더욱 강력해진 새로운 V3, 개발 주역 3인을 만나다
대한민국 대표 보안 기업인 안랩이 얼마 전에 새로운 V3 제품군 4종의 새 버전과 1종의 신제품을 출시했다. 이들 신제품은 새로운 V3의 통합 플랫폼인 ‘다차원 분석 플랫폼’을 기반으로 하여 강력한 악성코드 통합 분석 및 대응, 향상된 탐지 및 진단 기능을 제공한다.
새로운 버전의 V3 제품군은 개인사용자용 토털 PC보안 제품 ‘V3 365 클리닉’, 중소기업용 통합 PC 보안 솔루션 ‘V3 MSS (Managed Security Service)’, 기업용 PC 보안 제품인 ‘V3 인터넷 시큐리티 9.0 (V3 Internet Security 9.0)’, 서버전용 백신 ‘V3 Net 9.0’이며, 신제품은 기업용 PC 보안통합 관리 솔루션인 ‘V3 엔드포인트 시큐리티 9.0 (V3 Endpoint Security 9.0)이다.
이러한 다차원 분석 플랫폼을 개발한 연구원 중 박준효 주임연구원, 박정태 책임연구원, 박종필 선임연구원을 직접 만나 제품 개발 뒷이야기를 들어보았다. 겉으로 보이지 않지만 항상 보안을 위해 노력하는 안랩 개발자의 수고를 알 수 있는 기회였다.
- 제품을 개발하면서 힘들었던 점은 무엇인가요?
목표 일정을 맞추기 위해 회사에 오래 남아 있어야 했어요(웃음). 그리고 기존 제품과의 차별화에도 무척 많이 신경 썼어요. 그만큼 창작의 고통이 따랐습니다. 또한, 글로벌 백신시장의 트렌드를 맞추는 데도 많은 노력을 기울였습니다. 제품이 출시된 후에는 쉴 틈 없이 고객의 피드백을 받아서 제품에 반영하는 데 많은 시간을 쏟고 있습니다.
- 이번에 새로 탑재된 평판기반진단의 특징은 무엇인가요?
평판기반진단은 몇 가지 조건이 존재해요. 사용자가 100명 이하이고, 위험한 행위(Windows 파일을 복사하거나, 호스트파일을 변조하는 등)를 하며 생성된 지 한 달 이내인 파일에 대해 이 파일을 실행시킬 것인지에 대한 창을 띄웁니다. 정밀한 진단을 통해 정상적인 파일에 경고를 하는 일이 없도록 신중을 기하고 있다고 한다.
- 안랩 보안 제품군은 중소기업용과 엔터프라이즈용이 따로 있는데, 어떠한 차이가 있나요?
일반적으로 중소기업은 대부분 보안 담당자가 따로 존재하지 않아요. 다른 일을 하면서 보안도 맡는 경우가 많죠. 게다가 중소기업은 PC에 내리는 정책이 단순합니다. 컴퓨터를 켜둘 건지, 꺼둘 건지 혹은 예약검사를 언제 실행할 것인지 정도이죠. 그렇기 때문에, 누구나 쉽게 사용 가능한 UI를 만들어서, 일반 사용자도 조금만 익숙해지면 그 정도 기능을 할 수 있는 관리 툴을 제공합니다.
그에 반해, 기업용은 APC(AhnLab Policy Center)를 이용해서 좀더 깊은 설정을 할 수 있습니다. 예를 들어, 대기업에 1만 대의 PC가 있다면, 이 모든 PC를 사람이 하나하나 켜거나 끌 수는 없죠. 중앙에서 V3를 제어하는 서버(APC)가 있어서, 정책을 정하면 그 내용이 네트워크를 통해서 정책으로 발효가 됩니다. 서버가 있어야 하고 제반 비용이 많이 들어가서 B2B, 즉 중견기업 이상에 제공하는 서비스입니다.
- 요새 APT(지능적 지속 위협)가 화두입니다. APT는 보안상 취약점을 찾아서 파고들어간다고 하는데, 행위기반진단에 포착이 안 될 수도 있지 않을까요?
APT는 단순히 하나의 기능만으로 대응할 수 있는 게 아닙니다. 그래서 행위기반진단 기능과 평판기반 진단 기능이 들어간 것입니다. 또한 이번에 새로 개발된 Active Defense 기능도 APT 대응력을 높여줍니다. 현재 실행 중인 프로세스가 나오고 그 프로세스가 어떤 행위를 하는지 표시해주어 가시성을 확보해 줍니다.
현재 개발 중인 ASD Enterprise에는 좀더 효과적으로 APT에 대응할 수 있는 기능이 들어갈 예정입니다. APT 샘플을 ‘특정 사이트에 접속하고 로깅을 하는 것이나 일반적은 프로그램은 하지 않는 행동, 예를 들어 시스템 파일을 교체하는 행위’라고 규칙을 만들어서 이 규칙이 맞으면 그 악성코드를 잡을 수 있습니다.
악성코드 제작자는 무료 백신을 깔고, 자기가 만든 것이 진단이 되면 수정하고 또 수정하고 어떻게 해서든 진단이 안 되게 해서 내보냅니다. 그래서 기존의 방식으로는 잡을 수가 없습니다. 그래서 이번에 MDP(Multi-Dimentional Protection) 프레임워크와 웹 방역 기술이 포함되었어요. URL만 막아버리면, 그 파일은 잡을 필요도 없기 때문이죠.
APT(Advanced Persistent Threats) : APT 공격은 과거의 불특정 다수를 노렸던 공격과는 달리 하나의 대상을 정해서 성공할 때까지 공격을 멈추지 않는 것이 특징이다. 특정 대상을 목표로 정한 후에, 내부에 침입하기 위해 많은 노력을 한다. 기업이나 기관의 중요 시스템에 대한 보안은 대단히 단단해서 이를 처음부터 침투하기가 어렵기 때문에 개인 PC를 먼저 장악한 뒤 합법적인 권한을 획득해 내부로 들어가는 방법을 많이 사용한다. 개인 PC를 감염시킨 이후에 해커는 들키지 않고 내부 망을 돌아다니며 취약점을 찾거나 지속적으로 정보를 유출한다.
- 사전 진단에 많은 비중이 있는 것 같은데, 평판기반 진단으로 모바일 소액결제도 예방이 가능한가요?
IP를 차단하거나, URL만 막으면 됩니다. 단순히 하나의 악성코드를 막는 것이 아니라, 전통적인 시그니처 진단 방식이 아닌 좀더 진화한, 사전대응 형식으로 가는 것입니다. 요새 트렌드입니다.
- 보안개발자를 꿈구는 청소년이나 대학생에게 해주고 싶은 말씀이 있다면?
힘들지만 굉장히 보람 있는 일이에요. 모르는 것을 많이 배우게 됩니다. 보안은 누군가는 해야 하는 부분이라고 생각해요. 제품을 만든 후 반응이 바로바로 왔을 때 자부심을 느낍니다. 물론 힘들기는 하지만 많은 성취감을 얻을 수 있습니다. 보안은 수비수와 비슷합니다. 일년 내내 고생하여 보안을 연구하고 개발해야 하는 일입니다. Ahn
대학생기자 엄용석 / 고려대 화학과
대학생기자 이승건 / 성균관대 전자전기컴퓨터공학부
대학생기자 임지연 / 덕성여대 컴퓨터학과