맥아피가 악성 프로그램 시그니처 소프트웨어의 업데이트 방식을 바꾼다고 발표했다.
기존의 방식은 매일 수집된 악성 프로그램 샘플을 분석해 시그니처를 업데이트하는 방식이어서 사용자들은 업데이트된 시그니처가 배포되는 것을 기다리는 것이 전부였다. 하지만맥아피가 새로 제시한 맥아피 아르테미스(Artemis) 기술은 기존의 소프트웨어 변경을 통해 이런 방식을 완전히 바꿨다. 새로운 방식은 만약 의심스럽거나 아직 확인이 안된 유해한 코드가 사용자 시스템이나 다운로드 형식으로 발견되면, 특정 프로세스가 자동으로 실행되어 해당 코드를 맥아피에 즉시 보내진다.
맥아피 애버트랩의 보안연구 담당 임원인 데이브 마커스는 “사용자는 즉시 업데이트된 시그니처를 받아볼 수 있다”고 설명했다.
맥아피의 이번 발표는 최근 증가하고 있는 클라우드 기반의 안티맬웨어 시스템의 하나로 볼 수 있는데, 이미 F-시큐어, 트렌드마이크로 등이 이런 움직임에 동참하고 있다.
마커스는 “매일 3,500종의 악성 프로그램이 생겨나고 있다”며, “2008년에는 전년의 세 배는 발생할 것으로 예상된다”고 덧붙였다.
맥아피는 샘플을 모으고 분석해 시그니처를 업데이트하는 기존 방식도 계속 유지할 계획이다. 하지만 사용자들이 컴퓨터를 사용하면서 만나게 되는 미확인 상태의 의심되는 코드와 관련된 위험성을 모니터링에 좀 더 신속한 보호가 가능하도록 하는데 중점을 둘 계획이다.
마커스는 어떤 경우에는 사용자가 악성 프로그램을 발견했고, 이에 대한 처치법이 현재 전송되고 있다는 메시지를 받을 수도 있다고 설명했다. 마커스는 또 사용자에게는 새로운 경험이 될 수 있을 뿐만 아니라 컴퓨터 사용하는 데 지체가 되지도 않으며, 기존의 맥아피 소프트웨어를 업그레이드하거나 변경할 필요도 없다고 강조했다.
F-시큐어 역시 인터넷 시큐리티 2009 소프트웨어를 발표하며 클라우드 기반의 시그니처 업데이트를 표방하고 있다. F-시큐어의 기술 서비스 담당임원인 데이빗 프레지어는 “시그니처 기반의 응답은 매우 반사적으로 이뤄어진다”며, “시그니처 업데이트가 자동 분석을 통해 2~3분 내에 이뤄진다. 하지만 스톰웜같은 경우는 30초마다 변한다”고 덧붙였다.
F-시큐어의 프로세스는 우선 사용자의 컴퓨터에서 발견된 파일의 디지털 해시를 만들어 F-시큐어가 운영하는 여러 곳의 분석센터로 보내 즉석에서 파일의 악성 코드 여부를 분석하는 방식이다. 여기서 악성 코드로 판단되면, 자동화된 업데이트가 사용자의 시스템으로 전송되는 방식이다. F-시큐어는 사용자의 동의없이 파일을 가져올 수 없기 때문에 파일을 디지털 해시를 가져오는 방식을 취하고 있다고 밝혔다.
한편 트렌드마이크로 역시 해시 샘플을 이용한 클라우드 기반 서비스에 대해 발표했지만, 올해 말까지 정식 서비스가 개시되기는 힘들 것으로 보인다. <IDG KOREA>