여러 매체를 통해 한 번쯤 악성코드나 해킹으로부터 우리의 PC 및 모바일 기기를 보호하기위하여 안티바이러스를 설치하라고 권하는 안내를 접해 보았을 것입니다. 이에 따라 우리는 안티바이러스가 만병통치약(?)으로 잘못 인식되는 경향이 있습니다. 물론 안티바이러스를 설치하지 않은 경우와 대비하여 설치하였을 때는 사이버 위협에 대한 강력한 방어막을 형성하는 것과 같은 효과를 가질 수 있습니다.
2020년대 이후, 사이버 위협 형태에서 빠짐없이 언급되는 것이 멀웨어, 피싱, 스미싱 및 랜섬웨어입니다. 그 중 램섬웨어는 최근까지도 크게 주목받고 있는 위협입니다. 이에 본 포스팅에서는 우리의 디지털 자산을 지키기 위한 안티바이러스가 과연 랜섬웨어를 완벽히 차단 및 보호할 수 있는지 실험을 통해 살펴보고자 합니다. 랜섬웨어에 대해 자세히 알고 싶으시면 관련 이전 글의 일독을 추천해 드립니다. [바로가기]
어떻게 방어할 수 있는가?
ASTRA IT 사의 블로그에 따르면 매일 56만 개의 새로운 악성코드가 감지되며, 약 10억 개 이상의 멀웨어가 존재한다고 합니다. 랜섬웨어의 경우 2022년 상반기에만 전 세계적으로 2억 3,670만 건의 공격이 발생했으며, 사건당 평균 손실 비용은 454만 불에 달했다고 알려집니다. 통계상 매분 당 네 개의 회사가 랜섬웨어 공격을 당하고 있는 꼴이라 문제가 매우 심각함을 알 수 있습니다.
이러한 무시무시한 랜섬웨어를 방어하는 방법은 무엇인가 찾아보았습니다. 1. 위험한 웹페이지는 접속하지 않는다. 2. 공인되지 않은 파일은 다운받지 않는다. 3. 모르는 주소로 온 이메일은 유의한다. 4. 안티바이러스를 설치한다.
저희는 안티바이러스 제조사들의 홈페이지에서 랜섬웨어에 대한 대응을 어떻게 하는지를 확인해 보았습니다. 대부분의 안티바이러스 제조사는 큰 손해를 입히고 있는 랜섬웨어를 방어하기 위해 자사의 애플리케이션에 탐지 및 감염 방어 기술을 적용하였으며, 암호화 방지 기술을 개발하여 랜섬웨어를 원천 방어하고 있다 안내하고 있습니다. 그림 1과 같이 대부분의 회사에서 자신들의 랜섬웨어 감염 방지 기술을 광고하고 있습니다.
그림 1. 제조사들의 랜섬웨어 광고
그렇다면 성능은?
연구팀은 주기적으로 PC 및 모바일 기기 안티바이러스 성능 실험을 진행하고 있는데, 올해 실험을 계획하며 ‘랜섬웨어 방어 기술은 과연 믿을 만한가?’의 의문을 품게 되었고, 이를 확인하기 위한 실험을 추가하기로 계획하였습니다. 기존의 안티바이러스 성능 실험 방법은 기존의 블로그 글을 확인해 주시기를 바랍니다.[바로가기]
실험 사항은 다음과 같습니다.
- PC 안티바이러스 10종
- 랜섬웨어 멀웨어 수집 및 데이터 세트 구성
- 동작 실험을 통한 탐지 여부 확인
- 암호화 여부 확인
이러한 실험 프로토콜을 규정하고 실험을 준비하였습니다. 대상 안티바이러스는 랜섬웨어 방어 기술이 탑재됨을 광고하는 메이저 안티바이러스 위주로 선정하였습니다. 아래와 같이 9종을 준비했습니다.
- V3 365
- 알약
- ESET
- Bitdefender
- Avast
- Norton
- Microsoft Defender
- Avira
- AVG
안티바이러스는 유/무료가 구분되어 있는 경우 유료 패키지를 구매하였고, 유료 패키지가 없는 제품은 무료 제품을 사용하였습니다. 랜섬웨어 멀웨어는 우리 연구팀의 자체 수집 시스템을 이용해 실험일 기준 최근 3개월 이내에 보고된 멀웨어를 수집하여 샘플을 구성하였습니다.
광고와 같지 않아
랜섬웨어 멀웨어 샘플 70개를 직접 실행하여 탐지 실험을 시행하였습니다. 결과는 다소 만족스럽지 못하였습니다. 3개월 이내에 보고된 멀웨어 샘플을 구성하였으나 수집된 샘플 중, 악성 서버와의 연결이 유실되어 작동되지 않아 탐지가 안 된 샘플이 더러 있습니다. 따라서 실질적 탐지율은 조금 더 높은 점을 고려해 주시기를 바랍니다. 그림 2는 랜섬웨어 탐지 실험 결과를 보여줍니다.
그림 2. 랜섬웨어 탐지율(좌), 탐지 후 파일 암호화 진행률(우)
동작이 되지 않아 탐지가 불가했던 샘플을 제외하고 평가하더라도 제품 D와 F를 제외한 나머지 제품들의 탐지율이 다소 떨어졌습니다. 특히 제품 H의 경우 평균 이하의 탐지율을 보여주었습니다. 최신 멀웨어를 대상으로 한 실험이기에 업체별로 업데이트 시점이 달라 추후, 탐지율은 상승할 것으로 예상됩니다.
