지능과 머신러닝을 활용해 기술적인 보완을 하고 있으며, 기존 윈도우 외에 macOS와 리눅스, 그리고 모바일 등 다른 포맷을 위한 전용 안티바이러스 개발에도 집중하고 있는 것으로 알려졌다.
▲안티바이러스에 대한 사용자 설문조사[자료: 보안뉴스]
안티바이러스에 대한 사용자 선호도 조사
그렇다면 실제 사용자들의 안티바이러스에 대한 생각은 어떨까? <보안뉴스>는 사용자들의 의견을 알아보기 위해 2025년 1월 20일부터 23일까지 4일간 약 10만여명의 보안 담당자에게 ‘안티바이러스 인식 및 선호도 조사’를 실시했다. 이번 설문조사에서는 공공(26.7%)과 민간(26.7%)의 보안담당자 2,219명이 응답했다.
먼저 사용 중인 안티바이러스의 종류에 대해 물어봤다. 기업이나 기관의 보안담당자가 대부분인 만큼 57.5%의 사용자가 유료 안티바이러스를 사용하고 있었고, EDR 등 고성능 엔드포인트 보안 솔루션을 사용하는 사용자도 15.4%에 달했다. 또한 방화벽 등 다른 보안 솔루션에 담긴 안티바이러스를 사용하는 사용자가 6.3%였고, 윈도우 디펜더 사용자도 6.3%에 달했다. 무료 안티바이러스를 사용하는 사용자는 14.5%였다.
이어 몇 개의 안티바이러스를 사용하는 지도 물어봤다. 일부 사용자는 글로벌 제품과 한국 제품을 함께 사용하는 경우가 있기 때문이다. 1개만 사용하는 사용자가 대다수(67%)였지만, 2개를 사용하는 사용자도 24%나 있었으며, 3개를 사용하는 사용자도 7.7%에 달했다. 심지어 숫자는 작았지만 4개(0.4%)를 사용하거나 5개(0.9%)를 사용하는 사용자도 있었다.
그렇다면 사용자들은 안티바이러스를 선택할 때 어떤 기준으로 선택할까? 당연하게도 보안 성능이 32.1%로 가장 많았지만, 도입비용(24.4%)이나 다른 보안솔루션 및 인프라와의 호환성(19.0%)을 따지는 사용자들도 많았다. 또한 브랜드 인지도(13.6%)나 유지보수 등 기술지원(5.9%), 그리고 다양한 기능(5.0%)을 꼽은 사용자도 있었다.
사용하면서 느낀 불편한 점도 물어봤다. 사용자의 절반(47.1%)은 오탐·미탐·과탐 등 탐지 정확도 미흡을 문제로 지적했고, 잦은 자동 업데이트와 스캔(23.1%)을 두 번째로 선택했다. 이어 과도한 웹사이트 및 소프트웨어 차단(16.7%)과 팝업 등 광고(13.1%)가 불편하다고 답했다.
한편, 대부분의 안티바이러스가 랜섬웨어 방어도 가능하다고 홍보하는 만큼 이에 대한 생각도 물어봤다. 하지만 절반 이상(56.1%)의 사용자가 ‘안티바이러스로는 랜섬웨어를 100% 방어할 수 없다’고 답했으며, 29.9%의 사용자는 ‘별도의 랜섬웨어 방어 솔루션을 함께 사용해야 한다’고 답했다. 14.0%의 사용자는 충분히 랜섬웨어를 방어할 수 있다고 생각한다고 답했다.
늘어난 엔드포인트 보호에 대한 고민
지금까지 엔드포인트 보안의 최전선을 지키는 안티바이러스에 대해 알아봤다. 안티바이러스는 엔드포인트 기기를 보호하는 최후의 보루로, 인공지능 등 신기술을 활용해 발전하고 있는 멀웨어에 대응하기 위해 함께 발전해오고 있다. 한동안 새로 등장하는 엔드포인트 보안 솔루션에 밀려 부침을 겪기도 했지만, PC 외에 모바일과 IoT 등 다양한 기기로 활동영역을 넓히고 신기술을 받아들이며 함께 발전함으로써 다시금 성장을 발판을 마련했다. 특히 코로나 펜데믹 이후 재택근무 등 업무환경이 변화하면서 늘어난 엔드포인트는 안티바이러스의 부활에 한몫 한 것으로 알려졌다.
