[보안] 보안솔루션의 종류 - 사용자 보안_1 : 백신(악성코드 탐지)

사용자 보안 - 1. 백신(악성코드 탐지 솔루션)

 

솔루션 개념

 

해당 솔루션에 대해 이야기 하기 전에 

악성코드의 정의에 대한 이해가 먼저 필요할 것 같다.

악성코드는 악의적으로 사용자에게 피해를 주기 위해 만든

프로그램, 스크립트 등 컴퓨터에서 동작하는 모든 파일 형태이다.

다른 말로는 멀웨어(Malware - malicious software 줄임말)라고 한다.

(악성코드보다는 멀웨어 혹은 악성 소프트웨어라는 표현이 맞지 않을까?!)

 

여튼 악성코드는 악의적으로 만들어진 것들을 통칭하기 때문에

바이러스, 웜, 트로이 목마 등을 모두 포함하는 상위 개념인 것이다.

(처음 보안회사 면접볼 때 악성코드와 바이러스 차이점을

제대로 설명 못해서 쪽팔렸던 기억이...)

 

그럼 백신은 정확하게 무슨 일을 하냐!

이런 악성코드들이 유입 되는 것을 막고

유입된 경우에는 전파되지 않도록 조치하는

탐지 및 대응 솔루션이라고 생각하면 되겠다.

 

그렇지만 특정 악성코드에 대응한다 하더라도

언제나 새로운 형태의 악성코드가 등장하기도 하고

요즘에는 APT와 같은 공격이 늘어나면서

위협이 증가되고 있는 현실이다.

 

이에 대응하기 위해 인공지능을 도입 한다던가

단일 솔루션으로 대응에 그치지 않고

복합적으로 공격을 탐지하고 판단하는 등

악성코드 탐지 기술이 고도화 되고 있다.

(정말 끝나지 않는 창과 방패의 싸움)

 

<악성코드 흐름 및 솔루션 구성>

기능

 

악성코드 탐지 솔루션의 기본 기능들을 살펴보자면

정책 설정, 악성코드 탐지 및 대응, 모니터링 3가지 기능으로 구분 가능하다.

 

먼저 정책관리 기능은 사용자 정의 정책을 설정하고

필요에 따라 사용자에게 정책을 배포하는 것이다.

네트워크 환경 및 인터넷 접속 보안 정책이나

IP, Domain등에 대해 사용자 정의 패턴을 설정하는 등의

정책을 사용자에게 내려주는 것이다.

통제가 필요한 부분에 대해 정책을 만들고

해당 정책이 필요한 사용자에게 정책을 내리고

필요가 없는 경우는 정책을 빼버리는 기능이라고 보면 되겠다.

 

악성코드 처리 기능은 악성코드 진단이 메인 기능이다.

바이러스나 웜, 트로이 목마 같은 악성코드를 실시간으로 진단하고 

탐지된 결과에 따라 대응하는 기능이라고 보면 되겠다.

 

모니터링 기능은 말 그대로 실시간 모니터링이다.

시스템 상태를 주기적으로 관찰하고

탐지 여부도 관찰하고, 탐지 결과는 리포트를 보여주는

그런 기능이라고 보면 되겠다.

 

벤더사별 제품 특징

<Symantec - Symantec Endpoint Protection> 먼저 알아볼 제품은 시만텍( 현)노턴라이프룩 )의 'Symantec Endpoint Protection'이다. 노턴 안티바이러스로 잘 알려진 이 제품은 글로벌 인텔리전스라고 하는 네트워크(GIN)를 구축하여 전 세계의 서버, 클라이언트, 게이트웨이 센서에서 정보를 모니터링하며 수집된 정보를 통해 새로운 공격을 분석하고 예측한다는 장점이 있다.

<안랩 - V3> 다음으로 알아볼 제품은 그 유명한 안랩의 V3이다. 안랩의 가장 큰 특징이라면은 ASD(AhnLab Smart Defense)일 것이다. ASD는 클라우드 기반의 악성코드 분석 및 대응 기술로 신종, 변종 악성코드 및 보안위협에 대응 가능하다고 한다. ASD네트워크에 연결된 PC들을 통해 위협정보를 공유함으로써 신속하고 정확한 대응을 가능하게 하는 원리이다.

<하우리 - ViRobot> 그 다음은 하우리 사의 ViRobot이다. 행위기반 기술이 적용되어 보안취약점을 이용하여 보안 위협요소를 사전 차단하는 것이 특징. I/O캐싱엔진을 이용해가볍고 빠르게 검사가 진행되는 것도 특징이라고 한다. (군대에 있을때 국방망에서 본거 같은데... 분명 느렸는데...) 또 다른 특징으로는 APT레이더와 APT실드를 통해 랜섬웨어 실시간 차단이 가능하다는 것이 있다.

<이스트시큐리티 - 알약> 다음으로는 이스트시큐리티의 알약이다. 알약 자체 엔진인 테라엔진과 루마니아 회사 비트디펜더의 엔진 듀얼 엔진을 통한 높은 탐지율이 특징이라고 할 수 있다. (원래는 소포스사의 엔진까지 트리플이었지만 지원종료...!) 그리고 AIS(ALYac Intelligence Scan)엔진 기반 클라우드 스캔으로 신/변종 위협에 대해 실시간 대응이 가능한 것도 특징이다.

<Avast - Avast Antivirus> 마지막은 어베스트의 안티바이러스이다. 다른 백신들보다 휴리스틱 검사 기능이 뛰어나다고 한다. 강화 모드라는 특별한 기능이 있는데 새로운 프로그램을 검사해서 의심이 가면 막아버리는 기능이다. 사이버 캡처 기능도 있는데 이는 클라우드 기술을 통해 파일을 어베스트 서버에 업로드 하여 검사하는 방법이다. (강화 모드인 경우에는 사이버 캡처 기능 사용 불가)

 

이렇게 악성코드 탐지 솔루션, 백신 프로그램에 대해 알아보았다.

물론 벤더사에서도 기업용, 개인용 등으로 나뉘고

나뉘어진 것에 따라 메인 기능과 부가 기능이 다를 것이다.

(필요에 따라 원하는 기능을 제공하는 벤더사 제품을 이용하길 권장)

그렇지만 모두 악성코드를 탐지하고 막는다는 

공통적이면서도 궁극적인 목표를 가지고 있기 때문에

자신이 사용하는 단말에 백신 프로그램은

꼭꼭 설치해서 사용하길 바란다.

 

 

 

※내용에 대한 지적이나 댓글은 언제나 환영입니다.

 

 

※해당 본문의 내용과 사진은 모두 ADT캡스( 구)SK인포섹 )에서 발행한

    2021 IT정보보호 구축 가이드(무료배포)를 기반으로 정리한 것입니다.