누구나 한 번쯤 자신이 사용하는 컴퓨터가 바이러스나 악성코드에 감염되어 곤혹을 치렀던 경험이 있을 것이다. 컴퓨터 바이러스나 악성코드의 경우 그 종류와 공격의 범위도 다양해서 컴퓨터를 잘 모르는 사람이라면 당황부터 하기 마련이다. 그래서 이와 같은 사태를 미연에 방지하기 위해 대부분 이를 예방하는 ‘백신’프로그램을 사용하게 된다. 헌데 이 백신프로그램에도 ‘급’이 있단다. 백신 프로그램의 종류와 동작 원리, 바른 사용법을 통한 PC 보안 유지에 대해 알아보자.

바이러스, 악성코드 그리고 백신 프로그램?

백신 프로그램은 악성 프로그램을 찾아내서 제거하는 소프트웨어의 일종이다. 안티바이러스(Anti-virus, AV)라고도 한다. 백신의 표적인 악성프로그램은 크게 바이러스와 악성 코드로 나눌 수 있다. 바이러스와 악성 코드는 개발자가 악의적인 목적을 갖고 만든 일종의 실행 프로그램이라는 면에서는 공통점이 있지만, 바이러스는 PC의 자원을 고갈시키거나 실행을 멈추고 때로 메인보드나 하드디스크에 기계적인 고장을 일으킬 수 있는 반면 악성 코드는 PC의 운영에는 큰 피해를 주지 않지만 PC에 숨어 중요한 정보를 빼가는 등의 피해를 입히는 데에 차이점이 있다. 원래 백신의 존재 목적은 컴퓨터 바이러스만 찾아내어 치료하는 것인데 악성코드의 종류가 세분화됨에 따라 피싱, 트로이목마, 웜, 스파이웨어 등의 검출 및 치료 역할도 한다.

백신 프로그램을 통한 이러한 ‘검출’은 크게 두 종류로 나뉜다. 프로그램에 내재된 바이러스 데이터베이스의 정의와 일치하는 바이러스를 검출하기 위해 파일의 내용을 확인하는 단계인 시그니처 탐지는 잘 알려진 바이러스에 효과적인 탐지 방법이다. 기존에 발견된 컴퓨터 바이러스의 특징을 추출하여 시그니처를 만들고, 이러한 시그니처를 가진 파일을 검출하기 위해 컴퓨터 상의 파일을 확인한다. 만약 특정 시그니처를 가진 파일이 발견되면 파일에서 시그니처에 해당하는 부분을 제거하거나, 해당 파일을 다른 파일이 접근할 수 없는 위치로 이동시키는 방법으로 이를 ‘치료’한다. 두 가지 방법이 모두 불가능한 경우에는 해당 파일을 삭제함으로써 치료의 단계를 거친다. 시그니처 탐지 방법은 알려진 바이러스의 탐지와 치료에는 효과적이지만 시그니처가 아직 존재하지 않는 새로운 바이러스에 대해서는 정상 동작하지 못할 위험성이 있다.

두 번째로는 악성 행위의 가능성이 있는 행동을 하는 프로그램을 탐지 하는 일을 수행하는 휴리스틱 탐지의 방법이 있다. 시그니처 탐지에 비하면 다소 소모적인 방법으로 보이지만 나름의 장점이 있다. 휴리스틱 탐지의 경우 모든 프로그램의 동작을 감시하다 의심스러운 동작이 발생하면 이를 사용자에게 알리고 대처방법을 물어본다. 예를 들어, 특정 프로그램이 과도한 네트워크 트래픽을 발생시키면 백신은 이러한 동작을 사용자에게 알리고 어떻게 대처할 지를 알리는 대화창을 띄운다. 이는 아직 시그니처 구축이 안되어 검출하지 못하는 바이러스를 찾아낼 수 있지만 수많은 알람이 발생할 가능성이 있으며, 그 중에 섞여있을 오진 때문에 사용상 불편함을 느낄 수 있다. 또 이런 상황이 발생할 때마다 경고 메시지를 무시할 경우 아무 것도 잡아내지 못할 수 있다는 단점도 있다.

백신을 위장한 악성 프로그램이 더 위험하다?

이렇게 백신 프로그램의 동작 원리를 살펴보고 내 PC를 확인해보니 적절한 프로그램이 깔려 있는 것 같아 안심하게 된다. 하지만 안심은 금물, 진짜 문제는 백신 프로그램 자체보다는 백신 프로그램으로 위장한 악성코드에 있다. 이와 같은 프로그램은 검증되지 않은 백신 프로그램을 쉽게 믿고 설치하는 사용자들에 의해 PC에 위협을 줄 수 있다.

실제로 동작하는 모습을 보면 [그림 1]처럼 그럴싸한 검사화면을 보여준다. 그 후에 다양한 악성코드를 탐지했다고 알린 후, 이 악성코드를 치료하기 위해서는 서비스 이용요금을 결제할 것을 요구한다. 물론 이는 가짜 백신 프로그램이므로, 결제를 해도 실제로 악성코드를 치료하지 않는다. 원래의 목적대로 사용자의 컴퓨터에 잠입하여 피해를 입힐 뿐이다.

이처럼 무료로 제공되는 유명 백신의 생김새를 모방한 가짜 백신들이 속속 등장하여 사용자들의 주의가 필요하다. 실제로 [그림 2]의 가짜 백신인 AntiVir은 [그림 3]의 유명 백신인 AVG의 백신을 모방한 외관으로 사용자를 헷갈리게 한다. 심지어는 PC 대표 OS인 윈도우즈의 업데이트 보안센터와 유사하게 생긴 가짜 백신도 발견되었다. 이러한 ‘무늬만 백신’을 피하는 것만으로도 개인 컴퓨터와 정보를 보호하는데 크게 도움이 된다.

좋은 백신을 골라 사용하려면

개인용 PC의 보안 수단은 사실상 백신뿐이다. 그만큼 백신의 중요성이 강조되는데, 앞서 언급한 가짜 백신이 활개 치는 상황에서 안전한 백신의 사용을 위해서는 신뢰할 수 있는 백신을 사용하는 것은 당연한 만큼이나 중요한 일이다. 안전한 백신을 선택하기 위해 신뢰할 수 있는 사이트에서만 백신 프로그램을 다운로드 받아서 설치하는 것이 좋으며 격 주에 한 번 정도 백신을 실행시켜 전체 검사를 하는 방법을 권장한다.

방송통신위원회가 최근 발표한 우수 백신 12종을 발표했다. 12종은 다음툴바, 노애드2+, V3 365 클리닉, V3 Lite, 바이러스체이서8.0, 알약 2.0, nProtect AVS 3.0, 바이로봇 Internet Security 2011, 내주치의 닥터, U+인터넷 PC 안심이, 네이버 백신, B인터넷클린이며, 이들은 악성코드 샘플 3천 종 중 2/3 이상을 탐지·치료하고, 이용약관 공지와 함께 사용자의 동의를 구하고 설치를 시작하는 부문에서 우수 백신 평가를 받았다. 이들 중 전공자들이 선택한 권장 프로그램 5종은 △ V3 Lite (http://www.ahnlab.com/) △ 네이버 백신 (http://security.naver.com/) △ Microsoft Security Essential (MSE, http://windows.microsoft.com/mse) △ 알약 (http://alyac.altools.co.kr/) △ AVG (http://www.avgkorea.com/) 이다.

※ 본 정보 보안 관련 기사는 한양대학교 공과대학 정보보안동호회 ICEWALL와 함께 작성되었음을 알립니다.