1971년 세계 최초의 바이러스 ‘크리퍼 바이러스(Creeper Virus)’와 크리퍼 바이러스를 삭제해 세계 최초의 안티바이러스로 알려진 ‘리퍼(Reaper)’가 등장하면서 시작된 바이러스와 안티바이러스의 전쟁은 아직도 지속되고 있다. 특히 랜섬웨어처럼 공격을 위한 악성 소프트웨어인 멀웨어가 급속도로 증가하면서 안티바이러스 역시 다양한 기능을 더하며 이에 대응하고 있다.
특히 안티바이러스는 PC의 대중화와 함께 가장 대중적으로 알려진 사이버보안 솔루션이 됐으며, 그만큼 사이버보안 보편화에 기여했다. 물론 ‘무료’라는 이미지나 잦은 스캔과 업데이트로 인한 사용자 불편에 따른 인식저하는 지적받았지만, 안티바이러스가 사이버보안 강화에 기여한 성과는 누구도 부인하지 못할 사실이다.
모바일과 IoT 등 다양해진 플랫폼으로 인해 다시금 성장을 발판을 마련한 안티바이러스는 인공지능과 클라우드 등 신기술을 접목해 한 차원 높은 보안을 선보이고 있다. 특히 업무환경의 변화로 인해 늘어난 엔드포인트에 대한 조직들의 고민이 깊어가면서, 이에 대한 해결책을 제시할 수 있는 엔드포인트의 가치 상승은 당분간 지속될 것으로 보인다.
▲카이스트 사이버보안연구센터(KAIST CSRC) 신강식 연구원[사진: 보안뉴스]
Interview. 카이스트 사이버보안연구센터(KAIST CSRC) 신강식 연구원
“완벽한 보안 솔루션은 없어, 사용자 상황과 니즈에 맞춰 안티바이러스 도입해야”
국내 최고 권위의 사이버보안 전문 R&D센터인 카이스트 사이버보안연구센터(KAIST CSRC)는 각종 사이버보안 이슈를 해결하고 관련 기술 연구개발을 선도하기 위해 2010년 설립됐다. 특히 정부 차원의 거대 사이버보안 연구는 물론, 국민에게 꼭 필요한 사이버보안 연구도 함께 진행하고 있다. 2023년부터 진행해 온 안티바이러스 10종 성능 테스트와 모바일 안티바이러스 10종 성능 테스트, 그리고 가장 최근에는 안티바이러스 10종의 랜섬웨어 탐지 및 암호화 진행률 테스트가 그것이다. 이에 해당 연구를 직접 진행한 카이스트 CSRC 신강식 연구원에게 안티바이러스 연구에 대해 물어 봤다.
카이스트 CSRC에서 특히 안티바이러스 테스트를 많이 하고 있다. 그 이유는 무엇인가?
카이스트 사이버보안연구센터는 국가 사이버안보 강화를 위해 공익성과 공공성을 갖고 다양한 사이버보안 기술의 R&D를 수행하고 있다. 따라서 정보보안 제품 중에 가장 시장이 크고 일반 국민들이 가장 많이 접할 수 있는 제품을 생각해 봤고, 가장 친숙하게 다가갈 수 있는 제품을 고른 것이 바로 안티바이러스 제품이었다.
당시 안티바이러스 테스트 결과가 그리 좋지 못했던 것으로 기억한다
안티바이러스가 당연히 악성코드를 100% 탐지할 순 없다고 생각한다. 대부분 최신(약 3개월) 악성코드는 제품마다 차이가 있는 반면, 과거 악성코드들은 대부분 비슷한 탐지율을 보였다. 다만, 안티바이러스 제품마다 악성코드를 탐지하는 기준(룰로 봤을 때 악성이냐 아니냐)이 달라서, 좋다 나쁘다를 판단하는 기준이 모호하고, 그에 따라 탐지명이 제품마다 다른 경우가 많았다. 예를 들면 A 제품은 랜섬웨어, B 제품은 트로이목마로 탐지하는 경우가 있는데, 이런 경우 사용자는 안티바이러스 탐지 명에 의존할 수밖에 없는 것이 문제라고 생각한다.
그래서 어렵겠지만 여러 국제표준이 있듯이 탐지 룰에 대한 국제표준도 만들어지면 좋겠다는 생각을 했다.
안티바이러스를 사용할 때 함께 사용하면 시너지 효과가 날 보안 솔루션이 있다면?
요즘 안티바이러스 개발 회사들은 악성코드 탐지뿐만 아니라 다양한 부가기능을 제공하거나 별도의 솔루션으로 출시하고 있다. 사용자의 주요 활동, 예를 들어 인터넷 서핑이나 게임, 문서작업이나 이메일 등에 따라 취약한 부분이 생길 수 있기 때문에 그에 맞춰 랜섬웨어 탐지 솔루션이나 유해사이트 탐지 기능 등을 추가로 사용하면 좋을 것 같다.
