[사이버강국 우리가!]③안랩, 의심스런 위협까지 차단한다

by김현아 기자
2013.08.14 01:20:58

[이데일리 김현아 기자] 지난 3월 21일 새벽 2시, 안랩(053800)은 “방송사, 금융사 등의 전산망을 마비시키는데 사용된 악성코드 유포는 ‘업데이트 서버’가 아닌 기업의 내부망의 ‘자산관리서버(업데이트 관리 서버)’가 이용된 것으로 확인됐다”며 “공격자가 지능형 지속공격(APT)에 의해 고객사 서버 관리자 계정을 탈취한 것으로 추정된다”고 공식 발표했다. 며칠 뒤 사실로 확인됐는데, 해킹사건 때 가장 언론의 주목을 받는 곳은 바로 안랩이다.

대규모 사이버 공격이 발생했을 때 안랩이 뜨는 이유는 우리나라에서 악성코드 패턴 정보를 가장 많이 보유하고 있어서다. 암호·인증 회사를 제외하고, 보안관제나 침입탐지시스템(IDS)업체·백신업체 정도가 패턴정보를 갖는데 1995년 컴퓨터 바이러스 백신 회사로 출범한 안랩만큼 오랫동안 국내에서 말썽을 일으킨 악성코드를 직접 보면서 분석한 회사는 없다.

2012년 신입사원들과 함께 판교 사옥에서 김홍선 사장이 웃고 있다. 안랩은 1995년 10여 명이 안철수컴퓨터바이러스연구소라는 이름으로 설립된 이후, 2013년 현재 850명 정도가 근무할 정도로 성장했다.

이러한 노하우는 요즘처럼 알려지지 않은(unknown) 악성코드가 더 큰 위협이 되는 상황에서 빛을 발휘하고 있다. 안랩이 최근 출시한 V3 신제품 시리즈 역시 ‘다차원 분석플랫폼’이라는 새로운 탐지·진단 기술을 사용했다.

이상국 안랩 마케팅실장은 “예전에는 검증된 악성코드를 중심으로 대응했지만, 요즘에는 의심파일의 행위를 분석해 알려지지 않은 악성코드의 실행을 사전에 차단하거나, (각 고객사 시스템과 연결된) 안랩 클라우드 분석센터에서 종합한 의심 파일에 대한 평판정보로 신규 악성코드를 분석하고 있다”고 말했다.



안랩 클라우드 분석센터에는 하루에 15~30만 개의 파일이 검출된다. 대부분 악성인가를 시스템이 판단하지만, 경험이 요구되는 상황에선 사람을 거쳐야 한다. 차민석 분석팀 책임연구원은 “클라우드 백엔드에 있는 파일을 DNA로 추출해 스캔하거나 해서 분석한다”며 “병원 응급실처럼 평소에는 24시간 교대 근무제를 하지만 지난 해킹 사건 때는 오랜 밤샘 근무로 혈압이 올랐다”고 했다.

올해 뜨거운 화두로 부상한 APT(Advanced Persistent Threat)에 대응할 수 있는 ‘안랩 트러스와처 (글로벌 제품명: 안랩 MDS)’도 글로벌 독립 보안테스트 기관인 NSS랩스의 정보유출 진단 제품 분석 테스트에서 높은 점수를 획득하는 등 세계시장에서 인정받고 있다. APT는 해커가 특정 대상을 목표로 정하고 보안 취약점을 찾아내 지속적이고 지능적으로 공격하는 방식이다.

이상국 실장은 “트러스와처는 네트워크와 엔드투엔드를 함께 보는 제품으로, 최근 미국 라스베이거스에서 열린 글로벌 보안 컨퍼런스 ‘블랙햇 2013’에 소개하기도 했다”고 말했다.

안랩이 APT 대응솔루션으로 주목하는 제품에는 망 분리 솔루션인 ‘트러스존’도 있다. 이 제품은 소프트웨어와 하드웨어를 융합한 방식의 솔루션으로서 PC 가상화 기술과 가상화 전용 장비를 활용했다. 차민석 연구원은 “개인적으로 집에서는 가상 데스크톱 소프트웨어인 VM웨어를 설치해 쓰면서 인터넷뱅킹을 할 때마다 프로그램을 깔고 있다”며 “공공기관이나 금융권 등 중요기관은 망분리를 통해 APT에 대응해야 한다”고 조언했다.