멀웨어스닷컴이 공개 버전 출시 2년 만에 6억3000만개에 달하는 악성코드 샘플 데이터를 확보했다. 오픈 API를 기반으로 다양한 분야에 접목, 응용되면서 악성코드 분석정보가 공유·재생산되는 생태계가 빠르게 구축됐다. 올해는 확보 데이터를 바탕으로 악성코드 대응에 초점을 맞춘 제품도 선보인다.
세인트시큐리티(대표 김기홍)는 이달 들어 클라우드 기반 악성코드 자동 분석 서비스 `멀웨어스닷컴` 공개 버전을 출시 2주년을 맞았다. 악성코드 정보 수집과 공유는 물론이고 자체 개발한 리얼머신 행위 분석 결과와 프로파일링 데이터 등 2차 정보까지 생성하는 플랫폼이다.
2014년 4월 공개 당시 하루 4000건에 불과하던 페이지뷰 수는 현재 5만5000건으로 16배 늘었다. 악성 파일 수집 규모는 하루 평균 2만5000여개에서 80만개로, 쿼리 데이터는 5만개에서 150만개로 각 30배 이상 증가했다. 누적 악성코드 샘플 데이터는 6억3299만여개다.
구글 바이러스토탈이 보유한 샘플 규모가 9억여개인 점을 감안하면 상당한 규모다. 멀웨어스닷컴보다 10년 앞선 2004년 6월 시작한 서비스다.
현재 바이러스토탈과 긴밀하게 협력하며 부족한 부분을 상호 보완한다. 멀웨어스닷컴 분석 결과에 바이러스토탈이 제공하는 57종 안티바이러스 백신 엔진 검사 결과를 연동해 제공한다. 최근에는 최대 43개 멀티 백신 엔진 검사를 지원하는 메타디펜더와도 손잡았다.
김기홍 세인트시큐리티 대표는 “바이러스토탈에 이어 메타디펜더와 연동으로 백신 검사 크로스 체크 효과가 극대화됐다”며 “비공개 파일 검사 옵션도 지원하면서 분석 결과가 외부 노출되는 것에 대한 우려도 해소했다”고 강조했다.
미리 분석된 수억 개에 달하는 데이터도 강점이다. 조회수가 높은 악성코드 주요 특징 정보와 웹 기반 악성코드 유포·경유지 정보, 악성 메일·스팸 메일 발송자 주소와 서버 주소, 제로데이 공격 코드 및 CVE 코드 매칭 정보 등 다양한 연관 정보로 구성됐다.
악성코드 활동 기간과 수집 경로, 실행하면 어떤 일이 발생하는지 각종 히스토리를 정리했다. 분석된 데이터를 바탕으로 악성코드 특징을 한눈에 알아보고 검색이 쉽도록 태그 기능도 제공한다.
자체 개발한 행위분석 엔진 성능도 우수하다. 악성행위 도출 환경을 효과적으로 조성하기 위해 소형 임베디드 보드로 분석용 리얼머신을 직접 만들었다. 리얼PC 기반 분석 환경보다는 운영 부담이 적으면서 실제 PC에서 행위 분석하는 것과 같은 효과를 보인다. 리얼머신 기반 행위분석 등을 활용해 풍부한 프로파일링 데이터를 백단에서 생성한다.
올해는 그동안 확보한 데이터를 바탕으로 엔드포인트와 네트워크 단에서 사용하는 악성코드 대응 제품도 기획 중이다. 하반기 중 개발을 마치고 선보인다.
김 대표는 “악성코드 탐지를 넘어 광범위한 데이터를 활용해 악성코드에 직접 대응하는 제품 수요가 적지 않았다”며 “`널리 알려진` 공격부터 누구나 쉽게 막을 수 있도록 돕는 제품을 준비 중”이라고 말했다.
박정은기자 jepark@etnews.com
