Getty Images Bank
Getty Images Bank
지금까지 알려진 악성코드 정보를 기반으로 하는 전통적인 백신 프로그램(시그니처 백신)은 변종 악성코드에 매우 취약한 것으로 나타났다. 감염된 피해자에게 금품을 요구하는 악성코드 ‘랜섬웨어’의 경우 수많은 변종이 유포되고 있어 기업은 물론 일반 사용자도 보안 대책을 강화해야 한다는 지적이 나오고 있다.

◆변종 악성코드 93% 못잡아

삼성SDS가 내부적으로 시그니처 기반 국내 백신 프로그램의 탐지율을 시험한 결과 악성코드를 찾지 못한 ‘미탐지율’은 파일 종류에 따라 9.9~24.6%로 나타났다. 랜섬웨어만을 대상으로 탐지율을 테스트했을 때는 미탐지율이 17.0% 수준이었다.
진화하는 변종 악성코드…'AI 백신'으로 막는다
반면 이미 탐지한 악성코드 200개를 임의로 선택한 뒤 코드 변종 기법을 이용해 변종 악성코드를 만들어 탐지율을 조사했을 때는 미탐지율이 93.8%로 치솟았다. 악성코드 10개 가운데 1개도 잡지 못한 것이다.

대다수 악성코드 제작자는 백신을 피하기 위해 변종코드를 만들어 유포하고 있다. 시그니처 백신은 이미 알려진 악성코드만을 탐지할 수 있기 때문에 이 같은 변종 악성코드에 속수무책이다. 독일의 보안회사 지데이터(G-Data)에 따르면 올해 1분기 감지된 신종·변종 악성코드는 185만 개에 이른다. 4초에 1개꼴로 새로운 악성코드가 나오고 있는 것이다. 이 가운데 60% 이상은 랜섬웨어로 나타났다. 랜섬웨어는 누구나 쉽게 입수해 변종을 만들 수 있고 가상화폐의 등장으로 추적받지 않고 돈을 벌 수 있어 빠르게 유포되고 있다. ‘워너크라이’ ‘페트야’ 등 랜섬웨어로 인한 개인과 기업의 피해 사례도 잇따르고 있다. 올해 상반기 한국인터넷진흥원(KISA)에 접수된 랜섬웨어 피해만 4500건을 넘었다. 테스트를 한 안호근 삼성SDS 수석은 “신종·변종 악성코드의 생성속도가 시그니처 생성속도보다 빠르기 때문에 이를 개선할 백신 도입이 필요하다”고 말했다.

◆머신러닝 도입해 탐지율 높여

진화하는 변종 악성코드…'AI 백신'으로 막는다
이에 대한 대안으로 나오고 있는 것이 인공지능(AI)을 이용한 백신 프로그램이다. 머신러닝 기능을 도입해 기존에 알려진 악성코드는 물론 이와 비슷한 종류의 악성코드를 찾는 것이다.

삼성SDS가 머신러닝 기반 백신 프로그램으로 동일 테스트를 한 결과 변종 악성코드의 미탐지율은 93.8%에서 0%로 하락했다. 기존에 수집된 악성코드의 특성을 바탕으로 새로운 형태의 악성코드를 판별하기 때문에 변종 코드도 모두 찾아낼 수 있다는 설명이다. 파일 대상 악성코드 미탐지율도 9.9~24.6%에서 1.1~13.3% 수준까지 떨어졌다. 시그니처 백신과 머신러닝을 연동하면 0.5~2.7%로 더 낮아졌다.

시만텍, 카스퍼스키 등 해외 보안업체들은 이미 머신러닝 기능을 도입한 제품을 내놨고 안랩, 이스트시큐리티 등 국내 업체들도 새로운 제품을 준비 중이다. 한 보안업체 관계자는 “어떤 보안으로도 악성코드를 100% 막을 수는 없지만 최신 백신 프로그램을 사용하고 업데이트를 바로바로 해주면 피해의 대부분은 사전에 방지할 수 있다”고 조언했다.

■ 시그니처 백신

보안 업체가 파악한 악성코드에 대한 분석 정보(시그니처)를 기반으로 하는 백신 프로그램. 가장 일반적으로 사용되는 안티바이러스 프로그램의 유형이다. 알려지지 않은 신규 악성코드에 대한 선제 대응이 어렵다는 단점이 있다.

이승우 기자 leeswoo@hankyung.com