저번 NAC 솔루션에 이어서 오늘은 보안의 가장 기본적인 솔루션인 안티 바이러스(Anti-Virus)에 대해 적어보고자 합니다. 안티 바이러스는 우리에게 백신으로 조금 더 많이 알려진 보안 소프트웨어인데요. 초기에는 PC에 설치된 바이러스 등의 악성코드를 탐지하고 삭제하기 위한 기본적인 기능부터 시작해서, 최근에는 행위 기반으로 실시간 분석을 진행하고 나아가 AI를 이용하여 데이터를 기반으로 악성코드를 차단하는 기능이 추가되고 있죠. 이렇게 다양한 기능들이 추가되면서 안티 바이러스가 점차 고도화되고 있지만, 이번 글에서는 가장 기본적인 악성코드 탐지 기능에 대해 말씀드려보도록 하겠습니다.
사실 안티 바이러스의 컨셉 자체는 사후 대응의 성격이 강합니다. 새로운 악성코드가 출현했을 때, 해당 악성코드의 파일이나 데이터의 특성을 분석해서 이를 패턴화한 후 이를 안티 바이러스의 악성코드 DB에 넣어 놓죠. 여기서 새로운 악성코드의 출현이라 함은 누군가 한 번 감염이 되었다는 의미이기 때문에, 안티 바이러스에서 처음 보는 악성코드는 탐지할 수 없다는 의미가 됩니다. 이를 시그니처(Signature) 기반 또는 패턴 기반의 탐지라고 부르는데, 이러한 솔루션이 가지는 한계에 대해 아래의 글에서 자세히 언급하였으니 참고하시면 될 것 같습니다.
패턴과 시그니처 기반 보안 솔루션의 한계
이번 에세이에서는 전통적인 시그니처 기반 보안 솔루션들의 한계를 주제로 하는 기사에 대해 소개드리려고 합니다. 제가 지금까지 여러 악성코드 사례들을 설명드리면서, 대부분의 악성코드
jaysecurity.tistory.com
그래서 보통 PC가 악성코드에 감염되면 시작 프로그램에 등록되어 재부팅 시에도 악성코드가 실행될 수 있도록, 악성코드 파일이 특정 폴더에 복사됩니다. 우리가 V3나 알약에서 빠른 검사를 통해 C 드라이브를 통째로 순회하면서 파일 하나하나마다 안티바이러스의 악성코드 DB와 비교하게 되는데, 이때 시그니처 검사를 수행하게 된다고 생각하시면 될 것 같습니다. 이를 구현하는 가장 쉬운 방법은 우리가 아는 MD5와 같은 일방향 암호화인 해시 함수로 해시값을 악성코드 DB에 넣어 놓고 비교하는 것이 되겠죠. 물론 지금은 이렇게 단순한 방법을 사용하진 않겠지만, 안티바이러스의 가장 기본적인 컨셉이라고 이해하시면 충분할 것 같습니다.
[기획특집] 보안의 기본, 안티 바이러스 - 아이티데일리
[아이티데일리] 나날이 커지는 보안 위협 속에서 엔드포인트 보안이 다시금 중요해지고 있다. 보안을 위한 기본으로 꼽히는 안티 바이러스 솔루션은 코로나19로 원격근무 시대가 앞당겨지면서
www.itdaily.kr
물론 지금은 안티 바이러스 엔진에 후킹 기술 등을 이용한 실시간 탐지 기능을 추가함으로써, 파일을 다운로드 받거나 실행시킬 때 바로 악성코드인지 판단하여 감염되기 전에 악성코드를 삭제시키고 있는데요. 추후 엔드포인트의 행위를 모니터링하여 위협을 사전에 차단하는 EDR 보안 솔루션에 대해서도 소개할텐데, EDR에도 기본적으로 안티 바이러스 기능이 추가되어 있다고 알아두시면 좋을 것 같습니다. 그럼 안티 바이러스에 대한 이야기는 이 정도로 마무리하고, 다음 글에서는 또 다른 보안 솔루션에 대해 말씀드리도록 하겠습니다. 읽어주셔서 감사합니다.
'보안 솔루션' 카테고리의 다른 글
| 기업의 중요한 정보 유출을 방지하는 DLP 솔루션 (0) | 2023.04.11 |
|---|---|
| 문서를 암호화하여 저장하는 DRM 보안 솔루션 (0) | 2022.12.30 |
| 네트워크 접근제어 NAC 보안 솔루션 (0) | 2022.11.30 |
| 컨텐츠 악성코드를 무력화하는 CDR 보안 솔루션 (0) | 2022.09.18 |
댓글