최근 랜섬웨어 등 보안 위협이 다양하고 복잡해지면서 보안 업계가 전통적인 안티바이러스(백신)에서 탈피한 새로운 엔드포인트 보안 솔루션을 선보이고 나섰다.
안티바이러스 솔루션은 유입된 파일을 미리 만들어둔 악성코드 리스트와 대조해 동일할 경우 차단하는 전형적인 블랙리스트 방식을 따른다. 블랙리스트 방식은 이미 분석된 악성코드는 확실하게 막을 수 있지만, 알려지지 않은 악성코드에는 대응할 수 없다는 점이 단점이다.
김종광 인섹시큐리티 대표는 "글로벌 보안 기업도 하루에 300개 정도의 악성코드를 분석해 데이터베이스(DB)에 업데이트하는 수준에 머물러 사실상 안티바이러스로는 모든 공격을 막을 수 없다"며 "때문에 허용된 프로세스만 동작하도록 하고, 나머지는 모두 차단하는 화이트리스트 방식의 보안 솔루션이 최근 다시 주목받고 있다"고 설명했다.
화이트리스트 방식의 보안 솔루션은 운영체제(OS)와 기업에서 꼭 필요한 애플리케이션을 제외한 불필요한 프로그램은 아예 실행되지 않도록 함으로써 알려진 보안 위협은 물론, 알려지지 않은 보안 위협도 차단할 수 있다. 인섹시큐리티는 최근 화이트리스트 기반 보안 솔루션 '카본블랙 엔터프라이즈 프로텍션(Carbonblack Enterprise Protection)'의 국내 공급을 시작했다.
화이트리스트 기반 보안 솔루션은 기존에도 있었지만, 사용상 제약이 많고 업데이트 등 관리가 쉽지 않아 산업제어 시스템과 같이 특수한 용도의 폐쇄망에서만 제한적으로 사용돼 왔다. 하지만 최근 머신러닝(기계학습) 기술이 발전하면서 화이트리스트 기반 보안 솔루션도 관리 용이성을 높여 일반 기업으로 시장을 확대하고 있다.
김 대표는 "화이트리스트 기반 보안 솔루션을 도입한다고 해서 안티바이러스가 필요 없다는 것은 아니다"며 "블랙리스트와 화이트리스트 방식을 상호 보완적으로 사용하면 더 효율적인 보안 체계를 구축할 수 있을 것이다"고 말했다.
악성코드 자체가 아닌 악성코드를 배포하는 자동화 도구의 행동을 분석해 알려지지 않은 공격을 차단하는 보안 솔루션도 등장했다. 팔로알토네트웍스는 5일 기존 안티바이러스 솔루션을 대체할 수 있는 지능형 차세대 엔드포인트 보안 솔루션 '트랩스(Traps)'를 출시했다.
팔로알토네트웍스에 따르면, 트랩스는 시스템 취약점을 악용하거나 엔드포인트에 악성코드를 적용하려는 시도가 발견될 경우 이를 사전에 탐지하고 차단한다. 악성코드 자체를 스캐닝하거나 모니터링하는 방식이 아니기 때문에 최소한의 CPU와 메모리만으로 동작하는 점도 특징이다. 설치해야 하는 에이전트의 용량도 12메가바이트(MB)에 불과하다.
최원식 팔로알토네트웍스코리아 대표는 "안티바이러스는 기술적으로 보안 관련 규정과 기업 요건을 충족시키도록 설계돼 있지만, 계속해서 진화하는 다양한 공격으로부터 실질적인 보안 체계를 제공하지 못한다"며 "이전에 등장한 적이 없는 새로운 공격이라도 엔드포인트를 포함한 모든 침입 경로를 차단할 수 있는 종합적인 플랫폼을 갖춰야 할 때"라고 말했다.