안티바이러스 "이젠 사전 방역이 대세다"

안철수연구소가 사전 방역 기능을 강화해 7월 초 출시한 ‘V3 IS 2007 플래티넘’
안철수연구소가 사전 방역 기능을 강화해 7월 초 출시한 ‘V3 IS 2007 플래티넘’

 “현재 존재하지 않는 바이러스 감염도 차단한다.”

 과거 웜이나 바이러스가 나타나면 수시간 이내에 이를 제거할 수 있는 백신을 만들어 발빠른 사후 방역에 힘썼던 안티바이러스 기업들이 이제 사후 방역이 아닌 사전 방역에 승부를 걸고 있다.

 안철수연구소를 비롯해 시만텍·트렌드마이크로·뉴테크웨이브 등 대부분의 국내외 안티바이러스 기업은 최근 출시한 신제품에 백신을 업데이트하지 않고도 새로운 위험 요소를 치료하는 신기술을 추가했다. 이는 제로데이 공격 등 취약점이 발견되자마자 이를 이용한 웜바이러스가 제작되면서, 이를 막기 위해 사전 방역이 필수 기능으로 떠올랐기 때문이다.

 안티바이러스 기업들은 이를 통해 웜·바이러스가 고객의 PC에 감염돼 피해를 끼치기 전에 미리 이를 파악하고, 대비하는 차세대 안티바이러스 기술을 선보이고 있다.

 ◇휴리스틱 분석 기법 각광=그동안 안티바이러스 기업들은 자신들의 데이터베이스(DB)를 검색해 고객 컴퓨터에 이와 일치하는 악성코드가 있는지 알아보고 난 후 이를 치료했다. 어떤 기업이 바이러스 DB를 많이 확보했느냐에 따라 백신의 경쟁력이 좌우됐던 것이다.

 하지만 이 방법은 신종 바이러스가 나타나면 대응 시간이 최소 3시간 이상 걸리는 단점이 있다.

 이를 보완하기 위해 안티바이러스 기업들은 최근 DB 경쟁을 떠나 사전 방역 기술에 더 치중하고 있다. 이 때문에 사전 방역 기술이나 기법인 휴리스틱(heuristic)을 이용한 바이러스 검색 기술이 안티바이러스 업계의 최대 화두로 부상했다.

 경험에 기초를 둔 추측을 활용하는 휴리스틱 기법 때문에 안티바이러스 기업은 그동안 축적한 웜·바이러스 기술을 바탕으로 이들이 어떤 형태로 활동하는지를 분석해 악성인지 아닌지를 추측할 수 있게 됐다.

 안티바이러스 솔루션 내에 포함된 휴리스틱 분석 프로그램은 특정 프로그램의 코드와 실행된 애플리케이션의 행동을 분석해 악성인지 여부를 간접적으로 결정한다.

 DB 검색과 달리 휴리스틱 방법은 알려진 바이러스와 알려지지 않은 바이러스 두 가지를 모두 탐지할 수 있다.

 ◇차세대 신제품에 적용=안철수연구소(대표 김철수)는 최근 발표한 ‘안랩 V3 인터넷시큐리티 2007 플래티넘’에 사전 방역 기능을 대폭 강화했다.

 한국카스퍼스키랩(대표 이창규)도 차세대 휴리스틱 분석과 행동 기술 차단 기술을 탑재한 개인용 신제품 ‘카스퍼스키 인터넷 시큐리티 6.0’을 최근 출시했다.

 시만텍코리아(대표 윤문석) 역시 휴리스틱 기술을 바탕으로 안전한 전자거래를 도와주는 ‘노턴 컨피덴셜’을 오는 9월 출시할 계획이다. 노턴 컨피덴셜은 인터넷 사이트가 악성코드에 감염됐는지, 개인정보를 빼내는 피싱 사이트인지를 미리 알아내 사용자에게 알려주는 새로운 솔루션이다.

 이창규 한국카스퍼스키랩 사장은 “DB 방법만으로 신종 바이러스를 차단하는 데 한계가 있다”며 “사전 차단을 위한 휴리스틱 기법을 이용해 기존 안티바이러스 기술을 보완하는 것이 세계적인 추세”라고 설명했다.

 김인순기자@전자신문, insoon@etnews.co.kr