더 이상 파일 검사만으로는 충분하지 않다: NordVPN이 ‘차세대 안티바이러스’를 정의하는 방법

현행 정의의 문제점

사이버보안 업계는 항상 악성 파일을 탐지하는 방식에 따라 안티바이러스의 세대를 정의해 왔습니다. 초기 도구는 파일을 알려진 공격 서명과 대조하였습니다. 이후 세대에서는 휴리스틱, 행동 분석, 샌드박싱, 머신러닝 기반 분류 기능이 추가되었습니다.

각 세대는 동일한 질문을 다루어 왔습니다: “이 파일이 바이러스를 포함하고 있는가?” 그러나 이제 위협 환경이 변화하였습니다. 피싱, 사기, 신원 도용, 소셜 엔지니어링 등을 포함해 오늘날 대부분의 공격은 악성 파일에 의존하지 않습니다. ‘안티바이러스’의 현행 정의는 이 변화를 따라가지 못하고 있습니다.

바이러스는 더 이상 가장 큰 위협이 아니다

오늘날 대부분의 사이버보안 위협은 바이러스와 관련이 없습니다. 실제로 사람들을 온라인에서 위협하는 것들을 살펴보겠습니다:

• 사기는 이제 정교한 소셜 엔지니어링 수법으로 발전하였습니다. 가짜 이커머스 쇼핑몰은 설득력 있는 상품 페이지, 조작된 리뷰, 그리고 실제로 작동하는 결제 흐름을 이용하여 결제 정보를 탈취합니다. 사기성 SMS 메시지는 배송 서비스, 세무 당국, 은행을 사칭하지요. 전화 기반 사기는 발신자 ID 위변조와 AI 생성 음성을 사용하여 금전과 개인 정보를 탈취합니다. 이러한 공격 중 어느 것도 악성 파일 없이도 성공할 수 있습니다.
• 피싱은 10년 전의 오탈자 가득한 이메일을 훨씬 넘어서 발전하였습니다. 오늘날의 피싱 페이지는 정상적인 사이트를 픽셀 단위로 복제한 것으로, 종종 유효한 SSL 인증서를 갖춘 침해된 도메인에 호스팅됩니다. 이는 자격 증명, 세션 토큰, 다중 인증 코드, 그리고 계정 복구에 사용되는 개인 정보를 탈취하도록 설계되어 있습니다.
• 신원 도용은 NordVPN 사용자들의 최대 보안 우려 사항으로 꼽힙니다.¹ 공격자는 자격 증명 스터핑, 세션 하이재킹, SIM 스와핑, 소셜 엔지니어링을 통해 계정에 무단으로 접근할 수 있습니다. 일단 침투에 성공하면, 원래 소유자를 잠금 처리하여 계정을 장악할 수 있습니다. 또한 공격자는 탈취한 개인 정보를 이용하여 새로운 신용 대출을 개설하거나 계정 소유자의 명의로 사기를 저지를 수 있습니다.
• 멀웨어 및 악성 파일은 여전히 큰 위협으로 남아 있습니다. 사람들이 다운로드하는 것과 기기에서 실행되는 것은 여전히 검사와 통제가 필요합니다. 그러나 파일은 이제 많은 악성 벡터 중 하나일 뿐입니다.

악성 파일만을 다루는 디지털 위협 보호 도구는 사실상 사람들이 직면하는 대부분의 공격에 효과적으로 대응하지 못 합니다.

‘안티바이러스’의 재정의

안티바이러스라는 용어는 악성 파일이 주요 디지털 위협이었던 시대에서 유래하였습니다. 레거시 보안 브랜드들의 수십 년에 걸친 마케팅은 ‘안티바이러스’를 보안 소프트웨어의 일반 명칭으로 만들었습니다. 마치 ‘클리넥스’가 화장지의 대명사가 되고 ‘대일밴드’가 일회용 반창고의 대명사가 된 것처럼 말입니다. 그 연관성은 쉽게 사라지지 않을 것입니다.