실험 결과에서 가장 주목해야 할 만한 문제의 결과는 대부분의 안티바이러스 제품이 랜섬웨어를 탐지한 후, 파일 암호화를 효과적으로 차단/방어하지 못하는 결과입니다. 그림 3은 랜섬웨어를 탐지하였으나 암호화가 진행되었던 사례입니다.
그림 3. 탐지 후, 랜섬웨어 활동 행위
안티바이러스가 랜섬웨어 작동을 탐지 후, 랜섬웨어 파일을 격리하였으나, 시스템에서 파일을 암호화하는 악성 활동이 계속해서 진행되었습니다. 랜섬웨어는 안티바이러스를 강제로 종료시켜 무력화시킨 후, 시스템 내 폴더를 암호화시켜 종국에는 모든 파일이 감염되었습니다. 제품 B, D, H는 다른 안티바이러스와 비교했을 때 상대적으로 랜섬웨어 탐지 시 효과적으로 파일의 암호화하는 악성 행위를 차단하였으나, 그외 제품은 평균 40% 이상 랜섬웨어를 탐지하였음에도 불구하고 파일의 암호화 악성 행위를 차단하지 못하였습니다. 실험하기 전 안티바이러스가 랜섬웨어를 탐지하면 으레 완벽히 암호화 등의 악성 행위에 대한 방어가 가능할 것으로 생각하였는데, 랜섬웨어가 안티바이러스라는 방벽을 뚫고 작동하는 모습을 확인하고 랜섬웨어에 대한 경각심이 커져 본 포스팅을 작성하게 된 가장 큰 이유가 되었습니다.
글을 마치며
우리는 랜섬웨어라는 멀웨어를 주로 뉴스를 통해 ’ㅇㅇ기업이 감염이 되어 비트코인을 요구하는 인질 범죄로 얼마의 손해를 입었다‘라고 접하며, 내 일이 아니라 생각하고 일상을 살아가기 쉽습니다. 하지만, 최근 랜섬웨어 피해는 개인 PC에서 모바일기기까지 범위가 확장되고 있으며, 방법도 고도화되고 있습니다. 특히 모바일 기기의 경우 개인적인 자료들을 담고 있기에 돈으로 환산할 수 없는 중요 데이터를 유실할 수 있어 문제의 심각성이 더하고 있습니다. 그렇기에 안티바이러스 설치가 필요합니다. 하지만, 본 실험을 통해 안티바이러스가 랜섬웨어에 있어 절대적인 방어막이 되지 못함을 확인하였습니다. 실험에 있어 비교적 최근에 발생한 멀웨어를 이용해 실험하였기에 제조사들이 아직 엔진을 업데이트하지 못한 결과일 수 있겠습니다. 하지만, 우리가 생각하는 안티바이러스라고 하면 랜섬웨어를 탐지하였으면, 해당 랜섬웨어에 대해서는 탐지 이후 파일의 암호화가 진행되지 않아야 합니다. 이러한 부분에 있어 제조사들의 기민한 대처가 강력히 필요하다고 생각하며 이 글을 마치고자 합니다.
| 주변의 지인들로부터 종종 ’어떤 안티바이러스를 사용해야 해?’라는 질문을 받곤 합니다만, 이럴 때마다 항상 어떤 제품이든 설치가 우선이라고 답변합니다. 하지만, 이제는 이 말을 먼저 해야 할 것 같습니다. ‘절대 위험한 사이트 접속 및 알 수 없는 파일 다운로드는 하지 마’. |
참고문헌
[1] James, Nivedita. “Key Malware Statistics in This Decade: 2020–2023 – Astra Security Blog.” Astra, 8 May 2023, www.getastra.com/blog/security-audit/malware-statistics/
[2] “V3 365 클리닉.” Ahnlab.com, 2025, v3clinic.ahnlab.com/v3clinic/site/main/main.do#v3365. Accessed 13 Jan. 2025
[3] “이스트시큐리티 | 알약.” Estsecurity.com, 2017, www.estsecurity.com/public/product/alyac. Accessed 13 Jan. 2025
[4] Bitdefender. “Bitdefender – Global Leader in Cybersecurity Software.” Bitdefender.com, 2017, www.bitdefender.com/
[5] “Avast | Download Free Antivirus & VPN | 100% Free & Easy.” Www.avast.com, www.avast.com/en-us/.
[6] “Norton.” Norton.com, 2016, us.norton.com/
[7] “Microsoft Defender for Individuals | Microsoft 365.” Www.microsoft.com, www.microsoft.com/en-us/microsoft-365/microsoft-defender-for-individuals
[8] “Download Security Software for Windows, Mac, Android & IOS | Avira Antivirus.” Avira, www.avira.com
[9] “AVG 2022 | FREE Antivirus, VPN & TuneUp for All Your Devices.” AVG.com, www.avg.com/en-us/
KAIST 사이버보안연구센터 사이버위협분석팀 연구원으로 블록체인 및 소프트웨어 테스팅 연구를 진행하고 있다.
KAIST 사이버보안연구센터 사이버위협분석팀 연구원으로 데이터 수집 및 분석, 소프트웨어 테스팅 연구를 주로 수행하고 있다.
KAIST 사이버보안연구센터 사이버위협분석팀 연구원으로 악성코드 분석 프로그램 및 연구를 수행하고 있다.