[컴퓨터월드] 안티바이러스(Anti-Virus)는 30년이 넘는 시간 동안 사이버보안의 기본 솔루션으로 자리해 왔다. 특히 바이러스부터 시작해 웜, 트로이목마 등 기술 발전에 따라 형태를 달리해 온 악성코드에 대항해 엔드포인트를 지키는 최전선 역할을 도맡았다. 날이 갈수록 치밀하고 정교해지는 보안 위협에 맞서 안티바이러스는 인공지능(AI) 등 신기술과 결합해 엔드포인트 보안 체계를 아우르는 솔루션으로 변모하고 있다. 안티바이러스가 쌓아온 역사와 현재 동향을 살펴본다.

1980년대 처음 모습을 드러낸 ‘바이러스’

안티바이러스는 악성코드와 그 역사를 함께 했다. 악성코드는 제작자가 의도적으로 사용자에게 피해를 주기 위해 만든 프로그램, 매크로, 스크립트 등을 의미한다. 흔히 ‘바이러스’라는 이름으로 부르는데, 크게 자가 복제 능력과 감염 대상 존재 여부에 따라 바이러스, 웜, 트로이 목마 등으로 구분할 수 있다.

전 세계에 악성코드를 각인시킨 첫 사례는 ‘브레인(Brain) 바이러스’다. 브레인 바이러스는 1986년 파키스탄에서 프로그래머로 일하던 알비(Alvi) 형제가 개발한 최초의 MS-DOS용 바이러스다. 플로피 디스크를 통해 전파되며 감염된 PC의 디스크 이름을 ‘Brain’으로 바꿔 컴퓨터 사용을 방해했다.

1991년에는 ‘미켈란젤로(Michelangelo)’ 바이러스가 맹위를 떨쳤다. 이 바이러스는 평소 컴퓨터에 잠복하다가 미켈란젤로의 생일인 ‘3월 6일’에 디스크 내용을 파괴하도록 설계됐다. 국내에서는 1992년 봄 언론에 크게 보도됐는데, 감염 여부를 파악하기 어려웠던 터라 공공기관, 기업들을 공포에 떨게 했다. 초창기 바이러스는 이처럼 특정 하드웨어 또는 소프트웨어에 영향을 미치는 단순한 형태로 제작됐다.

이후에도 악성코드는 IT 발전과 궤를 같이했다. 윈도우 95(Windows 95)가 널리 쓰이기 시작하자 DOS를 공격하던 형태에서 벗어나, 오피스 문서와 운영체제 환경을 겨냥하며 그 범위를 넓혀 갔다. 또 인터넷이 보편화됨에 따라 이메일을 통한 악성코드 유포가 등장했으며, 나아가 안티바이러스 기술을 분석해 이를 우회하는 신·변종 악성코드까지 나타났다.

2000년대 들어 악성코드는 인터넷을 통해 빠르게 전파되며 광범위한 피해를 일으켰다. 이 시기에는 자기 복제 능력을 갖춘 웜이나 바이러스보다 복제 없이 악의적 행위를 하는 트로이목마가 더 많이 나타났다. 또 금전적 목적으로 사용자의 개인정보, 온라인 금융 정보를 탈취하는 사례도 증가했다.

2010년대 랜섬웨어(Ransomware) 유행을 지나 2020년대에 접어들며 악성코드는 정교하고 조직화된 위협으로 자리 잡았다. 빨라진 디지털 전환 속 클라우드, 사물인터넷(IoT), 스마트폰 환경을 겨냥한 악성코드가 급증하는 한편, 특정 기업·단체나 인프라를 대상으로 삼은 공격도 두드러졌다.

컴퓨터 보안의 필수로 자리 잡은 ‘안티바이러스’

안티바이러스는 30여 년간 보안의 최전선에서 고군분투해 왔다. 악성코드가 바이러스로 시작해 웜, 트로이목마 등 수백만 개의 변종으로 위협을 확대하는 동안 안티바이러스는 빠른 기술 고도화로 대중의 컴퓨팅 환경 보호에 힘써왔다.