특히 사용 중인 안티바이러스가 있다면, 옵션에 추가로 활성화할 수 있는 기능이 있을 수 있으니 먼저 해당 기능을 제공하는지 확인하는 것이 필요하다.
안티랜섬웨어 구입할 때 팁이 있다면?
안티랜섬웨어를 고를 때 첫 번째는 당연히 탐지 기능을 보는 것이 매우 중요하다. 또한, 탐지뿐만 아니라 탐지한 멀웨어를 제거해 실제 데이터 보호가 가능한지 확인해야 한다. 그리고 일부 제품에서 제공하는 데이터 백업 기능도 중요하며, 얼마나 많은 용량을 백업할 수 있는지 확인하는 것도 필요하다. 현재 사용 중인 안티바이러스가 있다면 다른 제품이 좋다고 무작정 구매하기보다는, 호환성을 확인해 기존 제품과의 충돌 여부를 먼저 확인해야 한다.
▲비트디펜더 테크놀로지 다이아그램[이미지: 비트디펜더]
[안티바이러스 집중분석-1]
완벽히 통합된 단일 콘솔을 통한 강력하고 확장된 보안 관리 제공
비트디펜더 그라비티존 XDR: 보안팀의 부담을 덜어주는 통합된 확장 보안 솔루션
비트디펜더 그라비티존 XDR(Extended Detection and Response)은 사이버 위협의 복잡성이 점차 증가하는 환경에서 기업 보안을 한 차원 높이는 혁신적인 플랫폼이다. 비트디펜더 그라비티존 XDR은 자사의 EDR 솔루션과 통합된 단일 센서를 통해 다양한 공격 표면(엔드포인트, ID, 이메일, 생산성 앱, 클라우드, 네트워크 등)에서 수집된 위협 데이터를 자동으로 상관 분석하고 통합해 공격의 전반적인 상황을 시각적으로 제공한다.
보안 관리자는 이러한 통합 컨텍스트를 통해 위협의 전반적인 흐름을 명확히 이해하고, 필요한 조치를 빠르게 취할 수 있다. 비트디펜더 그라비티존 XDR은 서드파티 보안 도구나 복잡한 설정 없이도 작동하며, 기업의 IT 리소스를 최소화하면서 효율적인 보안 관리를 실현하므로 보안팀의 업무 부담을 덜어줄 뿐만 아니라 모든 UI 영역에서 한국어를 지원하기 때문에 국내 고객의 편의성 또한 향상시켜 준다.
다양한 확장 센서를 통한 강력한 공격 모니터링
비트디펜더 그라비티존 XDR은 다양한 이벤트의 상관관계, 인시던트의 신속한 분류, 자동처리 및 권장 대응조치를 통해 공격을 억제할 수 있으며, 고도화된 위협 보호 기능과 획기적인 분석, 풍부한 보안 컨텍스트를 결합해 제공하기 때문에 솔루션의 사용 기간이 길어질수록 더욱 견고한 보안 설정을 구성할 수 있도록 도와준다.
또한, 비트디펜더 그라비티존 XDR은 인시던트를 발생 시간에 따라 연결하고 엔드포인트, 클라우드, ID, 네트워크 및 생산성 앱 등 데이터 전반에 걸친 자동화된 증거 수집 및 근본 원인 분석을 통해 더욱 심층적인 가시성을 제공함으로써 공격의 전체 흐름을 이해하기 쉽게 가시화한다. 뿐만 아니라 Office 365, Google Workspace, Active Directory, Azure AD, MS Intune, AWS, Azure, GCP, CSPM, Atlassian 클라우드, 엔드포인트, 모바일, 네트워크에 대한 확장 센서를 지원하며, 이를 통해 다양한 공격 시도를 더욱 확장된 통찰력으로 탐지하고 모니터링한다.
