[아이티데일리] 나날이 커지는 보안 위협 속에서 엔드포인트 보안이 다시금 중요해지고 있다. 보안을 위한 기본으로 꼽히는 안티 바이러스 솔루션은 코로나19로 원격근무 시대가 앞당겨지면서 늘어난 엔드포인트를 방어하기 위한 가성비 있는 기본 솔루션으로 자리하고 있다. 악성코드의 탐지, 차단, 치료라는 기초 기능에 더해 탐지 범위와 특화 기능을 강화하며 발전하고 있는 안티 바이러스 분야에 대해 알아봤다.

여전히 중요한 ‘안티 바이러스’ 솔루션

디지털 전환이 가속화되고 코로나19로 인해 재택 및 원격근무가 늘어나면서 한편으로는 보안 위협 역시 함께 커지고 있다. 외부와 연결되는 네트워크 단에서 위협을 탐지, 방어하는 방화벽과 같은 솔루션부터 외부에서 안전한 접속을 돕는 VPN(가상사설네트워크)과 같은 솔루션들이 도입돼 제 역할을 하고 있지만 최근에는 다시금 사용자 기기, 즉 엔드포인트에 대한 보안이 중요해지는 추세다. 이는 재택 및 원격근무로 회사 외부에서 사용하는 단말의 수가 크게 늘어난 한편, 최근 가장 큰 위협으로 떠오른 랜섬웨어 공격의 영향도 큰 부분을 차지하는 것으로 분석된다.

네트워크상의 취약점을 통해 침입한 악성코드, 혹은 사용자가 미처 알지 못하고 내려받은 랜섬웨어는 결국 최종 사용자의 PC(클라이언트)나 서버 단에서 동작한다. 그렇기에 보안의 기본인 ‘안티 바이러스(Anti-Virus)’ 솔루션의 중요도는 여전하며, 최근 다시금 그 역할이 강조되고 있다고 할 수 있다.

안랩 관계자는 “공격자는 다양한 경로로 시스템에 침투를 시도하지만, 최종적으로 노리는 지점은 기업의 데이터가 존재하는 클라이언트와 서버 등 엔드포인트다. 따라서 엔드포인트에서 발생하는 악성코드 공격 등에 대응하는 안티바이러스는 여전히 모든 보안 계획 수립 시 기본이 되는 솔루션”이라면서 “특히 코로나19 확산 이후 원격근무가 증가하며 기업 외부에 존재하는 엔드포인트가 늘어남에 따라 위협 노출 가능성 또한 커지고 있다. 따라서 안티 바이러스를 활용해 필수적인 기본 대응 체제를 마련해야 한다”고 설명했다.

일반적으로 안티 바이러스 솔루션은 악의적으로 제작된 컴퓨터 코드 또는 프로그램을 탐지하고 차단 및 치료(삭제)하는 소프트웨어를 말한다. ‘안티 바이러스’라는 명칭 외에도 ‘AV(Anti-Virus)’, ‘안티 멀웨어(Anti-Malware)’, ‘백신’ 등으로도 불린다. 일반적으로 스스로 복제하면서 감염을 확대해나간다는 의미에서 ‘컴퓨터 바이러스(Computer Virus)’라는 표현을 많이 사용하지만, 악성 소프트웨어(Malicious Software)를 뜻하는 ‘멀웨어(Malware)’라는 표현이 보안 전문가들 사이에서는 더욱 널리 쓰이고 있다. 그리고 ‘백신’은 국내에서 주로 사용되는 명칭으로, 이는 1988년 처음 안티 바이러스 제품을 개발한 안철수 안랩 창업자가 ‘백신’이라는 이름을 붙인 이래 널리 쓰이고 있다.

국내 안티 바이러스 시장 지속 성장 중

국내 안티 바이러스 시장에서는 안랩, 이스트시큐리티, 하우리 등 국내 주요 업체들을 비롯해 트렌드마이크로, 비트디펜더, 맥아피 등 주요 글로벌 기업들이 경쟁을 하고 있다. 2020년 정보보호산업실태조사에 따르면, 국내 멀웨어/랜섬웨어 대응 관련 솔루션 시장 규모는 약 1,900억 원에 달하는 것으로 추산된다. 2010년대 초반 800억 원 정도를 기록했을 때에 비하면 10여 년간 약 2배 이상으로 성장한 것이다.

특히 일반적으로 보안 시장은 국내 기업들이 글로벌 기업에 대항해 선전하고 있는 분야로 꼽힌다. 일반 소비자 부문을 제외하면 안랩의 경우 안티 바이러스 시장에서 점유율 50% 이상을 차지하며 해외 기업들을 제치고 시장 1위 기업으로 자리하고 있는 것으로 알려져 있다. 다만 최근 시장조사기관들은 안티 바이러스라는 단독 카테고리로 시장을 집계하지 않고, ‘EPP(Endpoint Protection Platform)’ 라는 카테고리에 포함시켜 산정하고 있는 추세라는 것은 기억해야 한다. 글로벌 리서치 기관 가트너(Gartner)는 국내 EPP 시장 규모를 약 1억 8천 4백만 달러(한화 약 2,369억 원)로 추산하고 있다.