최초의 상용 바이러스는 1987년 출시한 ‘바이러스스캔(VirusScan)’으로 알려져 있다. 맥아피는 제너럴일렉트릭(GE) 등에서 엔지니어로 일했던 존 맥아피(John McAfee)가 브레인 바이러스를 퇴치하는 안티바이러스를 개발하며 설립한 회사다. 바이러스스캔에 뒤이어 ‘이셋 노드(ESET NOD)’가 개발됐으며, 이후 판다(Panda), 트렌드마이크로(TrendMicro), 노턴(Norton) 등 다양한 소프트웨어가 시장에 속속 출시됐다.

국내에서는 안랩(당시 안철수연구소)의 창업자인 안철수 박사가 개발한 ‘백신(Vaccine)’이 효시다. 안 박사는 1988년 브레인 바이러스를 치료하기 위해 ‘백신’이라는 이름의 안티바이러스 프로그램을 개발했다. 백신은 이후 1989년 LBC 바이러스를 퇴치하는 기능을 탑재한 ‘백신 II’, 1991년 초에는 대대적 기능 향상을 거친 ‘VIII(V3)’로 업그레이드됐다. 특히 V3는 미켈란젤로 바이러스가 유행하며 대중으로부터 높은 인지도를 얻었고, 이때부터 ‘백신’은 한국에서 안티바이러스를 일컫는 대명사로 자리 잡았다.

1990년대, 2000년대를 거치며 국내 안티바이러스 시장은 꾸준한 성장을 거듭했다. 안랩 ‘V3’ 외에도 △하우리 ‘바이로봇(ViRobot)’ △잉카인터넷 ‘엔프로텍트(nProtect)’ △SGA EPS(에스지에이이피에스) ‘바이러스체이서(VirusChaser)’ △이스트시큐리티 ‘알약(ALYac)’ 등 여러 제품이 시장에서 각축을 벌였다.

패턴 분석 및 행위 식별로 악성코드 차단

안티바이러스는 크게 △시그니처(Signature) 데이터베이스 △악성코드 탐지 엔진 △실시간 탐지 모듈 △자체 보호 기능 등으로 구성된다. 이 중 시그니처 기반으로 악성코드를 탐지하는 기술은 초기 안티바이러스부터 이어져 온 기본 요소다.

시그니처 기반 탐지 기술은 알려진 악성코드의 고유 패턴(Signature)을 데이터베이스(DB)에 저장, 시스템을 스캔해 해당 DB와 일치하는지 확인하는 기술이다. 이는 1980년대 안티바이러스 기술인 문자열 진단과 해시 기반 진단에 그 뿌리를 두고 있다. 문자열 진단은 악성코드의 특정 문자열을 식별하는 기술이며, 해시 기반 진단은 파일 고유의 값을 비교해 악성코드를 탐지하는 방식이었다.

시그니처 기반 탐지는 1990년대부터 신종 및 변종 악성코드를 효과적으로 탐지하지 못한다는 평가를 들으며 한계를 드러냈다. ‘휴리스틱(Heuristic) 분석’은 이를 보완하기 위해 도입된 기술이었다. 휴리스틱 분석은 악성코드의 행위 패턴을 분석해 시그니처 없이도 잡아내는 방식으로, 행위 기반 탐지의 초기 형태로 평가받는다.

2000년대부터는 네트워크를 통한 감염이 증가하면서 방화벽 기능이 더해진 통합 보안 솔루션이 등장했다. 또 클라우드 기반으로 개별 PC가 아닌 중앙 서버에서 악성 여부를 판단하는 기술을 비롯해 파일의 인증서, 제조사, 제작일시 등 정보를 바탕으로 신뢰도를 평가하는 평판 기반 기술이 발전했다.

최근에는 AI 기술로 새로운 위협을 탐지하고 대응하는 역량을 강화하고 있다. 악성코드가 정교화되고 탐지 회피 기법이 늘어남에 따라 AI 기반 예측이 적극 활용되기 시작했다. 의심스러운 파일을 가상 격리 환경에서 실행, 실제 시스템에 영향을 미치지 않으며 악성 여부를 판가름하는 ‘샌드박스’도 널리 쓰이고 있다.