효율적인 위협 대응을 통한 시간 및 리소스 절약
비트디펜더 그라비티존 XDR은 완벽히 통합된 단일 콘솔과 통합된 자체 에이전트를 통해 강력하고 확장된 보안 솔루션을 제공함에도 불구하고 단순하고 편리한 관리 환경을 제공하므로 기업에서는 위협 탐지 및 대응에 필요한 인적/물적 리소스를 절약할 수 있다. 위협 신호를 자동으로 연계 분석해 근본 원인을 찾아 조치를 취할 수 있으며, 즉각적인 대응으로 비즈니스의 피해를 최소화한다. 또한 보안팀이 의사결정을 쉽게 내릴 수 있도록 불필요한 경고를 줄이고, 명확한 우선순위를 설정할 수 있도록 돕는다. 이로 인해 기업은 사이버 공격으로 인한 운영 중단을 최소화하고, 랜섬웨어 등의 사이버 공격의 피해를 효과적으로 방지할 수 있다.
한편, 비트디펜더 그라비티존 제품은 2024년 2분기에 실시한 Forrester Wave의 EDR 벤더 평가에서 Strong Performer로 선정됐으며, 2023년 4분기에 실시한 Forrester Wave의 엔드포인트 보안 평가 부문에서 ID 보호, 멀웨어 예방, 익스플로잇 방지, 공격 표면 완화, 취약점 수정, 패치 수정, 네트워크 위협 탐지, 혁신 기술, 채택, 가격 유연성 및 투명성에서 최고점을 받아 엔드포인트 보안 부문의 리더로 선정 받는 등 고객에게 제품 전반에 걸친 신뢰를 보여주며, EPP와 XDR 분야에서 글로벌 리더로써 행보를 보이고 있다.
▲Symantec® Data Center: Server Advanced(DCSA)[이미지: 이테크시스템]
[안티바이러스 집중분석-2]
Symantec® Data Center: Server Advanced(DCSA)
제로데이 공격 및 새로운 취약점으로부터 IT 인프라 보호
비즈니스에서 IT 인프라를 보호하는 일은 매우 복잡하고 힘든 일이다. 더 많은 어플리케이션과 비즈니스 서비스가 도입됨에 따라 아키텍처는 더욱더 복잡해지고 있으며, IT 인프라의 복잡성이 증가할수록 제로데이 위협과 새로이 발견된 취약점을 이용하려는 익스플로잇 공격으로부터 인프라를 보호하는 것은 점점 더 어려워지게 된다. 최근의 보안 침해 사고 사례는 오늘날 직면하고 있는 사이버 공격의 위협 표면과 공격 기술의 정교함이 점점 더 증가하고 있음을 나타낸다.
Symantec® Data Center: Server Advanced(DCSA)은 Web 인프라에 대한 선제적 보호와 하드 기술을 통해 제로데이 공격이나 새로운 취약점으로부터 기업의 IT 인프라를 완벽히 보호함과 동시에 중단 없는 서비스를 제공한다.
Symantec® Data Center : Server Advanced(DCSA)는 아래의 주요 기능을 제공한다.
IPS/IDS(침해방지/탐지시스템) : Windows/Unix/Linux 시스템에 대한 보호 및 정책 관리
Symantec DCSA는 Windows Sandworm과 같은 보안 패치를 아직 적용하지 않았거나, 시스템에 취약점이 있다는 사실을 파악하지 못한 상태에서도 인프라를 보호할 수 있다. Linux와 Unix 시스템을 공격하는 Bash 취약점이 발견된 경우에도 IPS 기능을 활성화해, 고객은 애플리케이션 성능에 부담을 주지 않으면서도 비정상적이고 의심스러운 활동을 신속하게 감지하고 경고 알림을 설정할 수 있다. 외부에 노출된 호스트의 경우, Symantec DCSA를 통해 정책을 조정해 중요한 파일은 사용자나 프로세스(ROOT 포함)에 ‘읽기’만 가능하도록 해 시스템을 위협으로부터 보호할 수 있다.
Full Application Control and Sandboxing : 완벽한 앱 제어 및 샌드박싱
Symantec DCSA는 공용 게이트웨이 인터페이스(Common Gateway Interface : CGI)를 통해 공격을 시작하는 멀웨어로부터 웹 서버를 보호할 수 있다. 해당 서버의 프로세스를 제한해 필요한 기능만 수행하거나 CGI가 완전히 실행되지 않도록 설정한다.
Root User 권한 제한
Symantec DCSA는 고객이 Unix 시스템에서 Root User의 기능을 제한하는 용도로 사용할 수 있다. 취약점이 발견된 경우, Root User 권한을 제한해 위협이 될 수 있는 노출을 방지하도록 Unix Prevention 정책을 조정해야 한다.
