[포커스온] 급변하는 악성코드와 안티바이러스 시장

최초의 바이러스 등장

맥아피에게 사업적 안목을 안겨준 브레인 바이러스는 1986년 처음 발견됐다. 해당 바이러스는 파키스탄의 한 프로그래머가 자신이 개발한 프로그램의 복제품이 성행하자 사용자들을 골탕 먹이기 위해 컴퓨터에 장애를 발생시키는 악성 바이러스를 유포한 데서 시작했다.

당시 바이러스는 플로피 디스켓을 통해 감염돼 전파 속도도 느리며 속도 저하 등의 비파괴적인 피해를 주는 것에 그쳤으나 이후 바이러스는 통신 인프라의 발전을 거듭하며, 새로운 기술이 접목돼 다양한 형태로 진화하게 됐다. 특히, 일상생활 전반에 걸친 네트워크 구성으로 바이러스는 이미 우리 생활에 깊숙이 침투했다.

바이러스는 지능적이며 복합적으로 진화하고 있다. 최초 정상 파일에 기생해 단순 오류만 일으키던 브레인 바이러스에서 이제는 컴퓨터 OS 시스템 파일이나 부트 섹터를 파괴해 버리는 파괴형으로 변화하고 있다.

실제로, 1989년 출현해 1990년대 중반부터 본격적으로 화두에 오른 웜바이러스는 파일형 바이러스와는 다른 새로운 문제를 불러일으켰다. 기존의 파일형 바이러스는 감염된 PC만 문제가 됐지만, 웜바이러스는 정상 파일에 기생하지 않고도 악성코드 스스로 동작해 컴퓨터가 연결된 네트워크로 자신을 복제·전파하면서 짧은 시간 동안 대량의 시스템을 감염시키는 파괴력을 보여줬다.

일례로, 웜 바이러스의 일종인 ‘SQL 슬래머’는 2003년 MSSQL DB의 보안 취약점을 이용해 전파됐으며, 네트워크를 타고 순식간에 퍼져나가 전 세계적으로 수백만 대의 컴퓨터를 감염시켰다. 우리나라에서도 혜화동 KT IDC의 국내 최대의 DNS 서버가 감염돼 우리나라 전체 인터넷이 마비된 바 있다.

이후 2000년대 등장한 바이러스는 점차 뚜렷한 목적을 갖게 된다. 이전에는 단순 호기심이나 자신의 컴퓨터 실력을 과시하기 위한 목적으로 해킹을 하거나 악성코드를 만들었지만, 2000년 이후부터는 해킹을 위한 백도어, 비트코인 채굴을 노리는 마이너, 최근까지도 극성인 랜섬웨어 등과 같이 금전 탈취 또는 금융·개인정보 유출이라는 분명한 목적성을 띠게 됐다. 정상 파일을 감염시키고 네트워크로 전염되는 기존 바이러스 형태와 특성을 넘어서게 되면서 보안 전문가들은 이를 ‘악성코드’라고 통칭하게 됐다.

스마트폰 보급 이후 폭발적으로 증가하는 악성코드

사용자 PC가 널리 보급된 이후 다양한 보안 위협들이 출현한 것과 마찬가지로 스마트폰이 본격적으로 보급되기 시작한 2010년 이후부터 모바일 악성코드는 사용자 PC를 대상으로 개발된 악성코드의 기능과 형태들을 빠르게 흡수해 그 수가 폭발적으로 증가했다. 국내에서 최초로 발견된 금융 모바일 악성코드는 WinCE/TerDial로, 윈도우 모바일 스마트폰을 타깃으로 했다. 이 악성코드는 모바일 게임 설치 파일에 국제전화 발신 기능을 삽입해 과금 피해를 발생시켰다.

모바일 악성코드는 2012년~2014년에 폭발적으로 증가했고 악성 기능도 스미싱, 인증서·OTP 탈취, 랜섬웨어 등으로 다양해졌다. 2014년부터는 비용만 지불하면 맞춤형 악성코드를 개발해 공격 환경을 제공하는 서비스형 악성코드(MaaS)가 등장했다. 악성코드에 대한 공격 방법 및 기술적인 이해가 없어도 다크웹 등에서 비용만 지불하면 손쉽게 악성코드를 제작·유포할 수 있게 된 것이다. 악성코드 등을 탐지하는 안티 바이러스 우회 기능을 적용하는 등 공격 기법도 고도화됐다. 2016년부터는 지능형 지속 위협(APT) 공격 그룹에서 모바일 악성코드를 활용하고, 보이스피싱 등 금융 사기에도 사용되고 있다.

유포 방식도 진화했다. 초기에는 문자메시지, 메신저, 피싱 페이지 등이 주로 사용됐다면 최근에는 기존 유포 방식을 사회적 이슈와 결합해 활용하고 있다. 광고 서버, 인증서 탈취, 공급망, 개발·유통사 홈페이지, 인터넷 공유기, TV 셋톱박스 등 을 해킹한 후 이를 활용하거나 앱 마켓 업데이트 관리 시스템의 신규 취약점을 이용해 유포되기도 한다.

금융 모바일 악성코드는 공격 목적에 따라 크게 ▲개인정보 탈취 ▲금융정보 탈취 ▲인증정보 탈취 ▲스미싱 ▲소액 결제 ▲보이스피싱 사기 등으로 분류된다. 문자메시지, 메신저, 이메일에 악성 앱 설치 링크와 파일을 보내 악성 앱 설치를 유도해서 개인정보를 탈취하기도 하고, 공공 기관을 사칭하거나 검색 엔진에 노출되는 피싱 페이지를 통해 금융정보를 입력하도록 유도하는 방식도 사용한다. 또 2단계 인증 등의 과정에서 스마트폰이 악성 앱에 감염된 상태인 경우 공격자가 인증정보를 탈취할 수 있게 되는데, 탈취된 금융정보와 인증정보 등을 통해 계좌 출금, 불법 결제 등의 금전적 피해를 입을 수 있다.

