카이스트 사이버보안연구센터, 안티바이러스 제품 10종 대상으로 랜섬웨어 대응능력 테스트
[보안뉴스= KAIST 사이버보안연구센터 유영락·이정호·신강식 연구원] 악성코드나 해킹으로부터 PC와 모바일 기기를 안전하게 보호하기 위해서는 안티바이러스의 설치가 필수라는 말을 많이 들어봤다. 이 같은 수많은 권고에 익숙한 우리는 안티바이러스를 보안 위협에 대한 만병통치약으로 인식하는 경향이 있다. 물론 안티바이러스를 설치하지 않은 경우와 대비하여 설치했을 때는 사이버 위협에 대한 강력한 방어막을 형성하는 것과 같은 효과를 낼 수 있다.
[이미지=gettyimagesbank]
2020년 이후 사이버 위협에서 단골로 언급되는 것이 멀웨어, 피싱, 스미싱 및 랜섬웨어 등 네 가지다. 그 중 랜섬웨어는 최근까지도 크게 주목 받고 있다. 이에 카이스트 사이버보안연구센터(CSRC)는 우리의 디지털 자산을 지키기 위한 안티바이러스가 과연 랜섬웨어를 완벽히 차단 및 보호할 수 있는지 테스트를 통해 살펴봤다.
안티바이러스, 어떻게 랜섬웨어를 방어할까
아스트라(ASTRA)의 블로그에 따르면 매일 56만개의 새로운 악성코드가 감지되며, 약 10억개 이상의 멀웨어가 존재한다. 랜섬웨어의 경우 2022년 상반기에만 전 세계적으로 2억 3,670만건의 공격이 발생했으며, 사건당 평균 손실 비용은 454만 달러(한화 약 66억 8,969만원)에 달했다고 알려지고 있다. 통계상 매분 당 4개의 회사가 랜섬웨어 공격을 당하고 있는 꼴이라 문제가 매우 심각하다는 걸 알 수 있다.
랜섬웨어를 방어하는 방법은 무엇일까? 크게 4가지로 정리할 수 있다. 첫 번째는 위험한 웹페이지는 접속하지 않고, 두 번째는 공인되지 않은 파일은 다운로드하지 않으며, 세 번째는 모르는 주소로 온 이메일은 주의한다. 마지막으로 안티바이러스를 설치하는 것이다.
CSRC는 안티바이러스 제조사들의 홈페이지에서 랜섬웨어에 대해 어떻게 대응하는지 확인했다. 대부분의 안티바이러스 제조사는 큰 손해를 입히는 랜섬웨어를 방어하기 위해 자사의 애플리케이션에 탐지 및 감염 방어 기술을 적용했으며, 암호화 방지 기술을 개발해 랜섬웨어를 원천 방어한다고 안내한다. 첫 번째 그림과 같이 회사 대부분은 자신들의 랜섬웨어 감염 방지 기술을 광고하고 있다.
▲안티바이러스 제조사들의 랜섬웨어 대응 관련 광고[자료=카이스트 CSRC]
대표적인 안티바이러스 10종의 랜섬웨어 대응능력은?
카이스트 CSRC 연구팀은 주기적으로 PC 및 모바일 기기 안티바이러스 성능 테스트를 진행해 왔다. 올해 테스트를 계획하며 ‘랜섬웨어 방어 기술은 과연 믿을 만한가?’라는 의문을 품었고, 이를 확인하기 위한 테스트를 추가로 진행했다.
이번 테스트에서의 평가 항목은 PC 안티바이러스 10종을 대상으로 △랜섬웨어 멀웨어 수집 및 데이터 세트 구성 △동작 실험을 통한 탐지 여부 확인 △암호화 여부 확인 등이다. 이와 같은 테스트 프로토콜을 규정하고 실험을 준비했다. 대상 안티바이러스는 랜섬웨어 방어 기술이 탑재됐다고 소개한 메이저 안티바이러스 위주로 선정했다. 선정된 안티바이러스는 △V3 365 △알약 △이셋(ESET) △비트디펜더(Bitdefender) △어베스트(Avast) △노턴(Norton) △마이크로소프트(Microsoft Defender) △아비라(Avira) △어베스트(AVG) 등이다.