SGA EPS 관계자는 “안티바이러스는 시그니처 기반 탐지, 휴리스틱 분석 같은 전통적 방법뿐 아니라 머신러닝, AI와도 결합해 다층적이고 지속적인 보호 체계를 갖춰 나가고 있다”고 설명했다.

둔화한 시장 성장세…엔드포인트 보안으로 ‘돌파구’ 마련

컴퓨터, 인터넷 사용이 보편화됨에 따라 안티바이러스는 누구나 알게 모르게 한 번쯤은 사용해 봤을 것이다. 일반 가정이든 사무실이든 환경을 막론하고 안티바이러스는 30여 년간 사람들이 만나는 사이버보안의 첫 관문 역할을 도맡아 왔다.

하지만 오랜 역사와 익숙한 이미지, 그 이면에는 어느샌가 더뎌진 성장세가 자리하고 있다. 한국정보보호산업협회(KISIA)가 매년 발간하는 ‘국내 정보보호산업 실태조사’에 따르면, 국내 안티바이러스 관련 시장 매출은 2018년 매출 4,884억 원에서 2019년 5,341억 원으로 9.37% 성장한 이래 최근 5년간 5천억 원대 선을 유지하고 있다. 2021년에 한 차례 전년(5,592억 원) 대비 9.9% 증가한 6,145억 원을 기록했으나, 이는 코로나19 대유행으로 비대면 업무가 증가하며 맞은 일시적 성장으로 그다음 해인 2022년에는 다시 5,542억 원으로 줄었다.

정체된 성장세 속 기업들은 안티바이러스를 기반으로 엔드포인트 보안 전략을 제공함으로써 새로운 사업을 확보해 나가고 있다. 보안 위협이 점점 더 고도화되며 개별 솔루션만으로는 효과적인 대응이 어려워졌다. 이에 안티바이러스를 시작으로 여러 솔루션과의 유기적 연계·연동으로 탄탄한 보안 체계를 수립한다는 계획이다.

안랩은 ‘안랩 EPP(Endpoint Protection Platform)’를 기반으로 다양한 제품과의 연계를 통해 포괄적인 엔드포인트 보안을 제공하고 있다. 안랩 EPP는 안티바이러스부터 엔드포인트 탐지 및 대응(Endpoint Detection and Response)에 이르는 여러 솔루션을 한 데 엮어 고객 주도적 위협 모니터링과 대응 정책 수립을 돕는다. 웹 기반 관리자 콘솔로 운영 편의성을 높였으며, 보안 체계 운영을 보완하는 전문가 서비스(MDR)도 제공 중이다.

이스트시큐리티는 ‘통합 보안’을 키워드로 고객사가 위협에 빠른 대응이 가능한 IT 환경 구축을 돕고 있다. 안티바이러스 ‘알약’을 필두로 EDR, PMS(패치관리시스템), 내PC지키미 등 여러 솔루션을 하나의 관리 콘솔로 통합, 엔드포인트에 발생할 수 있는 다양한 공격으로부터 고객을 보호하고 있다. 특히 알약 EDR을 통해 엔드포인트 이벤트를 수집해 의심스러운 행위에 대해 조사·분석함으로써 위협에 대한 적극적 대응이 가능하다.

SGA EPS에서도 엔드포인트 보안 전략을 지속 강화하고 있다. 차세대 안티바이러스 솔루션인 ‘바이러스체이서 10 AI’를 중심으로 △패치 관리 시스템 ‘패치체이서(PatchChaser)’ △보안 수준 진단 솔루션 ‘바이러스체이서 내PC지키미’ △자료 저장 방지 솔루션 ‘다락(DaLac)’ 등으로 강력한 보안 역량을 제공한다. 또 통합 보안 관리 솔루션 ‘시큐리티센터(SecurityCenter)’를 통해 효율적인 관리 및 운영을 지원한다.