Micro-segmentation(마이크로 세그멘테이션)
Symantec DCSA를 사용하면 고객은 어플리케이션 인스턴스별로 마이크로 세그먼트(자산 그룹)의 보안 컨테이너를 수동으로 생성하고, 보안을 위해 적절한 정책을 적용할 수 있다. 마이크로 세그멘테이션을 사용하는 고객은 진보된 위협에 대해 더 빠르고 정확한 대응을 할 수 있으며, 침해된 물리 호스트 내에서도 악성 소프트웨어가 중요한 애플리케이션에 액세스하는 것을 차단할 수 있다.
이 밖에도, Symantec DCSA는 Windows 2008 Server와 같은 레거시 시스템에 대해 하드닝(hardening) 기능을 통해 주요 어플리케이션을 보호할 수 있으며, 새로 도입되는 물리적, 또는 가상의 자산에 대한 보호도 즉각적으로 적용할 수 있다.
Symantec Data Center Security : Server Advanced를 통해 고객은 SDDC(Software Defined Data Center)의 라이프 사이클과 관계없이 IT 인프라를 안전하게 보호하고, 보안 규정을 완벽히 준수할 수 있게 된다.
▲이스트시큐리티 ‘알약’ 랜섬웨어 차단[이미지: 이스트시큐리티]
[안티바이러스 집중분석-3]
랜섬웨어 방어부터 중앙 관리까지, 엔드포인트 통합 보안을 완성하다
엔드포인트 보안의 새로운 기준, 이스트시큐리티 ‘알약(ALYac)’
최근 사이버 공격은 제로데이 취약점과 신종 랜섬웨어를 악용한 지능형 위협으로 갈수록 정교해지고 있다. 이러한 위협은 기업의 엔드포인트 환경을 지속적으로 위협하고 있으며, 기존의 정적인 안티바이러스로는 대응하기 어려운 상황이다. 이스트시큐리티는 통합 백신 솔루션 ‘알약(ALYac) 5.1’(이하 ‘알약’)을 통해 고도화된 위협에 선제적으로 대응하고 있다. ‘알약’은 랜섬웨어 차단, 악성코드 탐지, 중앙 관리 등 다층적인 보안 체계를 제공해 기업의 엔드포인트 환경을 철저히 보호한다.
랜섬웨어 차단에 특화된 백신 솔루션, 알약
알약은 국내 최초로 랜섬웨어 차단 기술인 미끼(Decoy) 파일 탐지 방식을 특허 출원하며, 랜섬웨어로부터 기업 및 개인 사용자의 데이터를 보호하는 데 앞장서 왔다. 또한 최신 버전에서는 암호화 시도를 실시간으로 분석하고 사전에 차단하는 기능을 추가해 랜섬웨어 대응 역량을 한층 강화했다.
강력한 악성코드 탐지와 방어 기능
알약은 듀얼 엔진 구조를 통해 강력한 악성코드 탐지 능력을 제공한다. 시그니처 기반 탐지와 휴리스틱 검사를 결합해 알려지지 않은 신종 악성코드까지 식별하며, 스마트 DB 기술을 적용해 엔진을 경량화하고 검사 속도를 최적화했다. 이를 통해 보안 성능을 유지하면서도 시스템 자원을 효율적으로 사용해 사용자 경험을 개선한다.
효율적인 중앙 관리 솔루션 ASM과의 연계
알약은 ‘ASM(ALYac Security Manager)’과 통합되어 모든 엔드포인트 보안 이벤트를 중앙에서 관리할 수 있다. ASM은 보안 정책의 일괄 적용, 패치 배포, 악성코드 방역 등 다양한 작업을 지원하며, 대규모 환경에서도 운영 효율성을 극대화한다. 이로써 보안 담당자는 분산된 엔드포인트 환경에서도 효과적으로 보안을 유지할 수 있다.
알약 EDR과 PMS로 확장되는 보안 체계
알약은 ‘알약 EDR’ 및 ‘PMS(Patch Management System)’과 연계해 엔드포인트 보안을 더욱 강화한다. 알약 EDR은 행위 기반 탐지를 통해 지능형 위협에 대응하며, PMS는 패치 관리 자동화를 통해 취약점을 최소화한다. 이 같은 연계 솔루션은 다층 보안 체계를 완성하며, 기업의 보안 운영을 한층 더 효율적으로 만든다.
알약은 강력한 랜섬웨어 방어, 악성코드 탐지, 중앙 관리 솔루션 연계를 통해 지능화되는 위협 환경에서 엔드포인트 보안을 선도하는 솔루션이다. 기업 보안의 새로운 기준을 제시하는 ‘알약’은 복잡해지는 보안 과제를 해결하는 데 최적의 선택이 될 것으로 보인다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