안티바이러스는 유·무료가 구분되어 있는 경우 유료 패키지를 구매했으며, 유료 패키지가 없는 제품은 무료 제품을 사용했다. 랜섬웨어 멀웨어는 CSRC 연구팀의 자체 수집 시스템을 이용해 테스트일 기준 최근 3개월 이내에 보고된 멀웨어를 수집해 샘플을 구성했다.
안티바이러스의 랜섬웨어 탐지율 및 암호화 진행률 테스트 결과
카이스트 CSRC는 랜섬웨어 멀웨어 샘플 70개를 직접 실행해 탐지 실험을 시행했다. 결과는 다소 만족스럽지 못했다. 3개월 이내에 보고된 멀웨어 샘플로 구성했지만, 수집된 샘플 가운데는 악성 서버와의 연결이 유실되어 작동되지 않아 탐지가 안 된 샘플도 몇몇 있었다. 따라서 실질적 탐지율은 측정된 탐지율보다 조금 더 높다.
▲카이스트 CSRC가 실험을 통해 나타난 랜섬웨어 탐지율 및 탐지 후 파일 암호화 진행률(좌부터)[자료=카이스트 CSRC]
동작이 되지 않아 탐지가 불가능했던 샘플을 제외하고 평가하더라도 제품 D와 F를 제외한 나머지 제품들의 탐지율이 다소 떨어졌다. 특히, H 제품의 경우 평균 이하의 탐지율을 보여줬다. 최신 멀웨어를 대상으로 한 실험인 만큼 업체별로 업데이트 시점이 달라 향후에 탐지율은 상승할 것으로 예상된다.
이번 테스트에서 가장 주목할 만한 결과는 대부분의 안티바이러스 제품이 랜섬웨어를 탐지한 후, 파일 암호화를 효과적으로 차단·방어하지 못한다는 점이다. 다음 그림은 안티바이러스가 랜섬웨어를 탐지했지만 동작을 막지 못하고 암호화가 진행됐던 사례다.
▲안티바이러스가 랜섬웨어 탐지 후에 이어지는 랜섬웨어 활동 행위[자료=카이스트 CSRC]
안티바이러스가 랜섬웨어 작동을 탐지한 후, 랜섬웨어 파일을 격리했지만, 시스템에서 파일을 암호화하는 악성 활동이 계속 진행됐다. 랜섬웨어는 안티바이러스를 강제로 종료시켜 무력화시킨 후, 시스템 내 폴더를 암호화시켜 결국 모든 파일이 감염됐다. 제품 B, D, H는 다른 안티바이러스와 비교했을 때 상대적으로 랜섬웨어 탐지 시 파일을 암호화하는 악성 행위를 효과적으로 차단했지만, 그 외의 제품은 평균 40% 이상 랜섬웨어를 탐지했음에도 파일 암호화 행위를 차단하지 못했다.
이번 테스트를 진행하기 전에는 안티바이러스가 랜섬웨어를 탐지하면 당연히 암호화 등의 악성 행위에 대한 효과적인 방어가 가능할 것으로 생각했지만, 랜섬웨어는 안티바이러스라는 방벽을 뚫고 작동한다는 것을 확인했다.
우리는 랜섬웨어라는 멀웨어를 주로 뉴스를 통해 ’OO기업이 감염이 되어 비트코인을 요구하는 인질 범죄로 얼마의 손해를 입었다‘라고 접하면서도 내 일이 아니라 생각하고 일상을 살아가기 쉽다. 하지만 최근 랜섬웨어 피해는 개인 PC에서 모바일 기기까지 범위가 확장되고 있으며, 방법도 고도화되고 있다.
특히 모바일 기기의 경우 개인적인 자료들을 담고 있기에 돈으로 환산할 수 없는 중요 데이터를 유실할 수 있어 문제의 심각성을 더하고 있다. 그렇기에 안티바이러스 설치가 필요하다. 하지만 이번 테스트를 통해 안티바이러스가 랜섬웨어에 있어 절대적인 방어막이 되지 못한다는 걸 확인할 수 있었다.
다만, 이번 테스트는 비교적 최근에 발견된 멀웨어를 이용했기에 제조사들이 아직 엔진을 업데이트하지 못한 결과일 수도 있다. 하지만 우리가 생각하는 안티바이러스라고 하면 랜섬웨어를 탐지했으면, 해당 랜섬웨어에 대해서는 탐지 이후 파일의 암호화가 진행되지 않아야 한다. 이러한 부분에 있어 제조사들의 보다 강력하고 신속한 대처가 필요하다고 본다.