기업 보안 업계가 전통적인 안티바이러스 소프트웨어의 한계를 가장 먼저 인식하였습니다. 선도적인 사이버보안 기업들은 서명 기반 파일 검사를 보완하거나 대체하기 위해 차세대 안티바이러스(NGAV)를 도입하였지요. NGAV는 행동 탐지와 머신러닝 알고리즘을 결합하여 위협을 식별하며, 레거시 안티바이러스가 종종 놓치는 악성 프로세스, 파일리스 악성코드, 익스플로잇 동작을 탐지하는 데 도움을 줍니다.

기업 환경에서 NGAV는 여전히 중요한 발전입니다. 그러나 이는 주로 관리형 기업 기기, 전담 보안 팀, 그리고 엔드포인트 침해에 초점을 맞춘 위협 모델을 위해 구축되었습니다. NGAV는 프라이버시 우선 소비자 제품이 수집해서는 안 될 광범위한 행동 원격 측정 데이터에 의존합니다.

따라서 안티바이러스라는 단어는 이제 두 가지 의미를 갖게 되었습니다. 악성 파일이 주요 위협이었던 시대에 일반 사용자를 위해 구축된 레거시 모델과, 관리형 기업 환경을 위해 구축된 기업용 NGAV 모델입니다. 레거시 모델은 이제 구식이고, 기업용 NGAV는 애초에 개인 사용자를 위해 설계된 것이 아닙니다. 어느 것도 오늘날 개인 기기에서 사람들이 직면하는 위협을 다루지 않습니다.

그럼에도 불구하고, 여전히 사람들은 실제로는 악성코드, 피싱, 신원 도용, 사기, 계정 탈취로부터의 보호가 필요한 상황에서도 ‘안티바이러스’를 해결책으로 검색하고 있습니다. 이제 ‘안티바이러스’라는 도구 자체의 새로운 정의를 내려 이 도구가 실제로 사람들이 기대하는 역할을 수행하도록 만들어야 합니다.

NordVPN은 ‘차세대 안티바이러스’를 포괄적인 디지털 위협 보호 도구로 정의합니다. 이 정의에 따르면, 차세대 안티바이러스는 다섯 가지 영역에 걸친 보호를 포함합니다:

• 사기 방지 — 사기성 웹사이트 및 가짜 쇼핑몰 탐지, 사기 SMS 메시지 경고, 의심스러운 전화 식별, 뱅킹 세션 보호.
• 피싱 방지 — URL, 이메일 링크, 웹 콘텐츠를 실시간으로 평가하여 자격 증명 수집 시도가 사용자에게 도달하기 전에 차단.
• 신원 및 계정 탈취 방지 — 신원 도용 시도 모니터링, 사기 패턴 탐지, 노출된 개인 정보에 대한 다크웹 유출 검색, 침해된 자격 증명 경고. 계정 측면에서는: 자격 증명 스터핑, 세션 하이재킹, SIM 스와핑, 소셜 엔지니어링을 통한 무단 접근 시도 탐지 및 경고, 그리고 공격자가 악용하기 전에 취약한 자격 증명 표시.
• 추적기 및 광고 차단 — 프라이버시를 침해하고 성능을 저하시키며 타겟형 소셜 엔지니어링의 추가적인 진입점을 만드는 크로스사이트 추적기, 핑거프린팅 스크립트, 침입적인 광고 제거.
• 파일 및 기기 보호 — 다운로드 검사, 악성 파일이 실행되기 전 실행되는 파일 격리 또는 제거.

NordVPN은 안티바이러스 카테고리를 재창조하는 것이 아닙니다. 사람들이 안티바이러스가 처리해 주기를 기대하는 위협을 실질적으로 감당할 수 있도록 이 도구의 정의를 확장하는 것입니다.

우리의 차세대 안티바이러스 구축 방법

효과적인 디지털 보호는 세 가지 상충하는 약속 사이의 균형을 요구합니다. 우리는 사용자를 프로파일링하지 않으며, 제품 개선에 도움이 되는 데이터를 측정하고, 사용자의 주의를 요구하지 않고 작동하도록 제품을 구축합니다.

하나를 다른 것의 희생 위에서 최적화하면, 침입적이거나 신뢰할 수 없거나 사용하기에 너무 복잡한 제품이 만들어집니다. 세 가지 원칙 모두에 의해 형성된 제품은 만들기가 더 어렵지만, 신뢰하기도 더 쉽습니다.

