국내 백신 프로그램 개발 회사들이 백신에 사용되는 '엔진'에 자체 기술과 해외 기술을 함께 적용함으로써 악성코드 탐지율을 높이고 있다. 여기서 엔진은 악성코드 샘플로 이뤄진 데이터베이스(DB)다. 이는 PC나 스마트폰의 악성코드 감염여부를 검사하기 위해 사용되는 일종의 참고 목록 역할을 한다.
18일 관련업계에 따르면 안랩, 하우리, 이스트소프트, 잉카인터넷 등 국내 주요 백신 개발 회사들은 각각 다른 방식의 엔진을 채용하고 있는 것으로 나타났다.
전 세계 백신 회사들 중에 유독 우리나라와 중국을 포함한 아시아권에서 널리 사용되고 있는 것은 루마니아 백신 회사인 비트디펜더가 내놓은 '비트디펜더 엔진'이다. 국내 회사들 중에는 하우리의 '바이로봇', 이스트소프트의 '알약', 잉카인터넷의 엔프로텍트 AVS 3.0 등이 모두 자체 엔진과 비트디펜더 엔진을 함께 사용하고 있다.
외산 엔진을 사용하고 있는 이유는 국내보다는 해외에서 기하급수적으로 악성코드가 늘어나고 있는데다 글로벌 환경에서의 인터넷 속도가 빠르다 보니 그만큼 외산 악성파일이 국내서 활개를 치는 일이 늘어났기 때문이다.
이에 대해 문종현 잉카인터넷 ISARC 대응팀장은 악성 파일이 국내 이슈만 대응했던 마이크로소프트 도스(MS-DOS) 시절에서 윈도95, 윈도98 등의 새로운 운영체제(OS)로 넘어가면서 국내보다는 해외에서 훨씬 많은 악성파일이 유포되기 시작해 외산 엔진을 병행해서 사용하게 됐다고 설명했다.
이스트소프트 알약은 자체 엔진인 '테라'에 더해 두 개의 외산 엔진을 사용하고 있다. 이 회사 관계자는 지난 2009년 출시된 알약 기업용 2.5부터 테라, 비트디펜더 엔진에 더해 영국 백신회사 소포스의 엔진을 보조로 사용하고 있다고 밝혔다.여러 개의 외산 엔진을 사용한다고해서 반드시 악성코드를 잘 잡는 것은 아니다. 외산 엔진을 사용하는 만큼 오탐지율이 높아질 수 있기 때문이다. 엔진은 그 나라와 인근에서 발생하는 악성코드에 대한 샘플정보를 제공하고 치료방법을 제시하고 있다. 따라서 한국 사용자들에게 맞게 최적화 하지 않으면 오히려 PC성능을 저하시키는 일이 발생한다.
이스트소프트 관계자는 엔진만 갖고 와서 되는 것이 아니라 최적화를 통해 검사속도를 높이고, 메모리 점유율을 낮추면서도 탐지율을 높이는 것이 관건이라고 말했다.
국내 이슈에 대응하는 것과 함께 해외시장을 개척하기 위해 외산 엔진을 사용하는 회사도 있다. 자체 엔진과 비트디펜더 엔진을 함께 사용하고 있는 하우리 바이로봇은 현재 남미 쪽 백신 매출이 전체 매출의 25%에 달한다.
하우리 바이로봇 부설 연구소 조인구 소장은 바이로봇이 멕시코, 브라질, 아르헨티나 등 남미시장에서 전체 매출의 25%를 차지하고 있다며 특히 수출을 염두에 둔 국내 백신회사들은 국산과 외산 엔진을 병행하는 것이 맞다고 본다는 의견을 밝혔다.
관련기사
- MS 자체백신, 제로데이 취약점 탐지율 64% 불과2012.12.18
- 안랩, 윈도8용 가짜 백신 주의보2012.12.18
- '유령' 속 가짜백신회사 美서 현실로2012.12.18
- 백신 탑재 '윈도8', 기존 백신시장 잠식하나?2012.12.18
이들 회사와 달리 안랩은 유일하게 외산엔진을 사용하지 않고 있다. 회사측은 자체 경쟁력을 확보하기 위해서라고 말하고 있다. 이에 대해 보안업계에서는 안랩이 토종백신회사로 주목받고 있는 만큼 다른 나라의 보안기술을 사용한다는 점에서 질타를 받을 수 있다는 것도 고려한 것으로 보인다고 평가했다. 국산 기술만으로 엔진을 만들다 보니 실제로 V3 초기에는 탐지율이 해외 엔진을 병행하는 다른 회사들보다 떨어진다는 지적도 있었다.
최근에는 기존에 널리 알려지지 않았던 보안취약점을 이용해 특정 대상을 목표로 한 지능형지속가능위협(APT)이 늘고 있어 악성코드 샘플에 기반한 백신만으로는 공격에 대응하기 어렵다는 지적이 나오고 있다. 이에 백신회사들은 저마다 엔진 기반에 더해 다양한 유형의 정황을 인식해 악성코드 감염여부를 판단하는 기술들도 개발 중이다.