[글_ KAIST 사이버보안연구센터 유영락·이정호·신강식 연구원]
[보안뉴스= KAIST 사이버보안연구센터 유영락·이정호·신강식 연구원] 악성코드나 해킹으로부터 PC와 모바일 기기를 안전하게 보호하기 위해서는 안티바이러스의 설치가 필수라는 말을 많이 들어봤다. 이 같은 수많은 권고에 익숙한 우리는 안티바이러스를 보안 위협에 대한 만병통치약으로 인식하는 경향이 있다. 물론 안티바이러스를 설치하지 않은 경우와 대비하여 설치했을 때는 사이버 위협에 대한 강력한 방어막을 형성하는 것과 같은 효과를 낼 수 있다.
[이미지=gettyimagesbank]
2020년 이후 사이버 위협에서 단골로 언급되는 것이 멀웨어, 피싱, 스미싱 및 랜섬웨어 등 네 가지다. 그 중 랜섬웨어는 최근까지도 크게 주목 받고 있다. 이에 카이스트 사이버보안연구센터(CSRC)는 우리의 디지털 자산을 지키기 위한 안티바이러스가 과연 랜섬웨어를 완벽히 차단 및 보호할 수 있는지 테스트를 통해 살펴봤다.
안티바이러스, 어떻게 랜섬웨어를 방어할까
아스트라(ASTRA)의 블로그에 따르면 매일 56만개의 새로운 악성코드가 감지되며, 약 10억개 이상의 멀웨어가 존재한다. 랜섬웨어의 경우 2022년 상반기에만 전 세계적으로 2억 3,670만건의 공격이 발생했으며, 사건당 평균 손실 비용은 454만 달러(한화 약 66억 8,969만원)에 달했다고 알려지고 있다. 통계상 매분 당 4개의 회사가 랜섬웨어 공격을 당하고 있는 꼴이라 문제가 매우 심각하다는 걸 알 수 있다.
랜섬웨어를 방어하는 방법은 무엇일까? 크게 4가지로 정리할 수 있다. 첫 번째는 위험한 웹페이지는 접속하지 않고, 두 번째는 공인되지 않은 파일은 다운로드하지 않으며, 세 번째는 모르는 주소로 온 이메일은 주의한다. 마지막으로 안티바이러스를 설치하는 것이다.
CSRC는 안티바이러스 제조사들의 홈페이지에서 랜섬웨어에 대해 어떻게 대응하는지 확인했다. 대부분의 안티바이러스 제조사는 큰 손해를 입히는 랜섬웨어를 방어하기 위해 자사의 애플리케이션에 탐지 및 감염 방어 기술을 적용했으며, 암호화 방지 기술을 개발해 랜섬웨어를 원천 방어한다고 안내한다. 첫 번째 그림과 같이 회사 대부분은 자신들의 랜섬웨어 감염 방지 기술을 광고하고 있다.
▲안티바이러스 제조사들의 랜섬웨어 대응 관련 광고[자료=카이스트 CSRC]
대표적인 안티바이러스 10종의 랜섬웨어 대응능력은?
카이스트 CSRC 연구팀은 주기적으로 PC 및 모바일 기기 안티바이러스 성능 테스트를 진행해 왔다. 올해 테스트를 계획하며 ‘랜섬웨어 방어 기술은 과연 믿을 만한가?’라는 의문을 품었고, 이를 확인하기 위한 테스트를 추가로 진행했다.
이번 테스트에서의 평가 항목은 PC 안티바이러스 10종을 대상으로 △랜섬웨어 멀웨어 수집 및 데이터 세트 구성 △동작 실험을 통한 탐지 여부 확인 △암호화 여부 확인 등이다. 이와 같은 테스트 프로토콜을 규정하고 실험을 준비했다. 대상 안티바이러스는 랜섬웨어 방어 기술이 탑재됐다고 소개한 메이저 안티바이러스 위주로 선정했다. 선정된 안티바이러스는 △V3 365 △알약 △이셋(ESET) △비트디펜더(Bitdefender) △어베스트(Avast) △노턴(Norton) △마이크로소프트(Microsoft Defender) △아비라(Avira) △어베스트(AVG) 등이다.
안티바이러스는 유·무료가 구분되어 있는 경우 유료 패키지를 구매했으며, 유료 패키지가 없는 제품은 무료 제품을 사용했다. 랜섬웨어 멀웨어는 CSRC 연구팀의 자체 수집 시스템을 이용해 테스트일 기준 최근 3개월 이내에 보고된 멀웨어를 수집해 샘플을 구성했다.
