ⓒ유튜브 캡쳐

엔드포인트 침투를 노린 신·변종 악성코드 위협이 증가하는 가운데 화이트리스트 방식이 대안으로 주목받고 있다. 제로데이 취약점을 노린 지능형 공격이 늘어남에 따라 피해를 최대한 예방할 수 있는 방법이다.

24일 보안 업계에 따르면, 고도화된 보안 위협 방어의 최종 대안으로 화이트리스트 방식이 확대될 조짐을 보이고 있다.

화이트리스트는 리스트에 등록된 리소스(네트워크·프로세스·파일)만 동작하도록 하고 리스트에 없는 리소스는 모두 거부하는 방식을 말한다. 위험 요소가 입증된 리소스만을 차단하는 블랙리스트의 반대 개념이다. 등록돼있지 않은 리소스는 보안 관리자가 허용하기 전까지 차단된다.

사용자 요청이 일어날 때마다 관리자 승인이 필요하다는 점은 화이트리스트 방식 솔루션의 단점으로 지적돼왔다. 화이트리스트에 추가하는 프로세스 역시 시간이 필요해 부담으로 작용했다. 하지만 최근 보안 위협의 변종이 지속 등장함에 따라 필요성이 확대되는 추세다.

화이트리스트 방식의 솔루션 출시도 잇따르고 있다. 인섹시큐리티는 최근 카본블랙 솔루션을 국내 공급한다고 밝혔다. 우리나라는 화이트리스트 기반 솔루션과 같은 어드벤스드 엔드포인트 시장이 미국과 비교해 3~4년 뒤쳐졌지만 보안 위협이 증가하며 도입이 확대될 것이란 예상이다.

랜섬웨어 제작자는 사전 데이터가 없는 변종 랜섬웨어를 유포해 보안 취약점을 뚫는다. 이에 따라 안티바이러스의 대응이 어려워졌다. 보안 위협이 진화하는 속도를 따라잡지 못하면 차단은 불가능하다.

김종광 인섹시큐리티 대표는 "하루에 가장 많이 패턴 업데이트를 하는 것으로 알려진 안티바이러스 대표업체도 300개 정도의 업데이트에 불과해 진화하는 악성코드를 차단하기에는 부족하다"며 "화이트리스트 기반의 악성코드 탐지 솔루션과 안티바이러스를 함께 사용하면 가장 높은 보안성을 확보할 수 있게 된다"고 말했다.

인섹시큐리티에 따르면, 전 세계 악성코드 누적 개수는 현재 약 5억개 이상이다. 매달 새로운 악성코드가 약 1000만개 이상 유포된다. 하루 평균 약 33만개의 새로운 악성코드가 생성되는 꼴이다.

씨큐캠프 역시 최근 화이트리스트 기술을 사용한 '랜섬블락'을 출시했다. 리스트에 없는 리소스 전체를 사전 봉쇄하는 것이 아닌, 인가되지 않은 프로세스가 사용자 PC 파일을 건드리면 접근 허용 여부를 결정하는 방식이다. 모든 프로세스를 제어해 나타날 수 있는 PC의 과부하를 방지하게 된다.

안순용 씨큐캠프 이사는 "랜섬웨어에 보다 초점을 맞춘 화이트리스트 방식 솔루션"이라며 "랜섬웨어의 목적이 설치된 프로그램 제어가 아니라 데이터라는 사실을 고려했다"고 설명했다.

지란지교소프트는 최초로 화이트리스트 기반 보안솔루션을 선보인다. 마찬가지로 인가되지 않은 프로세스가 데이터 파일에 접근하는 것을 막는데 집중한 제품이다. 화이트리스트 범위를 파일 중심으로 좁혀 관리의 부담을 줄였다.

박상호 지란지교소프트 기술연구소장은 "랜섬웨어를 비롯해 외부 위협에 데이터가 노출되는 경우가 많아짐에 따라 이에 대한 대응을 위해 화이트리스트 방식 솔루션을 출시하게 됐다"고 밝혔다.

과거 화이트리스트 방식은 현금자동입출금기(ATM), 판매시점정보관리시스템(POS) 등 제한된 산업 특수 분야에만 활용돼왔다. 최근엔 고도화된 위협의 등장으로 범용성이 넓어지고 있는 상황이다.

화이트리스트 방식 보안 솔루션에 대한 확산을 좀 더 지켜봐야한다는 목소리도 나온다. 화이트리스트는 업그레이드, 서비스팩 설치, 보안패치, 프로그램 추가 및 변경 등 정책 변경이 수시로 필요하다. 보안 관리자는 화이트리스트 기반의 보안정책을 수립하는것이 어렵다고 판단하게 된다.

보안 업계 관계자는 "화이트리스트 방식은 사용자 편의성이 떨어진다는 단점이 있었지만 랜섬웨어가 드러낸 보안 취약점으로 인해 많은 보안 기업들이 관련 기술 개발에 투자하고 있다"며 "'사용자 불편'이라는 벽을 어떻게 넘을 것인지가 관건이 될 것"이라고 말했다.

©(주) EBN 무단전재 및 재배포 금지