프로파일링하지 않기

NordVPN은 프라이버시 기업입니다. 우리의 사용자들은 우리가 그들을 감시하지 않기 때문에 신뢰합니다. 이 약속은 강력한 제약을 만들어내지요. 따라서 위협 탐지는 본래 필요한 것보다 적은 데이터로 작동해야 합니다.

우리의 규칙은 단순합니다. 위협을 식별하는 데 필요한 데이터만 기기를 벗어납니다. 분석이 기기가 아닌 우리 서버에서 이루어져야 할 경우, 데이터가 이동하기 전에 사용자와의 연결 고리를 제거합니다.

실제로 이는 다음을 의미합니다:

• 파일은 가능한 경우 내용이 아닌 해시로 확인됩니다.
• URL은 클라우드 조회 전에 쿼리 파라미터와 개인 경로 조각이 제거됩니다. 어떤 URL도 특정 사용자와 연결되지 않습니다.
• 인증 쿠키는 해시 처리되며, 첫 여덟 글자만 기기를 벗어납니다.

우리의 데이터 스키마에는 사용자 식별자를 위한 필드가 없습니다. 이는 프라이버시 보호가 누군가의 규칙 준수에 의존하지 않는다는 것을 의미합니다. 시스템이 설계상 이를 강제합니다.

감시 없이 측정하기

측정 없는 위협 탐지는 추측에 불과합니다. 우리는 피싱 분류기가 개선되고 있는지, 사기 탐지가 새로운 패턴을 잡아내고 있는지, 그리고 모델이 어디서 위협을 놓치고 있는지 알아야 합니다. 그 질문들에 답하기 위해서는 피드백 데이터가 필요합니다.

그러나 제약 없이 수집된 피드백 데이터는 보안 소프트웨어가 감시 소프트웨어가 되는 방식입니다. 우리는 개인 데이터를 수집하는 것이 아니라 탐지 시스템을 측정함으로써 그 위험을 피합니다. 우리 스택의 모든 레이어는 집계된 성능 데이터를 생성합니다:

• 머신러닝 분류기는 탐지율과 오탐율을 보고합니다.
• 퍼지 해싱은 분류 속도를 보고합니다.
• 위협 인텔리전스 피드는 피드 최신성을 보고합니다.

제품은 모집단 수준의 샘플에 걸쳐 이러한 지표를 계산합니다. 모델은 익명화된 위협 샘플과 통계적 요약을 통해 재학습됩니다. 어떤 사용자의 브라우징 기록도 피드백 루프에 입력되지 않습니다. 우리는 피싱 모델이 개선되고 있는지 알 수 있지만, 위협이 표시되었을 때 특정 사용자가 무엇을 하고 있었는지는 알 수 없습니다.

사용자의 눈에 보이지 않도록 설계

최고의 보안은 사람들이 안전에 대해 전혀 생각할 필요가 없는 상태까지 도달하는 것입니다. 설정 없이, 경고 피로 없이, 전문 기술적 지식 없이 말입니다. 이렇듯 사용자에게 보이지 않게 뒤에서 완벽하게 일하는 제품을 구축하려면 사람들이 제품과 어떻게 상호작용하는지 관찰해야 합니다. 우리는 사용자 경험을 개선하는 데 필요한 최소한의 데이터를 정의하고 거기서 멈춥니다.

사용자 동의를 통해 우리는 다음을 추적합니다:

• 각 기능이 켜져 있는지 꺼져 있는지, 그리고 얼마나 자주 사용되는지에 대한 정보.
• 볼륨 지표, 즉 정해진 기간 동안 차단된 위협의 수.
• 직접 설문조사를 통해 수집된 사용자 만족도 점수.

이러한 데이터 포인트 중 어느 것도 특정 사용자가 무엇을 하고 있었는지 알려주지 않습니다. 제품이 사용자가 전혀 생각할 필요가 없을 만큼 잘 작동하고 있는지를 알려줍니다.

