보안용어소개: 클라우드 백신이란?

그림: http://finance.yahoo.com/news/best-cloud-storage-services-110009528.html

 

클라우드(cloud)라는 용어는 근래 IT분야에서 자주 쓰이는 표현으로 데이터 및 서비스에 대한 간편한 접근을 약속하는 개념이다. 클라우드가 광범위하게 활용되는 오늘날 백신분야 또한 클라우드기술을 활용하는 단계에 이르렀으며 빠른 검사시간과 자원소모량 감소는 클라우드백신의 확실한 장점이지만 클라우드백신이 만병통치약이라고 장담할 수는 없다.

 

클라우드의 개념

 

클라우드컴퓨팅이란 네트워크를 통해 IT인프라를 분산 제공하는 방식을 의미하며 모든 분야에 적용될 수 있다. 클라우드가 응용되는 인기분야로 파일보관서비스를 생각할 수 있으며 컴퓨팅센터는 대체로 웹기반 보관서비스를 제공한다. 클라우드 보관공간은 실제로는 엄청나게 멀리 떨어진 데이터센터에 위치해 있을 수 있지만 집에서 일반적인 하드디스크처럼 사용할 수 있다. 사용자 입장에서는 데이터가 정확히 어떤 서버에 보관되는지 알기 어렵기 때문에 데이터 클라우드라고 하면 데이터가 보관된 모든 공간을 포괄하는 의미가 된다. 프로그램이나 서비스 또한 클라우드로 제공된다. 예를 들어 스프레드시트 소프트웨어가 있다면 전통적인 클라이언트-서버 아키텍쳐에 따라 본 프로그램은 서버에서 구동시키고 개인컴퓨터에서 인터넷을 통해 인터페이스만 제공받음으로써 프로그램을 사용할 수 있다. 이 방식은 소프트웨어의 별도 설치가 불필요하고 컴퓨팅에 요구되는 자원소모를 아웃소싱한다는 면에서 편리하다.

 

재래식 백신의 문제점

 

기존의 재래식 바이러스 스캐너는 지표(시그내쳐, signagure) 기반으로 작동한다. 지표란 디지털 지문과도 같으며 바이러스 스캐너는 이러한 지표에 대한 정보를 토대로 바이러스를 탐지한다. 그런데 새로운 맬웨어 변종은 12~18개월마다 2배로 늘어나며 이로 인해 추가되어야 하는 지표의 양도 급격히 늘어난다. 따라서 재래식 바이러스 스캐너를 사용하는 보안소프트웨어는 해가 바뀔수록 보관공간을 많이 잡아먹게 되며 이 지표데이터는 바이러스 스캐너를 최초 설치할 때나 온라인업데이트를 통해 불러와야 되며 경우에 따라서는 수백MB에 달하는 보관공간을 요구하기 때문에 인터넷접속이 부실한 경우 이는 큰 문제가 된다. 또한 빠른 검사의 경우에는 지표데이터가 메모리(RAM)에 들어가기 때문에 메모리용량을 많이 요구하기도 한다. 메모리사용량이 높아지면 지표데이터가 그만큼 많으며 대체로 이에 비례하여 탐지성능도 높아지게 됨을 의미하기도 하지만 이와 동시에 컴퓨터성능에 대한 부담이 커지며 이는 구형컴퓨터의 경우 특히 심해진다.

 

클라우드 백신기술의 장점

 

클라우드기반 보안솔루션은 위에 언급된 재래식 맬웨어솔루션의 단점을 상당부분 해결한다. 지표데이터는 수시로 신속하게 업데이트되는 중앙서버에 보관되기 때문에 사용자는 보통 몇 MB나 몇 KB에 불과한 스캐너만 다운받으면 된다. 클라우드 스캐너는 사용자 컴퓨터에서 발견된 파일에 대해 지표를 생성하고 이를 스캔서버에 전송하여 분석을 의뢰한다. 그리고 분석결과에 따라 사용자에게 감염여부를 알리게 된다. 이 모든 과정은 외부에서 처리되며 검사는 빠르게 진행되는 한편 자원은 적게 소모된다. 클라우드 스캐너는 또한 거대한 사용자커뮤니티의 데이터를 토대로 정상적인 시스템상황의 이상을 빠르게 감지할 수 있다는 강점도 가지고 있다.

 

클라우드 백신의 한계와 혼성솔루션

 

이렇게 보면 클라우드 백신은 속도, 성능, 자원소모 측면에서 장점만 있는 듯 보이지만 사실은 그렇지 않다. 보통의 개인컴퓨터 1대는 보통 30~50만 개의 파일을 보유하고 있는데 이들 파일을 모두 스캔할 경우 그에 따라 생성된 지표정보는 클라우드로 전송하기에는 그 양이 너무 많다. 따라서 클라우드 백신은 다양한 규칙과 기준을 통해 스캔대상 파일을 필터링함으로써 스캔할 양을 줄인다. 예를 들어 몇몇 정해진 파일유형이나 경로 또는 프로그램에 대해 일반적으로 안전하다고 판단하는 식이다. 클라우드백신은 이런 식으로 허용목록(whitelist)을 대량 보유하고 있으며 이는 일종의 역지표(inverse signature)라고 할 수 있다. 클라우드백신은 이런 식으로 스캔대상 파일의 양을 대폭 줄이게 된다. 하지만 이러한 제한적 스캔방식은 클라우드백신의 치명적 약점이 될 수 있다. 파일 전량을 스캔하지 않는 한 새로운 공격방향이나 또는 종래 안전하다고 여겨졌던 파일유형의 취약점 악용 등 맬웨어가 파고들 수 있는 틈새가 생길 수밖에 없기 때문이다. 

또한 클라우드 데이터베이스에 기존에 등록되지 않은 파일은 대체로 차후 분석을 위해 전량 클라우드로 전송된다는 점도 문제다. 클라우드백신의 설치 자체에 필요한 다운로드는 얼마 안 되지만 최초 스캔을 개시할 때 클라우드로 전송되는 양은 엄청나게 많아질 수 있다. 특히 이러한 전송과정에서 개인정보나 중요한 업무데이터가 외부서버에 머무르는 결과가 생길 수도 있다.

 

결국 최적의 백신솔루션을 마련하기 위해서는 전통적인 지표인식에만 의존할 수도 없고 클라우드만 고집할 수도 없기 때문에 기존의 바이러스 스캐너와 클라우드 서비스의 융합을 통해 혼성(hybrid, 하이브리드) 솔루션이라는 답을 찾아야 한다고 할 수 있겠다.

 

 

Amanda, Buzz word: “cloud anti-virus” – what is it all about?, 11. 26. 2012.

http://blog.emsisoft.com/2012/11/26/buzz-word-cloud-anti-virus-what-is-it-all-about-2/

 

번역‧요약: madfox

참고링크 

<유료안티바이러스 제품소개>