하루 45만 개의 신종 악성코드, 기존 백신으로 막을 수 있을까?
AV-TEST Institute에 따르면, 매일 45만 개 이상의 신규 악성 프로그램이 등록됩니다. 기존 시그니처(Signature) 기반 백신은 알려진 위협의 해시값을 데이터베이스와 대조하는 방식으로 동작하기 때문에, 이 속도를 따라가는 것은 구조적으로 불가능합니다. 바로 이 간극을 메우기 위해 등장한 것이 고급 악성코드 보호(Advanced Malware Protection, AMP)입니다.
AMP란 무엇인가?
AMP는 인공지능(AI), 머신러닝(ML), 행위 기반 탐지(Behavioral Detection)를 결합한 다계층 보안 방법론입니다. 파일의 정적 코드가 아닌 실행 후 실제 행위를 분석하여, 시그니처가 존재하지 않는 제로데이(Zero-Day) 공격이나 다형성 악성코드(Polymorphic Malware)도 탐지할 수 있습니다.
AMP는 어떻게 동작하는가?
AMP는 단일 탐지 방식에 의존하지 않고, 세 가지 핵심 계층을 순차적으로 적용합니다.
- 허용 목록(Allowlisting): 사전 승인된 파일·프로세스는 추가 검사 없이 통과시켜 탐지 부하를 줄입니다.
- 차단 목록(Blocklisting): 악성으로 확인된 파일의 해시값을 등록하여 동일 파일의 재실행을 즉시 차단합니다. 단, 변형 악성코드에는 한계가 있습니다.
- 행위 기반 탐지(Behavioral Detection): 레지스트리 변조, 비정상 프로세스 생성, 내부 네트워크 스캔, C2(Command & Control) 서버 통신 시도 등 실행 후 행동 패턴을 실시간으로 분석합니다. 시그니처가 없는 완전히 새로운 위협도 행위 이상 징후로 탐지할 수 있습니다.
이 세 계층 전반에 걸쳐 AI/ML 모델이 지속적으로 재학습되며, 전문 분석가가 오탐(False Positive)을 관리하여 탐지 정확도를 유지합니다.
왜 지금 AMP가 중요한가?
2024년 Google 위협 인텔리전스 그룹(GTIG) 보고서에 따르면, 75개의 제로데이 취약점이 실제 공격에 악용되었으며, 그 중 44%는 VPN·방화벽 등 네트워크 엣지 장비를 겨냥했습니다. Mandiant의 M-Trends 2025 보고서는 익스플로잇(Exploit)이 5년 연속으로 가장 빈번한 초기 침입 벡터(전체의 33%)임을 확인했습니다.
더 나아가, 공격자들은 AI를 활용해 매 감염마다 코드 구조를 바꾸는 다형성 악성코드를 개발하고 있습니다. 이에 대응하려면 AI 기반 행위 분석이 필수적입니다.
악성코드 보호 솔루션의 3가지 단계
IT 관리자와 MSP가 조직의 위험 프로파일에 맞는 솔루션을 선택할 수 있도록, 보호 수준은 크게 세 단계로 구분됩니다.
- Tier 1 — 탐지 전용: 시그니처·휴리스틱 기반. 알려진 악성코드만 대응 가능.
- Tier 2 — 탐지 + 예방: AI/ML + 행위 분석 추가. 신종·다형성 악성코드 및 제로데이 대응 가능.
- Tier 3 — 탐지 + 예방 + 대응(EDR/XDR): 텔레메트리 기록, 포렌식 분석, 단일 클릭 대응, 엔드포인트·이메일·클라우드·네트워크 전반의 통합 가시성 제공.
전문가 인사이트
국내 기업 환경에서도 시그니처 기반 백신 하나만으로 보안 요건을 충족하던 시대는 사실상 끝났습니다. 특히 제조·금융·공공 분야의 IT 관리자라면, VPN이나 방화벽 같은 네트워크 엣지 장비가 제로데이 공격의 주요 타깃이 되고 있다는 점을 주목해야 합니다.
AMP의 핵심은 '알려지지 않은 위협'을 행위 패턴으로 잡아내는 데 있습니다. 이를 실무에 적용하려면 단순히 솔루션을 도입하는 것을 넘어, EDR(Endpoint Detection and Response) 또는 XDR(Extended Detection and Response) 수준의 가시성과 대응 체계를 갖추는 것이 중요합니다.
Acronis Cyber Protect Cloud는 AI 기반 악성코드 탐지와 행위 분석을 통합 제공하며, MSP 환경에서도 모듈형 가격 정책으로 단계적 도입이 가능합니다. 특히 Acronis EDR은 AI 가이드 분석과 단일 클릭 대응(Single-click Response)을 지원하여 보안 전담 인력이 부족한 중소기업이나 MSP 운영 환경에서도 실질적인 위협 대응이 가능합니다.
또한, Acronis Cyber Protect의 백업 파일 악성코드 스캔 기능은 감염된 파일을 복구하는 '리인펙션(Re-infection)' 위험까지 차단하여, 백업과 보안을 하나의 워크플로우로 통합한다는 점에서 운영 효율성 측면에서도 주목할 만합니다.
Acronis 솔루션 도입에 대해 궁금하신 점이 있으시면 KDSys에 문의해 주세요.
