11월 8일 국내서 그렇게 유명하지 않은 보안 회사(?)인 세인트시큐리티가 구글에 인수된 악성코드 정보공유사이트 바이러스토털과 기술 협력을 맺었다고 발표했다.
누구나 할 수 있는 협력가지고 그럴듯 하게 포장한 것 아닌가 하는 의심이 문득 머리를 치고 지나갔던게 사실이다. 어쩔 수 없는 직업병이다. 이에 기자는 직접 세인트시큐리티를 찾아가 김기홍 최고기술책임자(CTO)를 만났고, 바이러스토털과 협력을 맺기까지, 1년도 아니고, 2년도 아니고, 무려 3년이 걸렸다는 사실을 알게 됐다.
13일 서울 구로동 사옥에서 만난 김기홍 세인트시큐리티 CTO는 한국을 포함한 아시아권 악성코드 샘플 데이터베이스(DB)가 쌓이기 시작하면서부터 바이러스토털이 우리를 보는 눈이 조금씩 달라지기 시작했다고 고백했다.
■바이러스토털, 멀웨어스닷컴이 뭐길래...
바이러스토털은 국내 안랩, 하우리, 이스트소프트, 잉카인터넷 등 백신회사들에게도 잘 알려진 악성코드 정보공유사이트다.
해당 사이트에 악성코드로 의심되는 파일이나 URL 등을 보내면 이 사이트와 협력을 맺고 있는 전 세계 46개 백신업체 52개 웹 및 도메인 스캔 엔진 등으로부터 의심되는 파일, URL에 대한 악성 여부에 대한 분석정보를 알려준다.
전 세계 보안회사 대부분이 이 사이트를 참고 하고 있을 정도로 많은 악성코드 샘플과 악성URL 정보를 보유하고 있다.
김기홍 CTO는 지난 2010년 한국형 바이러스토털을 만들어 보자는 생각으로 '멀웨어스닷컴'이라는 사이트를 개설했다. 도메인을 확보하는 것부터 만만치 않았다.
그는 바이러스토털 처럼 사람들이 쉽게 알 수 있는 대표성 있는 사이트 이름을 활용하고 싶었는데 영국인이 개인 블로그를 해당 도메인으로 운영하고 있었다며 도메인을 팔아달라고 설득하는 시간만 6개월이 걸렸다고 말했다.
그래도 가능성이 있다고 판단한 것은 세인트시큐리티가 악성코드 정보를 자동으로 수집해 분석할 수 있는 기반 기술을 갖고 있었기 때문이다.
이 회사는 지난 2008년 한국인터넷진흥원(KISA)이 진행한 '신종 봇넷 능동형 탐지 및 대응 기술 개발' 과제에 컨소시엄 형태로 참여해 악성코드 자동분석시스템을 개발한 경험이 있다. 여기서 확보한 노하우를 기반으로 멀웨어스닷컴이라는 도메인으로 한국을 포함한 악성코드 샘플 정보를 광범위하게 수집하기 시작했다.
■서비스 열자마자 협력 제안했지만...
김기홍 CTO는 멀웨어스닷컴을 개설한 후 바이러스토털에 바로 협력을 타진했다. 하지만 보기좋게 퇴짜를 맞았다. 바이러스토털이 세인트시튜리티에 협력해야할 이유를 모르겠다는 피드백을 보냈다. 듣는 사람 입장에선 민망한 반응이었다.
어찌보면 당연한 결과였다. 당시만 해도 멀웨어스닷컴은 사이트만 개설됐을 뿐 공유할만한 정보는 많지 않았다.
이후 세인트시큐리티는 주요 인터넷서비스사업자(ISP), KISA, 보안관련 기관/업체 등에 좀비PC 탐지 및 차단 시스템 '심바-HV', 네트워크 보안 솔루션 '넷케어' 등을 제공하면서 수집한 악성코드, 악성URL 정보를 멀웨어스닷컴을 통해 분석한 뒤 DB로 쌓기 시작했다.
시간이 지나자 악성코드 샘플, 악성코드 유포지, 해커들이 좀비PC에 공격명령을 내리는 C&C서버 IP 정보만 300만여건이 축적됐다. 바이러스토털에 보여줄 '거리'를 나름 확보한 셈이다.
첫 만남 후 이메일을 통해 바이러스토털과 협력 가능성을 타진해온 김기홍 CTO는 다시 한번 협력을 제안했다. 이번에는 바이러스토털쪽에서 비슷한 서비스를 제공하고 있다는 점에서 경쟁상대로 인식하는 듯한 반응을 보였다. 그에 따르면 바이러스토털은 경쟁자 같은데, 굳이 협력할 이유가 없다는 태도로 나왔다.
