인공지능엔진이 탑재된 SW 중에 우리 주변에서 쉽게 접할 수 있는 SW를 시리즈로 소개하고 있습니다. 이번에는 백신 스스로 기존의 악성코드의 행위와 동작방식을 학습하여 바이러스를 잡아내는 인공지능 기반 바이러스 백신 소프트웨어를 소개하고자 합니다.
2 - 패턴없이 인공지능으로 알아서 바이러스를 잡아내는 차세대 백신
해외에서는 시맨텍 안티바이러스, 카스퍼스키 안티바이러스쪽이 인공지능을 도입하여 새로운 제품을 출시하고 있으며 국내에서는 세인트시큐리티에서 맥스라는 솔루션이 있습니다. 기존의 백신과 인공지능의 차이점을 짧게 설명하면서 도움이 될 만한 몇가지 악성코드 검색 관련 무료 사이트를 소개하고자 합니다.
1. 블랙리스트 vs 화이트리스트 DB방식
최근 문화계에서 급 대두된 용어이지만 보안분야에서는 오랫동안 불리어진 용어 중의 하나이다. 문제가 되는 악성코드, 차단해야 하는 실행파일의 해쉬값을 DB화하여 이것을 실행하지 못하도록 하는것 즉 블랙리스트 방식이 우리가 알고 있는 현재 백신들이 바이러스를 치료하는 방식이다. 새로운 바이러스가 나올때마다 신규바이러스 대응팀에서는 바이러스를 분석하여 새로운 블랙리스트 패턴db를 만들어 긴급공지 방식으로 업데이트를 하고 바이러스를 검색, 차단, 치료해 준다. 과거 20년 전쯤 인터넷이 대중화 되기 전 시대는 해외 유명백신 '시맨텍', '맥아피'와 같은 백신회사들은 대륙마다 24시간 바이러스 센터를 만들어 백신수집을 하였다. PC 백신 보안시장에서의 승자는 악성코드 실행파일의 정보, 블랙리스트를 많이 가지고 누가 더 많이 잡냐? 어떻게 빠르게 대응하느냐? 의 싸움이었다.
현재 우리가 많이 사용하는 '알약'이라는 제품은 비트디펜더(루마니아), 소포스(영국), 테라엔진(자체) 세 개를 결합하고 있으며 금융권에서 많이 쓰는 'nprotet'는 비트디펜더와 자체, 네이버백신과 다음클리너는 v3엔진 등을 dB엔진으로 사용하고 있다. 결국은 백신사의 차단 DB를 공유하여 바이러스를 잡는 역할을 하는 것이고 제품 값 안에 해외든 국내든 api 연동을 통해 DB 사용 로얄티를 내고 있다고 보면 된다.
2. 최근의 양상은 조금 달라졌다
최근의 악성코드들은 윈도우, 어도브, 한글, 알툴즈 등의 유명한 제품 보안 취약점을 가지고 바이러스를 만든다. 취약점 방식이기 때문에 기존 백신에서는 정상적인 행위로 간주되기도 하며 같은 네트워크 내의 공유폴더를 기반으로 정상적인 다른 PC를 감염시키기 때문에 전파속도가 너무 빨라 대응하기도 어렵다. 또한 지능형 악성코드인 APT공격도 많아지고 zero day attack공격이 많아져 대응책을 마련하기 이전에 악성코드가 퍼져버리는 문제가 발생하기도 한다 (제로데이 공격이란 보안취약점 패치가 나오는 것보다 바이러스가 빠르게 전파되어 이미 초토화 되어 버리는 상황을 의미한다) . 랜섬웨어도 이런 윈도우 SMB( 공유폴더) 기반의 취약점을 노린 악성코드이기 때문에 확산이 빠르고 대응이 어려운 것이 사실이다.
이런 문제점 때문에 기업에서는 화이트리스팅 솔루션을 고려하기도 한다. 화이트리스팅 방식은 내가 승인한 파일 이외에는 시스템에서 구동을 안하게 차단 해버리는것이다. 여기서 승인(허용)이 되는 파일을 db화 하는것이 화이트리스팅 방식인데. 역시 승인 파일 목록을 만든다는것이 쉬운 작업이 아니기 때문에 현실적으로 많이 사용되고 있지는 않다. 화이트리스팅 방식의 보안솔루션이 우리가 많이 쓰는 방화벽(firewall)분야이다. 방화벽은 들어오고 나가는 모든 통신에 대해서 막아버리고 허용하는 ip와 port에 대해서 일일이 승인을 해주는 방식으로 운영하여 기업의 네트워크 맨 앞단에서 보안을 걸러내는 차단벽 역할을 한다.
3. 클라우드형 백신 으로의 진화
현재처럼 PC에 설치하여 램상주하여 바이러스를 잡는 백신이 있는 반면에 설치기반이 아닌 빅데이터 기반으로 운용되는 클라우드 백신사이트도 있다.
