하루에도 수십만개 쏟아지는 신종 악성코드, '화이트리스트' 보안 재조명

입력 2016.12.24 00:50 | 수정 2016.12.24 02:00

올해 들어 랜섬웨어(Ransomware)를 비롯해 다양한 신·변종 악성코드가 범람하면서 보안 업계에 '화이트리스트(White list)' 방식의 솔루션이 대안으로 재조명 받고 있다.

보안 위협이 날로 지능화되면서 전통적인 안티바이러스를 보완하는 새로운 엔드포인트 보안 솔루션의 필요성이 높아지고 있다. / 팔로알토네트웍스 제공
하루에도 수십만개의 악성코드가 새로 등장하면서 특정 위협이 갖는 행동양식을 데이터베이스(DB)로 만든 후 이를 기반으로 알려진 악성코드를 막는 기존의 '블랙리스트(Black list)' 방식으로는 모든 악성코드를 막는 것이 사실상 불가능하다는 판단에서다.

보안 업계에 따르면, 세계적으로 누적된 악성코드의 수는 5억개에 달하며 매달 1000만개의 새로운 악성코드가 등장하고 있다. 산술적으로 계산해도 매일 평균 33만여개의 악성코드가 등장하는 셈이다.

전통적인 백신(안티바이러스) 솔루션은 유입된 파일이나 공격을 미리 만들어둔 악성코드 DB와 대조해 이와 동일할 경우 차단하는 전형적인 블랙리스트 방식을 따른다. 블랙리스트 방식의 장점은 이미 분석된 악성코드라면 가장 확실하게 차단할 수 있다는 것이다. 대신 해당 보안 기업이 미처 분석하지 못한 알려지지 않은 신·변종 악성코드에는 대응할 수 없다는 것이 단점이다.

화이트리스트 방식의 보안 솔루션은 감염되지 않은 클린 상태의 운영체제(OS)와 기업에서 꼭 필요한 애플리케이션을 제외한 불필요한 프로그램은 아예 실행되지 않도록 함으로써 알려진 보안 위협은 물론, 알려지지 않은 보안 위협도 차단할 수 있다.

화이트리스트 기반 보안 솔루션은 기존에도 있었지만, 사용상 제약이 많고 업데이트 등 관리가 쉽지 않아 산업제어 시스템과 같이 특수한 용도의 폐쇄망에서만 제한적으로 사용돼 왔다. 하지만 최근 머신러닝(기계학습) 기술이 발전하면서 화이트리스트 기반 보안 솔루션도 관리 용이성을 높여 일반 기업 등으로 시장을 확대하고 있다.

이러한 추세는 최근 인터넷에 접속 가능한 기기가 급증하면서 엔드포인트 보안 시장이 성장하고 있는 것과 궤를 같이 한다. 엔드포인트 보안 시장은 사물인터넷(IoT) 트렌드의 확산에 발맞춰 제 2의 성장기를 맞고 있다. 기업 입장에서도 광범위하게 분산된 엔드포인트 기기를 일일히 관리하기란 쉽지 않다. 백신은 대표적인 엔드포인트 보안 솔루션이지만, 사이버 위협이 날로 지능화되면서 한계를 드러내고 있다.

화이트리스트 기반의 보안 솔루션을 도입한다고 해서 기존의 백신 솔루션이 필요 없어지는 것은 아니다. 백신은 인터넷망에 연결된 컴퓨터에서 반드시 주고받아야 하는 데이터를 감시하는 최소한의 방어 수단이 돼준다. 보안 업계에 따르면, 실제로 화이트리스트 방식의 보안 솔루션을 도입한 기업들도 대부분은 안티바이러스를 폐기하기보다는 상호 보완적으로 활용하는 것을 선호한다.

보안업계 한 관계자는 "글로벌 보안 기업도 하루에 분석할 수 있는 악성코드의 수가 수백 개에 불과하기 때문에 사실상 안티바이러스로 막을 수 있는 공격의 종류는 한정적일 수밖에 없다"며 "이에 대한 대안으로 사전에 허용된 프로세스만 동작하도록 하고, 나머지는 모두 차단하는 화이트리스트 방식의 보안 솔루션이 최근 다시 주목받고 있다"고 말했다.