안랩 / 30년간 안티바이러스 사업 이어온 전통 강자

안랩은 1988년 당시 서울대학교 의과대학원에서 박사 과정 중이던 안철수 창업주가 브레인 바이러스를 치료하기 위해 개발한 ‘백신’에서 시작됐다. 백신은 이후 1989년 국내에서 출현한 LBC 바이러스를 퇴치하는 기능이 더해진 ‘백신 II’를 지나, 1991년 현재 널리 알려진 ‘V3’라는 이름으로 정착했다. 안랩은 V3를 바탕으로 1995년 설립돼 지금까지 다양한 보안 솔루션 제품을 선보이고 있다.

올해 창립 30주년을 맞는 안랩은 오랜 기간 안티바이러스 솔루션 사업을 이어온 만큼 개인, 기업, 모바일 등 다양한 사용자 환경에 맞는 여러 제품군을 두루 갖췄다. 우선 기업용(B2B) 제품은 윈도우 PC용으로 나온 ‘V3 인터넷 시큐리티(Internet Security) 9.0’과 매체 관리 기능이 더해진 ‘엔드포인트 시큐리티(Endpoint Security) 9.0’이 있다. 맥OS와 리눅스 사용자는 각각 ‘V3 포 맥(for Mac)’과 ‘V3 데스크톱 포 리눅스(Desktop for Linux)’로 보안 역량을 강화할 수 있다.

개인 사용자용으로는 무료 제품인 ‘V3 라이트(Lite)’와 유료 제품인 V3 365 클리닉을 제공 중이다. 모바일 환경에 대해서는 안드로이드 운영체제(OS) 기반 기기에서 악성코드, 루팅 탐지 등을 지원하는 솔루션을 보유했다.

최근에는 안랩 EPP를 중심으로 엔드포인트, 네트워크 보안 솔루션을 연동한 통합 보안 체계를 지원하고 있다. 이를 통해 신·변종 악성코드를 비롯한 보안 위협에 대응할 수 있는 안전한 IT 환경을 제공한다는 목표다. 특히 안랩 내 보안 전문가가 원활한 플랫폼 운영을 돕는 MDR 서비스로 고객사 보안 역량 강화를 뒷받침하고 있다.

이스트시큐리티 / 간판 솔루션 ‘알약’ 바탕으로 AI 보안까지 역량 확대

이스트시큐리티는 이스트소프트가 2016년 보안 사업 부문을 물적분할해 설립한 자회사다. 개인 사용자용 안티바이러스인 ‘알약’을 주축으로 B2B 엔드포인트 보안을 위한 EDR, PMS와 인텔리전스 보안 솔루션 ‘쓰렛 인사이드(Threat Inside)’, 문서중앙화 솔루션 ‘시큐어디스크(Secure Disk)’ 등으로 다양한 고객을 확보하고 있다.

이스트시큐리티의 얼굴은 단연 ‘알약’이다. 알약은 PC용 안티바이러스로 2007년 출시돼 누적 사용자 수 1,600만 명을 넘어설 만큼 높은 인지도를 갖췄다. ‘비트디펜더(Bitdefender)’와 자체 개발한 ‘테라(Tera)’로 구성된 듀얼 엔진 구조로 탐지율을 높였으며, 국내외를 아우르는 위협요소 DB로 포괄적 탐지 역량을 보유했다.

이스트시큐리티는 B2C 시장에서의 성공을 바탕으로 엔터프라이즈 시장으로까지 영향력을 넓혀가고 있다. 엔드포인트 위협 대응 솔루션인 ‘알약 EDR’은 알려진 공격의 실시간 감시·탐지부터 알려지지 않은 의심 행위에 대한 선제 대응까지 해결할 수 있다. 위협에 대한 정확한 식별과 인텔리전스 기술로 연관된 위협에 대한 사전 조치가 가능해 확장된 엔드포인트 보안 가시성을 지원한다.