협력의 가능성은 사라지는 듯 했다. 그러나 다시 한번 기회를 만들어볼 수 있는 공간이 만들어졌다. 지난해 7월 바이러스토털이 구글에 인수된 것이다. 구글이 바이러스토털을 인수한 이유 중 하나는 구글이 제공하고 있는 방대한 데이터를 잘 보호하는 것이었다. 구글 입장에서는 수많은 악성 공격이 발생하는 한국이나 아시아권 정보를 마다할 이유가 없었다.
■구글 호재 맞아 분위기 반전, 삼고초려 끝 협력
김기홍 CTO는 바이러스토털에 세번째로 문을 두드렸다. 예전과는 180도 다른 반응이 나왔다. 바이러스토털 관계자들은 우리가 가진 악성코드샘플과 멀웨어스닷컴이 보유하고 있는 샘플을 교차점검 해보자고 제안해왔다.
이후 멀웨어스닷컴은 바이러스토털에 자신들이 확보한 샘플을 업로드하기 시작했다. 실제 시스템적으로 연동이 가능한지, 중복되는 자료가 많은 것은 아닌지 등에 대한 검토에 들어간 것이다.
김기홍 CTO는 3개월 간 교차점검 작업을 통해 2천500만개 악성코드/URL 정보를 교차점검했고, 멀웨어스닷컴이 확보한 샘플 중 바이러스토털쪽이 확보하지 못한 정보들이 상당수 있다는 점을 인지했다고 말했다.이를 기반으로 지난 4일 그는 스페인 말라가에서 바이러스토털 운영진을 직접 만나 공식 협력을 맺었다.
■바이러스토털-멀웨어스닷컴 협력 분야는...
현재 멀웨어스닷컴과 바이러스토털은 세 가지 부문에서 협력 중이다. 악성코드 샘플 분석 정보를 교환하는 것이 첫번째다. 두번째로는 악성 URL에 대한 정보를 공유하는 것이다. 세번째는 시스템적으로 악성코드 샘플이 수행하는 행위를 분석하는 기능을 두 사이트에 연동시키는 작업이다.
세번째 작업이 완료되면 바이러스토털, 멀웨어스닷컴에 각각 올린 악성코드 샘플 정보가 어떤 악성 행위를 수행하고 있는지에 대한 정보를 두 곳 모두에서 확인할 수 있다.
김기홍 CTO에 따르면 세인트시큐리티는 심바-HV에 적용된 엔진을 기반으로 행위정보분석시스템을 갖추고 있다. DB면에서는 구글 인프라를 등에 업은 바이러스토털을 앞서기 어렵지만 행위분석만큼은 세인트시큐리티가 상당한 노하우를 확보하고 있다는 설명이다.
행위기반 악성코드 분석 기술은 최근 지능형지속가능위협(APT) 공격을 탐지하기 위해 사용되는 기술로 실제 시스템에 의심파일이 들어왔을 경우 해당 시스템과 같은 가상환경을 구현해 이곳에서 의심되는 파일들이 어떤 작업을 수행하는지를 보고 악성 유무를 판단하는 방법이다.
김기홍 CTO는 바이러스토털이 훨씬 더 많은 정보를 갖고 있는 것은 분명하나 구글 인프라에 접근해서 갖고 있는 정보들을 조회/분석해서 잘 정리된 형태로 보여주는 시스템에서는 세인트시큐리티가 강점을 갖고 있다고 밝혔다.
그는 앞으로 비전에 대해 전 세계 통틀어 1등 악성 정보 공유 사이트가 바이러스토털이라면 우리는 1.5등 정도는 될 수 있도록 시스템을 발전시켜나갈 생각이라고 말했다.
관련기사
- 세인트시큐리티, 바이러스토털과 정보 공유 협력2013.11.14
- 구글, 크롬에 악성코드 자동 차단 기능 추가2013.11.14
- 7년 전 멀웨어의 반격, 위험수위2013.11.14
- 2Q 안드로이드 모바일 뱅킹 멀웨어 급증2013.11.14
얼핏보면 악성코드 샘플/악성 URL 등을 분석한다는 점에서 세인트시큐리티는 기존 국내외 백신 회사들과 경쟁할 것으로 보인다. 이에 대해 김기홍 CTO는 수집된 정보를 백신 회사나 사이버 보안 대응기관에 제공해 해당 회사/기관이 보다 신속하게 대응할 수 있도록 돕는 역할까지만 할 것이라고 말했다.
사이버 보안 정보와 관련, 백과사전 형태로 서비스를 제공하고 싶다는 것이 그의 포부다. 구글 검색을 통해 몇 가지 키워드만 입력해보면 원하는 정보가 나오듯이 악성코드 분석가들이 악성코드나 관련 정보에 대해 더 빠르게 대응할 수 있도록 필요한 정보를 제공하겠다는 것이다.
