지난 5월 시만텍 정보보안 담당 드라이언 다이 수석 부회장이 PC 백신(안티바이러스) 시대 종언을 선언하면서 화제가 된 바 있다. 그리고 최근 바이러스가 아닌 취약점 자체를 차단하는 '안티 익스플로잇' 솔루션이 뜨고 있다.

알려진 악성코드만을 '시그니처' 방식으로 차단하는 이전세대 백신은 이제 무용지물이 됐다. 즉, 인터넷상에서 무료로 배포하는 백신은 PC에 설치해봐야 '진짜' 공격은 전혀 막을 수 없다는 의미다.

최근 온라인 바이러스 검사 사이트인 바이러스 토탈(Virus Total)에 따르면 1개의 제로데이(Zero-Day) 취약점을 통해 100개에서 200여개의 변종 악성코드가 유포되는 것으로 확인됐다.

하지만 악성코드 차단을 위해 가장 많이 사용되는 안티바이러스(Anti-Virus)의 경우 악성코드 탐지율이 50%에 그치고 있다.

국내에서도 사용자 정보를 탈취하는 파밍 및 키로깅 악성코드가 제로데이 취약점을 통해 유포되고 있는 실정이다. 안티 익스플로잇은 이같은 필요조건에 의해 등장한 기술인 셈이다. 지금 와서는 드라이언 다이 부회장의 발언도 이같은 현황을 의식한 것이 아니냐는 분석까지 나오고 있다.

안티 익스플로잇의 등장으로 보안업계에도 변혁의 바람이 불 조짐이다. 일단 국산 안티 익스플로잇은 이글루시큐리티의 'IS-키모'가 거의 유일하다.

백신과 안티 익스플로잇의 차이
그렇다면 백신과 안티 익스플로잇의 차이는 뭘까? 결론부터 정리하자면 '치료'의 유무다.

백신과 안티 바이러스는 겉으로는 비슷해보이지만 작동하는 기능과 역할이 서로 다르다. 안티 익스플로이은 층층이 퍼져 있는 악성코드를 일일이 찾아서 치료하는 기능은 없다. 이건 백신의 역할이다.

백신은 바이러스가 침입하면 데이터베이스(DB)를 기준으로 스캔 후, DB와 일치하면 치료를 한다.

안티 익스플로잇은 침입 전단계에서 문서파일, 동영상플레이어, 자바, 플래시플레이어 등의 취약점을 통해 침입하려고 할때 취약점 자체를 차단한다. 백신과는 차이가 있다.

이처럼 서로의 역할이 다르므로 백신과 안티 익스플로잇은 서로 경쟁하지도 않는다.

백신은 대부분 알려져 있는 공격만 방어를 하고, 제로데이 공격에는 상대적으로 취약한 면모를 보여왔다. 최근 들어서 자바나 플래시 플레이어의 취약점을 악용하는 사례도 급증하는 추세다.

새로운 공격형태 리그킷 등장
특히 리그킷(RIG Kit)이라 불리는 신종 익스플로잇 킷이 발견되면서 보안업계에는 비상이 걸렸다.

리그킷은 PC의 특정 경로에 파일 존재 유뮤를 확인한 뒤, 자바, 플래시 플레이어 등의 취약점을 이용해 악성코드를 유포하는 공격 방식이다.

리그킷 공격방식은 그 샘플을 남기지 않는다는 점에서 추적하기가 매우 까다롭다고 알려져 있다. 흔적을 남기지 않는다는 뜻이다. 이때문에 백신이 이를 발견하는 것도 매우 어렵다. 따라서 대부분의 백신은 리그킷 공격형태에 대한 방어능력이 없다고 알려져 있다. 국내에서도 이미 지난달 리그킷을 통한 악성코드 유포 현황이 포착되기도 했다.

국내에서는 유일하게 안티 익스플로잇 솔루션으로 불리는 이글루의 키모는 백신과 달리 특정 행동을 탐지하는 자체 행위기반 엔진을 갖추고 있다.

이글루시큐리티 관계자는 "기존의 방식을 탈피하지 않으면 날로 지능화되는 사이버 공격에 대응하기 힘들다"며 "가장 안전한 보안 시스템을 갖추려면 '사전차단'기능의 안티 익스플로잇과 '사후대처' 기능의 백신을 함께 갖추는 것이 이상적일 것"이라고 설명했다.