최근에는 LLM 서비스 이용이 늘어나며 프롬프트로 회사 기밀이나 개인정보가 유출되는 사고를 우려하는 기업이 많아지고 있다. 이에 이스트시큐리티는 최근 ‘알약xLLM’을 선보였다.

이스트시큐리티 관계자는 “알약xLLM은 LLM 사용 시 발생할 수 있는 데이터 유출과 악성 콘텐츠 수신 위협을 탐지 및 차단하는 솔루션”이라며 “이스트시큐리티는 알약xLLM을 시작으로 AI 보안 역량을 더욱 강화해 나갈 계획”이라고 밝혔다.

SGA EPS / 신종 위협 탐지하는 AI 기반 차세대 인텔리전스 제공

SGA솔루션즈는 2008년 ‘바이러스체이서’를 개발·공급하던 뉴테크웨이브를 인수했다. 이후 흡수합병 등의 과정을 거친 후, 2023년 SGA솔루션즈에서 시스템 보안 솔루션 부문을 독립법인으로 설립한 것이 SGA EPS다. SGA EPS는 현재 바이러스체이서를 주축으로 엔드포인트 보안 솔루션 제품군을 확대해 나가고 있다.

바이러스체이서는 2002년 출시돼 손쉽게 쓸 수 있는 인터페이스와 시스템 부하를 최소화한 경량 사이즈로 고객을 확보해 왔다. 최신 버전인 ‘바이러스체이서 10 AI’는 SGA EPS가 자체 개발한 AI 머신러닝 기반 엔진 ‘AMOR’를 탑재해 알려지지 않은 악성코드까지 식별 및 탐지하는 기능을 갖췄다. 또 클라우드 기반 동적·정적 분석 및 심층신경망(DNN) 분석으로 악성코드를 막아내는 ‘바이러스체이서 인텔리전스’로 한 차원 높은 보안 환경을 제공 중이다.

안전한 PC 보안 환경을 위한 다양한 솔루션도 보유했다. ‘패치체이서’를 통한 지속적 패치 관리로 보안 위협을 사전에 제거할 수 있도록 지원하며, ‘다락’으로는 망분리 환경에서 인터넷망(외부망)의 PC에 임의로 자료를 저장·보존하는 일을 방지하는 기능을 제공하고 있다. SGA EPS의 모든 엔드포인트 보안 제품은 통합 보안 관리 솔루션인 ‘시큐리티센터(SecurityCenter)’를 통해 모든 엔드포인트 제품을 손쉽게 모니터링하고 관리할 수 있다.

라온시큐어 / ‘터치엔 엔엑스파이어월’로 보다 안전한 PC 환경 구현

라온시큐어는 1998년 설립된 ‘네오웨이브’가 2012년 정보 보안 업체 루멘소프트를 흡수합병하며 출범한 ICT 통합 보안 기업이다. 사업 영역은 ‘솔루션’ 부문과 ‘서비스’ 부분으로 나뉜다. 솔루션 부문은 통합 인증 플랫폼, PC 보안, 모바일 보안 등 여러 보안 솔루션 제품군을 담당하며, 서비스 부문은 블록체인 기반 모바일 신분증·디지털 증명서(옴니원), 딥페이크 탐지, 화이트햇 등을 제공한다.

라온시큐어의 PC 보안 솔루션은 ‘터치엔 엔엑스파이어월’이다. 터치엔 엔엑스파이어월은 온라인 방화벽과 안티바이러스 기술로 사용자 인터넷 환경을 안전히 보호한다. 악성코드 탐지, 프로그램 제어 등 보안 위협에 대응하는 기술뿐 아니라 OS 및 사용자 수준에서 발생하는 네트워크 통신 감지까지 다양한 기능을 아우른다.

아울러 에지(Edge), 크롬(Chrome), 파이어폭스(Firefox) 등 여러 사용자 브라우저 환경을 지원하며 패턴 DB 실시간 업데이트로 운영 편리성도 높였다. 또한 별도 서버 하드웨어 추가 없이 간단한 스크립트 추가만으로도 손쉬운 구축이 가능하다.