핵심 기능은 ‘탐지/차단/치료’

안티바이러스 솔루션의 핵심 기능은 멀웨어를 탐지/차단/치료(삭제)하는 기능이다. 1세대라고 할 수 있는 일반적 안티 바이러스 솔루션은 정상 파일과 악성 파일을 구분해내고, 해당 파일을 격리하거나 삭제하는 방식으로 대응한다. 구분은 악성 파일의 특징적인 형식, 즉 시그니처(Signature) 정보를 대조함으로써 이뤄진다. 기본적인 기능이지만 안티 바이러스 솔루션을 설치만 하면 수많은 위협으로부터 비교적 쉽고 간편하게 안전해질 수 있다. 최근 들어 기승을 부리고 있는 각종 지능화된 공격들이 아니라면, 일반적으로는 가장 가성비 좋게 보안을 지킬 수 있는 방법이라고 할 수 있다.

하지만 진화하는 악성코드에 대응하기 위해서는 안티 바이러스 솔루션도 진화할 필요가 있는 게 사실이다. 특히 탐지 범위 및 기능에 대한 요구가 확대됨에 따라 △개인 방화벽 △침입 차단 △매체 제어 △랜섬웨어 대응 등 특화 기능을 도입하는 추세라고 업계는 말한다. 안랩 관계자는 “최근에는 특화 기능과 파일리스(Fileless) 공격 대응 능력이 주요 기능으로 많이 언급되고 있다”면서 “안랩 또한 랜섬웨어 대응, 침입 차단, 매체 제어 등의 기능을 제공하고 있다”고 덧붙였다.

이와 함께 파일리스 공격에 대응하기 위한 다각적인 분석 및 탐지 역량도 중요한 경쟁 요소로 꼽히고 있다. 파일리스 공격이란 경우 파일 없이 스크립트만 메모리 상에서 동작하고 사라지는 방식이다. 안랩 관계자는 “기존의 시그니처 기반 탐지 방식으로는 어려운 부분이 있고, 이를 보완하기 위해 머신러닝 진단을 활용하는 사례도 늘고 있다. 안랩 V3는 ‘메모리 프로세스 진단 기능’과 머신러닝 모델 탑재로 파일리스 공격에 대응하고 있다”고 설명했다.

하지만 이처럼 파일리스 공격 등 다변화된 공격방식이 등장하고 있음에도, 여전히 전통적인 공격기법도 쓰이고 있다는 점에서 안티 바이러스 솔루션의 역할은 여전히 중요하다고 안티 바이러스 솔루션 제조사들은 말하고 있다. 이에 전문가들은 “안티바이러스 제품을 기본적인 대응 솔루션으로 사용하되, 머신러닝 진단을 비롯한 새로운 진단 기능을 사용할 때에는 해당 기능과 조직 환경에 대한 충분한 이해(조직의 보안 우선순위)를 바탕으로 도입하기를 제안한다”면서 “특히 머신러닝 진단 기능 활용 시 공격적인 탐지 기준을 적용할 경우 오·과탐의 가능성도 배제할 수 없기 때문에, 머신러닝 진단 기능만을 사용하기보다는 시그니처 진단 등 기본이 되는 방식을 함께 활용하는 방안을 고려해야 한다”고 설명했다.

안랩, 각종 인증으로 기술력 보증…지속 개선 계획

1995년 프리웨어(Freeware)였던 ‘V3’를 셰어웨어(Shareware)로 전환하고 통신망을 통해 ‘V3+’를 출시, 성공을 거두며 지금까지 성장 가도를 달려온 안랩은 안티 바이러스 솔루션에 다른 어떤 경쟁사보다 큰 의미를 두고 있다. 안티 바이러스는 보안 시장에서 가장 기본이 되는 제품이자, 안랩이 국내 대표 보안 업체로 자리매김하게 된 기반이라는 상징성을 갖는다는 것이다. 특히 안랩 V3는 국내에서 유일하게 독일의 보안 제품 성능평가 ‘AV-TEST’의 PC 부문 평가에서 2022년 4월 기준 46회 연속으로 인증을 획득했으며, 국내 보안업계에서는 최초로 ‘2018 AV-TEST 최우수 성능 보안솔루션 상’을 수상하기도 했다.

