[보도자료] “한국 최고의 악성코드 공유 플랫폼 만들겠다”…김기홍 세인트시큐리티 CTO

[디지털데일리 이민형기자] “악성코드 탐지에 대한 기술 발전은 더딘데 반해, 이를 우회하려는 공격 기술은 계속해서 발전하고 있습니다. 이를 해결해보고자 생각한 것이 ‘악성코드 수집·공유 플랫폼’입니다. 악성코드의 기술과 추이를 계속 쫓는다면 앞으로 다가올 위협도 예측할 수 있으리라 봅니다.”

김기홍 세인트시큐리티 최고기술책임자(CTO)는 <디지털데일리>와의 인터뷰에서 악성코드 공유 플랫폼 ‘멀웨어즈닷컴(malwares.com)’을 개발하게 된 배경에 대해 이렇게 설명했다.

세인트시큐리티는 2003년 설립된 보안전문업체다. 유해 트래픽을 운영체제(OS) 커널 기반에서 탐지, 차단하는 솔루션과 네트워크 트래픽을 가상환경에서 분석, 차단하는 솔루션 등을 갖고 있다. 이 회사의 멀웨어즈닷컴은 이 두개의 솔루션이 하나로 결합된 ‘악성코드 분석·공유 플랫폼’이다.

멀웨어즈닷컴은 각종 채널(웹페이지, 보안솔루션 등) 수집되는 각종 실행 파일을 클라우드 기반에서 실시간으로 수집하고 분석하는 서비스다. 구글의 바이러스토탈(VirusTotal), 한국인터넷진흥원(KISA)의 사이버위협 정보공유시스템 ‘C-TAS(Cyber Threats Analysis System, 씨타스)등과 연동돼 있다.

김 CTO는 “멀웨어즈닷컴은 악성코드 유포지의 정보보다는 악성코드 파일 자체에 관심을 갖고 있다. 악성코드에 담긴 많은 정보가 향후 다가올 위협에 단초가 될 수 있기 때문”이라며 “악성코드 정보가 플랫폼에 계속 축적되면 이를 활용해 통계를 내거나 연관관계 추적 등이 가능하게 되는데, 이는 악성코드를 식별하고 탐지하는 정보로 활용할 수 있는 근거 데이터가 될 수 있다”고 설명했다.

실제로 국내외 보안업체들은 대부분 등장하는 악성코드 샘플을 분석하고 이를 DB로 만들어둔다. 과거 대형 해킹사고가 발생했을 때 ‘특정 국가, 그룹의 소행으로 추정된다’는 브리핑은 바로 여기에서 나오게 된 것이다.

새로 등장한 악성코드의 동작형태나 소스가 과거에 등장했던 것과 유사하다면 이에 대한 신속한 대응이 가능하리란 것이 김 CTO의 주장이다.

이렇듯 ‘발견된 악성코드를 모아놓고 분석하는 플랫폼’에 대한 고민은 악성코드 분석가라면 누구나 갖고 있는 생각이다. 하지만 이것이 현실화되기 힘든 이유는 ‘악성코드 공유’에 대한 높은 장벽 때문이다.

최근 개최된 ‘정보통신망 정보보호 컨퍼런스(NETSEC-KR) 2015 - 악성코드 공유 기술 및 정책 패널토의’에서도 악성코드의 공유에 대한 현업 종사자간 이견이 있기도 했다.

(관련기사 : 보안업계 “사이버위협 정보공유도 시장원리 따라야”)

이와 관련 김 CTO는 “‘악성코드를 다 수집해서 분석한다’는 것은 이상적이었지만 현실의 장벽은 매우 높았다”라고 운을 뗐다.

그는 “악성코드 공격 기술을 분석하려고 샘플을 모으는 과정이 너무 고됐다. 국내외 보안업체들에게 샘플을 부탁하더라도 매번 반려됐고, 시간이 흘러 분석이 의미가 없어진 시점에 공유를 해주더라”며 “그러던 중 바이러스토탈을 알게 됐고, 우리나라에도 이런 플랫폼을 만들어보고자 마음먹게됐다”고 설명했다.

바이러스토탈은 구글이 2012년 9월에 인수한 악성코드, 악성URL 분석 서비스다. 최대 55개의 안티바이러스(백신)을 사용해 해당 파일이 악성파일로 등록돼 있는지를 분석해준다. 카스퍼스키랩, 맥아피, 노턴 등 외산 백신을 비롯해 국내 백신 엔진도 등록돼 있어 편리하게 악성코드 유무를 확인할 수 있는 장점이 있다.

멀웨어즈닷컴의 방향은 바이러스토탈과 괘를 같이 한다. 하지만 경쟁사가 아닌 동료라는 느낌으로 받아들여 달라고 김 CTO는 말했다. 지향하는 방향은 같으나 독자적인 경쟁력을 갖추고 있어 서로의 부족한점을 보완해줄 수 있이 때문이란 것이 김 CTO의 설명이다. 실제 양사는 올해초 공동대응을 위한 동맹(얼라이언스)를 맺기도 했다.

그는 “멀웨어즈닷컴과 바이러스토탈은 악성코드 박멸이라는 공동의 목표를 가지고 나가고 있다”며 “차별점이 있다면 우리는 악성코드에 대한 행위분석이 가능하고, 실시간으로 유포되고 있는 악성코드를 센서를 통해 수집할 수 있다”고 말했다.

이어 “앞으로는 운영체제, 소프트웨어별 환경을 구성하는 등 서비스를 고도화시킬 계획이며, 문서파일에 대한 동적분석을 클라우드 서비스로 만들 생각도 하고 있다”고 덧붙였다.

끝으로 김 CTO는 “멀웨어즈닷컴의 수익모델은 ‘악성코드 분석가’들이 정해 줄 것”이라고 자신했다. 멀웨어즈닷컴이 수집, 분석한 악성코드 데이터들이 값어치가 있다는 것을 증명한다면, 고객들이 먼저 찾아줄 것이라는 자신감의 표현이다.

그는 “세계 어디에 내놓아도 부끄럽지않는 악성코드 공유 플랫폼을 만들어서, 악성코드와 싸우는 수 많은 사람들에게 도움이 될 수 있도록 하는 것이 우리의 역할이자 수익모델”이라고 강조했다.

<이민형 기자>kiku@ddaily.co.kr

기사원본: http://www.ddaily.co.kr/news/article.html?no=130131