이 수준의 데이터는 설계상 비민감 데이터입니다. 이는 행동을 재구성하거나 의도를 추론하거나 프로파일을 구축하기 위해 결합될 수 없습니다.

AI에 대한 NordVPN의 접근 방식: 특정 작업을 위한 소형 모델

NordVPN은 각각 명확하게 정의된 탐지 작업을 위해 훈련된 소형 전용 머신러닝 모델을 사용합니다. 모든 위협을 분류하려는 단일 모델을 구축하는 대신, 우리는 별개의 위협 범주에 대해 목적에 맞게 구축된 모델을 개발합니다:

• 피싱 특성에 대한 URL을 평가하도록 훈련된 모델.
• 사기성 이커머스 페이지의 패턴을 식별하는 데 초점을 맞춘 모델.
• 악성코드 지표에 대한 파일 동작을 분석하는 모델.
• 메시지에서 소셜 엔지니어링 패턴을 탐지하도록 조정된 모델.

일부 모델은 사용자의 기기에서 직접 실행할 만큼 충분히 경량입니다. 다른 모델은 브라우저 확장 프로그램 내에서 실행됩니다. 더 많은 처리 능력을 요구하는 모델은 백엔드에서 실행됩니다. 처리가 로컬에서 이루어지면, 관련 데이터는 기기에 남아 있으며 분석을 위해 외부 서버로 전송되지 않습니다.

각 모델은 독립적으로 검증되고 업데이트될 수 있으므로, 효과가 떨어지면 원인을 추적할 수 있습니다. 그리고 각 모델이 별도로 실행되기 때문에, 어느 것도 사용자의 주의를 요구하거나 사용 경험을 방해하지 않습니다.

이러한 분리는 또한 측정을 정밀하게 만듭니다. 전용 피싱 모델이 저조한 성능을 보일 때, 우리는 무엇을 어떤 데이터로 재학습해야 하는지 정확히 알 수 있습니다. 사기 탐지 모델이 오탐을 생성할 때, 악성코드 탐지에 부작용 없이 조정할 수 있습니다. 각 모델이 단일 작업을 진행하기 때문에, 무엇이 실패했는지 그리고 왜 그런지를 정확히 파악할 수 있습니다.

머신러닝 모델은 정의된 범위 내에서 잘 작동하지만, 완전한 솔루션으로 취급되면 한계를 드러냅니다. 우리의 모델은 규칙 기반 시스템, 위협 인텔리전스 피드, 그리고 인간 검토와 함께 작동하며, 각각이 다른 것들이 처리할 수 없는 것을 커버합니다.

수백만 개의 서로 다른 기기와 맥락에 걸쳐 실시간으로 위협을 분류하는 데 있어, 소형 전용 모델은 사용자 프라이버시를 희생하지 않고 우리가 찾은 가장 효과적인 접근 방식입니다.

앞으로 나아갈 방향

안티바이러스라는 용어는 사라지지 않을 것입니다. 이는 사람들이 디지털 보호에 대해 생각하고, 검색하고, 구매하는 방식입니다. 업계는 정의를 파일 검사로 계속 좁히고 나머지 위협 환경을 다른 사람의 문제로 취급하거나, 아니면 사용자들에게 그 단어가 이미 의미하는 것과 일치하는 제품을 구축할 수 있습니다.

우리는 두 번째 선택지를 택하였습니다. 그리고 사기 보호, 피싱 탐지, 신원 모니터링, 파일 보안을 하나의 제품으로 커버하는 제품을 구축하였습니다. 프라이버시를 기반으로, 엄격하게 측정되며, 정교한 최첨단 기술에도 사용자가 직접 보안 전문가가 될 필요는 없이 편리하게 작동하도록 설계되었습니다.

피싱, 사기, 신원 도용, 악성코드를 커버하는 전방위적 디지털 위협 방지 도구, 그것이 오늘날 '안티바이러스' 카테고리가 진정으로 제공해야 한다고 우리는 믿습니다.

참고문헌

¹ Šlekytė, I. (2025년 6월 25일). “NordVPN 연구 공개: 3명 중 1명이 온라인 사기 피해자가 되는 것으로 밝혀져.” NordVPN. https://www.nordvpn.com/blog/scam-experience-research/