이뿐만 아니라 영국 바이러스 불러틴(Virus Bulletin)에서 심사하고 부여하는 보안인증인 ‘VB100’에 참가해 2022년 4월 기준 25회 연속으로 인증을 획득해오고 있으며, 미국 ICSA랩(ICSA Labs)에서 주관하는 인증에서도 2004년 첫 인증 이후 현재까지 인증을 유지하고 있다. 2022년에는 인증 테스트를 일정 기간 동안 빠짐없이 획득한 벤더에게 수여하는 ‘2022 EIST 어워드’를 수상하기도 했다.

올해 AI 보안 확대 및 클라우드 보안 고도화 등을 목표로 삼은 안랩은 안티 바이러스 솔루션 부문에서도 이러한 도전 과제를 적용, 머신러닝 진단을 탑재하고 클라우드 환경에 특화된 기능을 추가로 개발하는 등 제품 개선을 지속한다는 계획이다.

안랩의 V3는 개인부터 기업까지 모든 PC 및 서버 환경을 악성코드로부터 보호하는 통합 보안 솔루션이다. 안랩이 자체적으로 보유한 탐지 엔진 및 기술을 바탕으로 한 진단 및 대응 기능을 제공하고 있다. V3는 ASD(AhnLab Smart Defense) 등을 활용한 다차원 분석 플랫폼으로 신변종 위협에 대한 신속한 대응을 제공하며, 엔진 초경량화 기술로 PC 메모리 사용량을 최소화한 점이 특징이다. 또한 △프로세스/메모리 진단 △AMSI(Anti-Malware Scan Interface) 진단 △앱 격리 검사 △랜섬웨어 보안 폴더, 디코이(미끼) 진단 기술 기반의 랜섬웨어 대응 등의 주요 기능을 바탕으로 급증하는 신종 파일리스(Fileless) 공격과 랜섬웨어로부터 사용자의 PC 및 서버를 보호한다.

특히 안랩은 V3의 핵심 경쟁력이 자체 보유한 탐지 엔진 및 기술에 있다고 밝혔다. 악성 샘플에 대한 자체 분석 및 대응 능력을 기반으로 신변종 위협에 빠르게 대응할 수 있으며, 다양한 대응 기법을 제품에 반영할 수 있다는 점이 V3가 갖는 큰 경쟁력이라는 설명이다.

또한 V3는 오탐을 최소화한 머신러닝 기반의 진단 기능을 제공한다. 머신러닝 진단의 오과탐을 최소화하기 위해서는 최대한 정교한 알고리즘 설계가 필요하기에, 안랩은 정상 및 악성 샘플에 대한 분석 역량을 기반으로 머신러닝 모델을 지속 발전시키고 있다.

통합 보안 벤더로서 안랩이 보유한 다양한 보안 솔루션 라인업과 연동성 또한 V3가 갖는 경쟁력 중 하나로 꼽혔다. 대표적으로 △안랩의 차세대 엔드포인트 보안 플랫폼 ‘안랩 EPP’를 이용한 V3 정책 관리, 업데이트 등 관리 △클라우드 워크로드 보안 플랫폼 ‘안랩 CPP’를 이용한 클라우드 환경 상에서의 V3 통합 관리 △엔드포인트 위협 탐지대응 솔루션 ‘안랩 EDR’과 연동으로 고도화된 대응 등이 가능하다. 안랩은 향후에도 이처럼 확장되는 보안 플랫폼과 V3의 유기적인 연동 강화를 위한 기능을 추가하고 개선해나갈 계획이다.

이스트시큐리티, 윈도우부터 개방형 OS까지 관리 지원

이스트시큐리티는 ‘엔터프라이즈 보안을 위한 강력한 통합백신’이라는 캐치프레이즈를 통해 ‘알약 5.1’ 버전을 선보이고 있다. 듀얼 엔진을 탑재해 글로벌 위험 요소로부터 시스템을 빈틈 없이 보호하고, 실시간 감시, 네트워크 보안, 매체 제어 등 부가 기능을 제공해 위험요소의 위협을 원천적으로 차단한다. 또한 서버 에디션, 리눅스/유닉스, 맥(Mac) 버전뿐 아니라 최근에는 개방형 OS까지 지원의 폭을 넓히고 있다.

정부의 개방형 OS 생태계 확대 움직임에 맞춰 개발된 ‘알약 개방형OS’는 윈도우와 리눅스 환경에서 쌓아온 알약의 기술력을 바탕으로 기업 내 침투한 악성코드를 검사하고 치료한다. 이에 더해 관리자가 사내 보안 정책에 맞춰 검사와 업데이트 등의 스케줄링을 할 수 있어 운영 효율성을 극대화하며, 일반 사용자도 전문가의 도움 없이 손쉽게 PC 검사를 진행할 수 있도록 웹 기반의 그래픽유저인터페이스(GUI)도 지원한다. 아울러 이스트시큐리티는 개방형 OS 환경에서 취약점을 점검하고 관리할 수 있도록 ‘알약 내PC지키미 개방형OS’도 출시했다. 이밖에 이스트시큐리티는 ‘알약 서버’, ‘알약 EDR’, ‘알약 패치관리’, ‘ASM’, ‘인터넷디스크’ 등의 솔루션도 제공하고 있다.

