‘안티바이러스 무용론’은 완전히 틀린 말이다. 안티바이러스가 완전한 기술은 아니지만 없어도 될 기술은 결코 아니다. 엔드포인트를 보호하기 위해서도 다단계 방어 전략이 필요하며, 공격을 인지하고 차단하며 보호해야 할 데이터를 안전하게 보호하는 방법이 필요하다. 엔드포인트에 대한 멀티벡터 방어 전략을 살펴본다.<편집자>
극심한 침체기 겪는 안티바이러스
EDR, DLP, 자산관리 시스템 등에 의해 안티바이러스 업계의 엔드포인트 보안 시장 장악력은 급속도로 약화되고 있다. ‘안티바이러스 무용론’을 언급하지 않더라도 안티바이러스 업계는 극심한 침체에 빠져있는 것은 사실이다.
안티바이러스는 보안의 가장 기본적인 기술로, 기업/기관은 물론 개인 사용자를 위협하는 대부분의 공격을 탐지하고 차단한다. 그럼에도 불구하고 안티바이러스 시장이 어려움을 겪는 이유는 수익성 악화 때문이다. 이는 전 세계적으로 동일하게 나타나는 현상으로, 무료 라이선스가 너무 많이 배포돼 있으며, 유료 라이선스의 가격 기준도 매우 낮은 수준으로 떨어져있는 상황이다. 유료 라이선스 하나로 사용할 수 있는 기기 대수도 매우 많으며 일부 라이선스는 무제한 사용을 허락하고 있어 사실상 무료로 배포하는 것이나 다름없다.
이스트소프트 관계자는 “안티바이러스의 국내 시장은 포화상태이며, 기업/기관의 보안 예산 투자 축소로 인해 심각한 정체를 겪고 있으며, 해외 진출 성과도 극히 미미하다. 해외에서도 안티바이러스 시장의 성장은 어려운 상황에다가 국내 제품이 해외에서 자리 잡는 것도 쉽지 않은 일인 상황”이라며 “이러한 어려움을 극복하기 위해서는 제품의 성능 강화뿐이다. 다양한 보안위협에 대응할 수 있는 보안 솔루션으로 진화시키는 것만이 살아남을 수 있는 길”이라고 강조했다.
이스트소프트의 ‘알약’은 비트디펜더, 소포스, 그리고 자체 개발한 테라 엔진 3개를 동시에 구동해 악성코드 탐지율이 높다. 랜섬웨어 차단 기능을 탑재해 하루 평균 1만2000건의 랜섬웨어 공격을 차단한다.
올해 ‘내PC지키미’와 ‘패치관리시스템(PMS)’을 알약 제품군에 포함시키면서 라인업을 보강했으며, 향후 다양한 엔드포인트 보안 제품을 통합관리 할 수 있는 통합 에이전트와 통합관리서버 플랫폼도 개발중이다. 더불어 지능형 악성코드 분석 솔루션 ‘IMAS’ 클라우드 기반 서비스 출시를 예정하고 있으며, 문서중앙화·내부정보 유출방지 솔루션 ‘시큐어디스크’ 기능 고도화를 준비하고 있다.
한편 이스트소프트는 1월 보안사업을 전담하는 이스트시큐리티를 별도 법인으로 분리독립시키고 보안사업에 더욱 집중할 계획이다. 이스트소프트는 인공지능(AI) 등 미래사업 개발을 중심으로 사업을 전개할 계획이다.
국내 대표적인 안티바이러스 솔루션인 안랩 ‘V3’는 다차원 분석 플랫폼을 통해 다양한 보안위협으로부터 엔드포인트를 보호하고, 사전방역기능으로 안전한 컴퓨팅 환경을 조성할 수 있게 한다. 안랩은 여러 악성코드 차단 기술을 통합한 APT 방어 솔루션 ‘MDS’를 적극적으로 공략하고 있으며, 침해사고 대응조직 및 위협 인텔리전스를 연계해 조직 전반의 위협 수준을 낮추기 위해 노력하고 있다.
‘코드기반 침해대응 솔루션’으로 재정비
글로벌 시장에서는 안티바이러스 본연의 기능에 충실하면서 새로운 위협을 차단하는 기술을 꾸준히 업그레이드하는 기업들이 있다.
김남욱 이셋코리아 대표는 “시그니처 기반 악성코드 대응 도구로만 본다면 안티바이러스 시장이 성장의 한계에 부딪힌 것은 맞지만, ‘코드기반 침해대응 솔루션’이라는 관점에서 보면 전혀 다르다”고 말했다.
이셋이 주장하는 코드기반 침해대응은 악성코드의 행위를 인지하고 차단하는 것을 말한다. 악성코드를 지능적으로 인지해 차단하고, 유입된 악성코드 실행을 차단하며, 실행된 악성코드의 악의적인 행위를 차단하고, 악성코드가 데이터를 외부로 유출하는 것을 차단하는 것이 주요 내용이다. 이를 위해 악성코드 시그니처 매칭, 정적 분석, 샌드박스를 이용한 동적 분석, 평판확인 등의 기술이 사용되며, 유입·확산 경로를 차단하기 위한 웹·이메일 필터링 기술이 활용된다.
이셋의 ‘인터넷 시큐리티’는 상기 언급한 안티바이러스가 제공하는 보호 기능을 제공하며, 안전한 인터넷 이용을 위한 방화벽, 알려진 네트워크 공격 탐지(IDS), 각종 네트워크 프로토콜 필터링, 피싱 방지 등 비(非) 코드 기반 네트워크 침해 대응 기능을 포함한다.
‘이셋 엔드포인트 솔루션’은 호스트IPS(HIPS), 메모리 스캐너, 익스플로잇 차단 기능을 갖고 있으며, 라이브그리드를 이용한 평판분석 서비스를 이용해 알려지지 않은 파일의 위험성을 파악한다. 대륙별로 악성코드 대응센터를 운영해 글로벌 방역 시스템을 제공하며, 원격제어 시스템으로 분산된 환경에서도 중앙관리가 가능하다.
카스퍼스키랩은 전통적인 엔드포인트는 물론 POS 및 IoT 시스템, 산업제어 시스템 등을 위한 다양한 안티바이러스 신제품을 출시하면서 시장을 다각화한다. 카스퍼스키랩의 안티바이러스 제품은 VPN을 기본으로 제공해 안전하지 않은 인터넷 연결 시도를 차단하며, 소프트웨어·패치 업데이트를 통해 안전한 사용환경을 제공한다.