안티바이러스의 랜섬웨어 탐지율 및 암호화 진행률 테스트 결과
카이스트 CSRC는 랜섬웨어 멀웨어 샘플 70개를 직접 실행해 탐지 실험을 시행했다. 결과는 다소 만족스럽지 못했다. 3개월 이내에 보고된 멀웨어 샘플로 구성했지만, 수집된 샘플 가운데는 악성 서버와의 연결이 유실되어 작동되지 않아 탐지가 안 된 샘플도 몇몇 있었다. 따라서 실질적 탐지율은 측정된 탐지율보다 조금 더 높다.
▲카이스트 CSRC가 실험을 통해 나타난 랜섬웨어 탐지율 및 탐지 후 파일 암호화 진행률(좌부터)[자료=카이스트 CSRC]
동작이 되지 않아 탐지가 불가능했던 샘플을 제외하고 평가하더라도 제품 D와 F를 제외한 나머지 제품들의 탐지율이 다소 떨어졌다. 특히, H 제품의 경우 평균 이하의 탐지율을 보여줬다. 최신 멀웨어를 대상으로 한 실험인 만큼 업체별로 업데이트 시점이 달라 향후에 탐지율은 상승할 것으로 예상된다.
이번 테스트에서 가장 주목할 만한 결과는 대부분의 안티바이러스 제품이 랜섬웨어를 탐지한 후, 파일 암호화를 효과적으로 차단·방어하지 못한다는 점이다. 다음 그림은 안티바이러스가 랜섬웨어를 탐지했지만 동작을 막지 못하고 암호화가 진행됐던 사례다.
▲안티바이러스가 랜섬웨어 탐지 후에 이어지는 랜섬웨어 활동 행위[자료=카이스트 CSRC]
안티바이러스가 랜섬웨어 작동을 탐지한 후, 랜섬웨어 파일을 격리했지만, 시스템에서 파일을 암호화하는 악성 활동이 계속 진행됐다. 랜섬웨어는 안티바이러스를 강제로 종료시켜 무력화시킨 후, 시스템 내 폴더를 암호화시켜 결국 모든 파일이 감염됐다. 제품 B, D, H는 다른 안티바이러스와 비교했을 때 상대적으로 랜섬웨어 탐지 시 파일을 암호화하는 악성 행위를 효과적으로 차단했지만, 그 외의 제품은 평균 40% 이상 랜섬웨어를 탐지했음에도 파일 암호화 행위를 차단하지 못했다.
이번 테스트를 진행하기 전에는 안티바이러스가 랜섬웨어를 탐지하면 당연히 암호화 등의 악성 행위에 대한 효과적인 방어가 가능할 것으로 생각했지만, 랜섬웨어는 안티바이러스라는 방벽을 뚫고 작동한다는 것을 확인했다.
우리는 랜섬웨어라는 멀웨어를 주로 뉴스를 통해 ’OO기업이 감염이 되어 비트코인을 요구하는 인질 범죄로 얼마의 손해를 입었다‘라고 접하면서도 내 일이 아니라 생각하고 일상을 살아가기 쉽다. 하지만 최근 랜섬웨어 피해는 개인 PC에서 모바일 기기까지 범위가 확장되고 있으며, 방법도 고도화되고 있다.
특히 모바일 기기의 경우 개인적인 자료들을 담고 있기에 돈으로 환산할 수 없는 중요 데이터를 유실할 수 있어 문제의 심각성을 더하고 있다. 그렇기에 안티바이러스 설치가 필요하다. 하지만 이번 테스트를 통해 안티바이러스가 랜섬웨어에 있어 절대적인 방어막이 되지 못한다는 걸 확인할 수 있었다.
다만, 이번 테스트는 비교적 최근에 발견된 멀웨어를 이용했기에 제조사들이 아직 엔진을 업데이트하지 못한 결과일 수도 있다. 하지만 우리가 생각하는 안티바이러스라고 하면 랜섬웨어를 탐지했으면, 해당 랜섬웨어에 대해서는 탐지 이후 파일의 암호화가 진행되지 않아야 한다. 이러한 부분에 있어 제조사들의 보다 강력하고 신속한 대처가 필요하다고 본다.
[글_ KAIST 사이버보안연구센터 유영락·이정호·신강식 연구원]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