이스트시큐리티 관계자는 “급변하는 국내 OS 환경에 맞춰 사용자가 윈도우에서 개방형 OS까지 한 번에 관리할 수 있도록 ‘알약 개방형OS’를 출시했다”면서 “현재 개방형 OS 도입 후 클라이언트 보안 관리가 필요한 사용자에게 ‘알약 개방형OS’가 큰 효용을 제공할 것으로 기대한다”고 말했다.

SGA솔루션즈, 차세대 안티 바이러스 제품으로 시장 대응

SGA솔루션즈는 통합 안티바이러스 솔루션 ‘바이러스체이서(VirusChaser)’를 선보이고 있다. 다양한 윈도우 버전과 리눅스 계열의 운영체제를 지원하며, 간편하게 설치해 사용 가능하다. 바이러스와 스파이웨어 두 가지를 모두 잡는 듀얼 엔진을 기반으로 실시간 감시를 지원하며, 이를 통해 시스템을 간편하고 빠르게 보호할 수 있다. 사용자 PC의 방화벽, 유해사이트 차단, 계정 취약점, 패치현황 확인 및 조치 기능 등을 제공하며 통합관리 솔루션인 ‘SGA-SC(SGA Security Center)’를 통해 대시보드 기반의 모니터링, 현황정보 파악 및 클라이언트 PC에 대한 정책 설정, 정보 수집 등의 기능까지 제공한다.

최근 SGA솔루션즈는 AI 기반의 차세대 안티 바이러스 솔루션인 ‘바이러스체이서10 AI(VirusChaser10 AI)’을 선보이기도 했다. ‘바이러스체이서10 AI’는 차세대 엔드포인트 트렌드인 APT 악성코드 탐지 기능을 추가하는 등 업그레이드한 것이 특징이다. 알려진 악성코드(Known Malware)만 탐지하는 시그너처 패턴 기반의 전통적인 안티바이러스에, 자체 개발한 AI 엔진을 탑재해 알려지지 않은 악성코드(Unknown Malware)까지 탐지한다.

‘바이러스체이서10 AI’의 특장점은 △인공지능(AI) 기반의 악성코드 식별 및 탐지 기능으로 알려지지 않은 악성코드에 효과적인 대응 가능 △악성코드, 신/변종 바이러스, 랜섬웨어 등 PC 보안 위협 대비 가능 △PC 최적화 기능을 통해 업무 효율성 제고 △사용자 편의성을 고려한 최신 트렌드 기반의 UI(User Interface) 환경으로 손쉬운 보안 상태 확인 등이다.

SGA솔루션즈는 ‘바이러스체이서10 AI’를 필두로 차세대 엔드포인트 보안 시장에서 점유율을 확대한다는 계획이다. 최영철 SGA솔루션즈 대표는 “‘바이러스체이서10 AI’는 EDR/EPP 시장과 함께 기존 백신 시장의 판도를 변화시킬 차세대 안티바이러스 제품으로, 이를 통해 관련 시장에 적극 대응할 계획”이라고 강조했다.

하우리, ‘바이로봇’ 출시 후 업그레이드 지속 제공

1999년 ‘바이로봇’ 최초 버전을 출시한 하우리는 이후 변화하는 보안위협요소에 맞춰 업그레이드 버전을 지속적으로 제공해오고 있다. CC 인증, GS 인증 등 국내 보안 규격에 최적화된 신뢰 가능한 제품으로, 주요 보안/응용 프로그램에 대한 오진율을 최소화하기 위해 클린셋 시스템 프로세스를 거쳐 검증된 업데이트를 진행한다. 또한 I/O 캐싱 엔진이 적용돼 가볍고 빠르게 검사를 진행할 수 있는 것도 특징이다. 하우리 자체 엔진과 검증된 외산 엔진이 탑재돼 국내에 특화된 악성코드와 글로벌하게 유행하는 신종 악성코드까지 신속하고 정확하게 치료할 수 있다.

보안 취약점을 통해 침투를 시도하는 악성 행위를 탐지하는 ‘행위 기반 기술이 고도화 적용돼 좀 더 다양한 영역에서 악성코드를 예방할 수 있다. 이밖에 안티 랜섬웨어 기능도 제공해 사용자 파일이 암호화되는 악성 행위 및 유사 악성 행위 프로세스로부터 시스템을 안전하게 보호할 수 있도록 한다.