해외 - 바이러스 토탈 http://www.virustotal.com
구글에서 운영하는 클라우드 기반의 온라인 바이러스 백신이며 무료로 이용가능하다. 바이러스토탈은 의심스런 파일과 URL을 분석하고 바이러스, 웜, 트로얀과 모든 종류의 악성 코드를 쉽고, 빠르게 탐지할 수 있는 편리한 서비스이다. 
의심이 되는 파일이나 이메일, 문자내주소, 앱, 웹사이트, URL등의 범위까지 확장하여 의심스러운 행위를 분석해준다. 전세계 65개의 백신과 연동되어 내가 검색하는 파일, 해당 URL, 앱 등이 안전한지 아닌지의 결과를 실시간으로 알려준다. 기존 엔진이 작업할 수 없는 영역의 악성코드나 사이트까지 분석해 낼 수가 있기 때문에 내가 원할 때 분석해 볼수 있다. 또한 다른 솔루션과는 api 연동을 통해 백신DB 엔진을 공유, 전세계 바이러스를 수집하고 분석하고 대응하는 말 그대로 포탈사이트로서의 역할을 하고 있다.
국내 - 멀웨어스닷컴 malwares.com
국내에 나와 있는 솔루션 중 '멜웨어스닷컴' 솔루션은 구글의 바이러스토탈과 작동방식이 유사하다. 또한 바이러스토탈과 연동되어 있기 때문에 설치기반이 아닌 클라우드 기반의 플랫폼을 운영하고 있으며 역시 무료이다.
4. 인공지능 기반의 차세대 백신
클라우드 기반으로 수집된 다양한 악성코드DB를 기반으로 분석과 학습을 하는 머신러닝 방식의 인공지능엔진이 장착된 백신엔진이 점차 출시되고 있다. 이는 기존의 DB패턴 방식의 백신이 검출하지 못하거나 대응이 느린 제로데이나 APT공격에 대해서도 어느정도 지능적으로 대응을 하여 최근에 유협이 되고 있는 랜섬웨어에도 효과적이기 때문이다.
해외 - 시만텍 엔드포인트 프로텍션 14 , 카스퍼스키랩 www.symantec.co.kr *2023년 현재 링크 접속 안 됨.
노턴 안티바이러스로 유명한 시만텍 안티바이러스의 기업용 최신버젼인 '시만텍 엔드포인트 프로텍션 14'에서는 인공지능 엔진이 적용되어 있다. 전 세계에 걸쳐 많이 설치 되어 있는 만큼 1억 7,500만 개 이상의 엔드포인트 및 5,700만 개 이상의 공격 센서를 통해 보안 위협에 대한 중요 정보를 수집하고 3조 7천억 행에 달하는 보안 관련 데이터를 가지고 엔드포인트 및 클라우드에 인공지능(AI)을 적용해 강력한 다계층 보안 솔루션을 제공 한다고 한다. 기업용 솔루션이며 유료이다
국내 - 세인트시큐리티 맥스 malwares.com
클라우드형 악성코드 분석사이트인 멀웨어스닷컴이 확보하고 있는 방대한 위협 정보를 바탕으로 학습된 머신러닝 엔진을 장착하고 MAX 설치용 버젼이 올해 개발되었다. 매일 하루 평균 100만개 이상의 파일을 자동 수집하고 분석하는 시스템으로 발전했다. 현재 보유한 악성코드 샘플 개수는 8억개에 달하며 프로파일링된 악성코드 연관정보 수로는 총 20여억 수라고 한다. 러닝머신의 학습은 바이러스, 웜, 스파이웨어, 랜섬웨어, 파밍, 피싱 등 악성코드를 종류별로 분류해 이들과 유사한 정보를 스스로 식별할 수 있도록 구현, 신·변종 악성코드가 홍수를 이루면서 알려지지 않은 악성코드 위협에 대응하기 위해 패턴을 최소화한 AI기반의 안티바이러스 백신이라 할수 있다. 최근의 위협적인 랜섬웨어는 다른 악성코드에 비해 돌출된 특징요소를 갖추고 있어 AI가 랜섬웨어를 잘 식별하여 쉽게 특징을 잡을 수 있고 기존의 패턴방식의 백신과도 충돌없이 사용가능하다고 하니 랜섬웨어 같은 공격에 대응하기 위해서는 같이 사용해보길 권한다 . 현재는 베타버젼이며 무료이다.
글쓴이 _ jussi
서울시NPO지원센터 아카이브 큐레이터.
IT분야에서 엔지니어 로 근무하다가 책과 도서관이 좋아
비영리기관에서 독서문화, 작은도서관 활성과 홍보 등의 업무를 하고 있습니다
코멘트를 달아주세요!