불과 4개월이 채 안되어 백신 무용론은 점점 기정 사실화되고 있다. 최근 바이러스 검사 사이트인 바이러스 토탈(Virus Total)에 따르면 1개의 제로데이(Zero-Day) 취약점을 통해 100개에서 200여개의 변종 악성코드가 유포되는 것으로 확인됐지만 '백신'의 악성코드 탐지율은 불과 50%에 그치고 있다.

국내에서도 사용자 정보를 탈취하는 파밍 및 키로깅 악성코드가 제로데이 취약점을 통해 유포되는 과정이 속속 포착되고 있다. 예를 들어 어도브 플래시, PDF, 한글문서, MS워드 문서 등의 취약점을 통해 교묘하게 악성코드를 삽입해 타깃에게 유포시킨다. 이를 방어하려면 일일이 취약점에 대해 파악하고 꼼꼼하게 패치를 받아야 한다.

보안 취약점이 발견될때마다 보안기업들은 업데이트를 권고하지만 매번 꼼꼼하게 업데이트를 하는 경우도 많지 않다. 중요한 점은 보안 취약점이 발견됐다는 것은 이미 어느정도 공격과 침투가 일어난 뒤라는 것을 의미한다는 점이다.

위와 같은 경우 '시그니처' 방식을 기반으로 하는 백신으로는 탐지가 거의 불가능하다. 최근에는 '백오프'로 명명된 신종 POS 악성코드도 발견됐다. 이는 현존하는 모든 백신으로도 탐지하기 힘들다.

안티 익스플로잇은 공격에 대한 방어를 먼저 기본으로 하고 실시간으로 이를 분석하고 대응한다. 침투하기 전에 선제적인 방어를 기본 원칙으로 한다. 그러나 치료 프로세스는 없다. 이론적으로 보면 두가지가 합쳐질때 이상적인 방어체계를 구축할 수 있다.

글로벌 시장에서는 미국의 맬웨어바이트, 일본의 FFRI 등을 비롯해 안티 익스플로잇 솔루션이 보편화 되어 있지만 국내에서는 아직 걸음마 단계다.

맬웨어바이트 제품은 지금까지 전세계에서 3억건의 다운로드를 기록했을 정도로 이미 활성화 되어 있다.

제품 기능을 살펴보면 기본적으로 인터넷 브라우저와 그 구성요소를 보호하거나 드라이브 바이 다운로드에 대한 공격 방어 기능을 갖고 있다.

오피스, PDF 등 애플리케이션 취약점에 대한 방어 기능은 물론 가상머신 사용없이 실시간 차단 기능이 적용됐다. 맬웨어바이트 제품은 DB 업데이트가 필요없고 용량도 3MB로 가벼운 것이 장점이다. 특히 대부분의 백신과도 호환이 되기 때문에 인기가 높다.

제품 기능만 보면 맬웨어바이트의 안티익스플로잇과 거의 유사하다.

차별적인 특징으로는 ZDP 엔진을 통해 알려지지 않은 취약점에 대한 공격을 보호하고 정적 분석 엔진을 통해 맬웨어를 분석한다. 샌드박스 엔진도 함께 들어가 있어 가상 CPU, 가상 메모리 등 가상환경에서 프로그램이 실행된다. HIPS 엔진을 통한 모니터링, 기계학습엔진을 통해 빅데이터 기반으로 실행중인 프로그램까지 모니터링할 수 있다.

국내 시장 아직 걸음마 단계
국내에서는 이글루시큐리티가 최근 발표한 IS-키모를 꼽는다. 보안관제사업에 주력했던 이글루가 내놓은 키모는 설계부터 안티 익스플로잇에 집중해 개발됐다. 문서형 악성코드에 대한 탐지와 차단 기능, HTTPS나 SSL 등 암호화 통신을 통한 은닉공격 차단 기능도 갖췄다. 액티브 X, 자바 등 애플리케이션 취약점 방어 기능도 갖추고 있다.

하우리 APT쉴드 는 제로데이 공격 차단, 애플리케이션 취약점 방어 기능을 갖추고 있으며 백신과 호환이 된다는 점에서 안티 익스플로잇 솔루션과 유사하다.

일부 전문가들은 안티 익스플로잇의 필요성은 점점 커지고 있지만 국내는 아직 시장 형성도 되어 있지 않다는 점에서 국내 보안기업들이 시장에 뛰어들어야한다고 입을 모으고 있다.  정보보안 시장 카테고리에도 안티 익스플로잇은 아직 들어가 있지 않다.

국내 보안업체 한 관계자는 "'보안'이라는 부분은 특성상 '공격'보다 한템포 늦을 수 밖에 없는 것이 현실이다. 그럼에도 불구하고 매일 변화하고 교묘해지고 있다"며 "기존 백신은 이미 10~20년전 방식을 사용하고 있어 변화무쌍해지는 공격에 대응하는 것이 점점 힘들어지고 있다"고 전했다.