금융보안원은 공격자가 모바일 개발자를 대상으로 개발 중인 앱에 악성 행위를 수행하는 코드를 추가하는 사회 공학적 공격이 증가할 것으로 예상하고 있다. 모바일 기기에서 사용자가 자주 입력하는 계정정보, 개인정보, 카드정보를 사전에 저장해 쉽게 불러오는 자동 완성 기능을 악용해 해당 정보를 탈취하는 피싱 페이지도 늘어날 것으로 보고 있다.

악성코드에 맞서는 안티바이러스 시장

악성코드에 맞서 안티바이러스 시장 공방전도 치열하다. 공격이 지능화될수록 안티멀웨어 기업들 또한 기계 학습, 휴리스틱, 인공 지능(AI) 등의 방법을 제공해 방어 능력을 고도화하고 있다. 그러나 업계의 노력에도 불구하고 악성코드는 보안 솔루션의 방어를 회피하며 증식하고 있다. 글로벌 보안 제품 성능 평가 기관 AV-테스트는 2020년까지 발견된 악성코드가 총 10억 3531만여 개로 추정하고 있으며, 매일 35만 개의 새로운 악성코드가 등록되고 있다고 밝혔다.

전문가들은 안티멀웨어에만 의존해서는 피해를 막을 수 없다는 지적이다. 공격자들 역시 계속해서 탐지 기반의 악성코드 회피 접근법을 찾아내기 때문이다. 끊임없이 쏟아져 나오는 악성코드와 사이버 위협에 대응하기 위해 안티멀웨어 기업들은 기존 안티멀웨어 기능에 엔드포인트 탐지 및 대응(EDR)과 AI 기술 등 다양한 기능을 더해 방어 체계를 더욱 견고히 하고 있다.

대표적으로 안랩은 안티바이러스 솔루션인 ‘V3’와 사이버 보안 자동 대응 체계(Security Orchestration, Automation and Response, SOAR) 솔루션 ‘세피니티 에어(Advanced Incident Response, AIR)’, EDR 솔루션 ‘안랩 EDR’, 트래픽 이상 탐지 솔루션 등에 AI 기술을 적용하고 있다.

트렌드마이크로는 자사 ‘에이펙스원’ 보안 솔루션 플랫폼에 엔드포인트 보호 플랫폼(EPP)와 EDR을 통합했으며, 확장 탐지 대응(XDR)을 추가하고, 다른 보안 도구와 통합을 지원한다. 또한, 가상패치를 통해 패치가 배포되기 전에도 취약점 공격에 대응할 수 있도록 한다.

포티넷 역시 ▲AI 기반 악성코드 탐지 및 분석 솔루션 ‘포티AI’ ▲SOAR 솔루션 ‘포티SOAR’ ▲행위 분석 기술인 샌드박스에 AI 기술을 접목한 ‘포티샌드박스’ ▲EDR 솔루션 ‘포티EDR’ ▲네트워크 운영 인프라 모니터링 솔루션 ‘포티모니터’ ▲보안 이벤트 상관관계 분석 및 통합 관리 솔루션 ‘포티매니저’와 ‘AI 옵스’ 등 다양한 솔루션을 공급하고 있다.

악성코드 나날이 진화, 사용자 주의 기울여야

한편, 전문가들은 알려지지 않은 취약점을 이용하는 악성코드는 선제 대응에 한계가 있으므로 개인의 컴퓨터와 스마트폰 사용 수칙을 잘 지키는 것이 우선시 돼야 한다고 당부했다.

악성코드를 예방하기 위해서는 먼저 운영 체제 및 모든 애플리케이션을 최신 상태로 유지돼야 한다. 최신 운영체제는 기능과 개선 사항을 추가하고 버그를 수정하는 것뿐만 아니라 사이버 범죄자와 악성 코드로 오용될 수 있는 취약점을 패치하기 때문이다.

또한, 잠재적인 공격 시도를 차단하기 위해서는 신뢰할 수 있고 업데이트된 보안 솔루션을 마련하고, 오프라인 저장장치에 저장된 데이터를 정기 백업해야 한다. 정기적인 백업은 공격자가 손상시키거나 암호화된 데이터를 쉽게 복구할 수 있도록 한다.

아울러 출처가 불분명한 이메일 첨부 파일을 실행하거나 링크된 이미지를 클릭하지 않도록 주의해야 한다. 또 공식 스토어 이외의 앱 설치를 주의하고, 신뢰할 수 없는 사이트 방문을 자제해야 한다.

한국인터넷진흥원(KISA) 관계자는 “악성코드는 나날이 진화하고 변모하고 있다. 공격자들은 특정 기관이나 개인으로 속이고 사회적 공통관심사로 위장하는 등 피싱과 결합해 공격의 시너지를 극대화하고 있다. 또한, 최근 악성코드는 실행 파일(EXE, DLL)보다는 보안 솔루션 탐지를 우회하기 쉬운 비실행 파일(LNK, PowerShell, VBS)로 제작되는 추세다. 이러한 파일은 변형이 쉬워 대량으로 빈번하게 제작·배포돼 즉각적인 탐지가 어려운 만큼 사용자의 각별한 주의가 필요하다”라고 말했다.