머신러닝 기반 안티 바이러스 기술 동향
상태바
머신러닝 기반 안티 바이러스 기술 동향
  • 이승윤 기자
  • 승인 2018.05.02 09:10
  • 댓글 0
이 기사를 공유합니다

안티 바이러스는 PC가 대중화되면서 일반 대중들에게 ‘보안’이 중요하다는 인식을 심어준 가장 기본적이고 대표적인 보안 솔루션이다. 엔드포인트 분야의 대표주자로 자리잡고 있는 안티 바이러스 시장에 최근 새로운 바람이 불고 있다.

기존 안티 바이러스 솔루션 대부분은 시그니처 진단 방식을 이용해 악성코드를 탐지한다. 시그니처 방식이란 안티 바이러스 제조사가 데이터베이스에서 정의한 코드들을 이용해 악성코드에서 찾아내는 방식이다.

악성코드 내부의 특정 코드를 수집한 뒤, 코드 목록을 데이터베이스로 만들어 배포하면, PC에 설치된 안티 바이러스 솔루션은 이를 기반으로 악성코드를 탐지한다.

이러한 이유로 시그니처 진단 방식은 과거 출현했던 악성코드에 대한 탐지와 치료에 뛰어난 반면 신종 악성코드를 대응하는데 한계가 있다. 이러한 한계를 극복하기 위해 발전돼 나온 기술이 휴리스틱 탐지 기술이다.

휴리스틱 탐지는 일반 악성 코드가 가지고 있는 특정 폴더에 파일 쓰기나 특정 레지스트리 부분에 키를 생성하는 명령어를 엔진에서 시그니처화해 파일 검사시 이를 활용한다. 검사 대상 파일이 일반적으로 알려진 악성 코드와 얼마나 높은 유사도를 가지고 있는지 휴리스틱 시그니처와 비교해 신종 악성코드를 탐지하는 기법이다.

휴리스틱 탐지 기법 또한 내부의 특정 코드 또는 휴리스틱 시그니처로 탐지하기 때문에 정상 파일이라도 악성코드와 유사한 코드를 가진 경우 이를 악성으로 판단하는 오탐이 가장 큰 단점으로 작용한다.

안티 바이러스 제조사는 신종 악성코드에 대한 탐지와 대응력을 제고하기 위해 새로운 기법을 꾸준히 개발해왔다. 대표적 기법으로 평판 분석과 클라우드 분석이 있다.

평판 분석은 사용자가 자신의 PC에서 특정 파일에 대한 악성 여부를 판정한 정보를 수집하고, 제조사가 사용자에게 수집한 정보와 자사가 분석한 정보를 통합해 사용자에게 다시 피드백하는 기법이다. 시만텍 노턴의 인사이트 기능이 대표적이며 다양한 사용자의 평판 정보를 종합해 파일의 악성 유무를 판단한다.

클라우드 분석은 PC에서 수집된 파일 정보를 서버로 보내 악성 파일에 대한 시그니처 DB를 구축한 뒤 네트워크를 통해 실시간으로 PC에게 파일에 대한 악성 여부를 전송해 악성코드를 탐지하는 방식이다. PC에 별도 시그니처 DB 없이 네트워크에 연결돼 있으면 제조사 클라우드 시그니처 DB로 악성코드를 바로 진단할 수 있다. McAfee가 이러한 클라우드 분석을 Artemis 기능으로 최초 도입했다.

지능화된 악성코드 위협

해커들은 더욱 첨예화되고 지능화된 공격을 실시하고 있다. 불특정 다수를 대상으로 무차별적 공격을 퍼붓고 있으며, 특정 기업을 대상으로 한 정교하고 계산된 악성코드 공격으로 금적적 이득을 취하고 있다.

전체 기사를 보시려면 로그인 필요

로그인 또는 회원가입을 해주세요. (회원만 열람가능)

로그인 회원가입


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.