편집토론문서 역사

바이러스 토탈

Gaon12 (토론 / 기여)님의 2025년 2월 12일 (수) 20:28 판 (시작)
(차이) ← 이전 판 / 최신판 (차이) / 다음 판 → (차이)
바이러스 토탈
VirusTotal
바이러스 토탈 로고
바이러스 토탈 로고
사이트명 바이러스 토탈 (VirusTotal)
종류 온라인 멀웨어 분석 서비스
개설일 2004년 6월 7일
언어 다국어 지원 (영어 등)
회원가입 선택 사항
개설자 Hispasec Sistemas
운영자 구글 (2012년 인수), 크로노리스 (2023년 인수)
호스팅 Google Cloud
홈페이지 주소 www.virustotal.com

개요[편집 / 원본 편집]

VirusTotal은 전 세계에서 가장 널리 사용되는 온라인 악성코드 분석 플랫폼으로, 파일, URL, IP 주소, 도메인 등 다양한 대상을 대상으로 보안 검사를 수행한다. 2004년 스페인의 Hispasec Sistemas에 의해 처음 개발되었으며, 2012년 구글에 인수된 후 2018년부터는 구글 클라우드 산하의 보안 전문 자회사인 Chronicle(현 Chronicle Security)이 운영하고 있다. VirusTotal은 70개 이상의 안티바이러스 엔진과 여러 보안 스캐너를 통합하여 빠르고 종합적인 악성코드 분석 결과를 제공함과 동시에, 방대한 데이터베이스와 커뮤니티 협력을 통해 사이버 위협 인텔리전스의 핵심 역할을 수행하고 있다.

검사 방식[편집 / 원본 편집]

파일 검사 시, 다음 순서대로 검사를 수행한다.

  1. 사용자가 파일 업로드 시 파일의 해시값[1]을 계산한다.
  2. 파일을 분석 서버로 업로드 한다.
  3. 이미 분석되어 있는 파일인지 확인한다.
    1. 이미 분석되어 있다면 마지막 분석 결과 화면으로 이동한다.
    2. 처음 분석하거나 재 분석 시, 각 백신 벤더의 엔진들을 사용하여 검사를 수행한다.
  4. 검색 결과를 출력한다.

백신 엔진[편집 / 원본 편집]

파일 검사[편집 / 원본 편집]

  • Acronis (Static ML)
  • AhnLab-V3
  • Alibaba
  • AliCloud
  • ALYac
  • Antiy-AVL
  • Arcabit
  • Avast
  • AVG
  • Avira (no cloud)
  • Baidu
  • BitDefender
  • Bkav Pro
  • ClamAV
  • CMC
  • CrowdStrike Falcon
  • CTX
  • Cylance
  • DeepInstinct
  • DrWeb
  • Emsisoft
  • eScan
  • ESET-NOD32
  • Fortinet
  • GData
  • Google
  • Gridinsoft (no cloud)
  • Huorong
  • Ikarus
  • Jiangmin
  • K7AntiVirus
  • K7GW
  • Kaspersky
  • Kingsoft
  • Lionic
  • Malwarebytes
  • MaxSecure
  • McAfee Scanner
  • Microsoft
  • NANO-Antivirus
  • Palo Alto Networks
  • Panda
  • QuickHeal
  • Rising
  • Sangfor Engine Zero
  • SecureAge
  • SentinelOne (Static ML)
  • Skyhigh (SWG)
  • Sophos
  • SUPERAntiSpyware
  • Symantec
  • TACHYON
  • TEHTRIS
  • Tencent
  • Trapmine
  • Trellix (ENS)
  • Trellix (HX)
  • TrendMicro
  • TrendMicro-HouseCall
  • Varist
  • VBA32
  • VIPRE
  • VirIT
  • ViRobot
  • Webroot
  • WithSecure
  • Xcitium
  • Yandex
  • Zillya
  • Zoner
  • Avast-Mobile
  • BitDefenderFalx
  • Cynet
  • Elastic
  • Symantec Mobile Insight
  • Trustlook

URL[편집 / 원본 편집]

  • Abusix
  • Acronis
  • ADMINUSLabs
  • AILabs (MONITORAPP)
  • AlienVault
  • alphaMountain.ai
  • Antiy-AVL
  • Artists Against 419
  • benkow.cc
  • BitDefender
  • BlockList
  • Blueliv
  • Certego
  • Chong Lua Dao
  • CINS Army
  • CMC Threat Intelligence
  • CRDF
  • Criminal IP
  • Cyble
  • CyRadar
  • desenmascara.me
  • DNS8
  • Dr.Web
  • EmergingThreats
  • Emsisoft
  • ESET
  • ESTsecurity
  • Feodo Tracker
  • Forcepoint ThreatSeeker
  • Fortinet
  • G-Data
  • Google Safebrowsing
  • GreenSnow
  • Heimdal Security
  • IPsum
  • Juniper Networks
  • Kaspersky
  • Lionic
  • Malwared
  • MalwarePatrol
  • malwares.com URL checker
  • OpenPhish
  • Phishing Database
  • Phishtank
  • PREBYTES
  • Quick Heal
  • Quttera
  • Rising
  • Sangfor
  • Scantitan
  • SCUMWARE.org
  • Seclookup
  • securolytics
  • Snort IP sample list
  • SOCRadar
  • Sophos
  • Spam404
  • StopForumSpam
  • Sucuri SiteCheck
  • ThreatHive
  • Threatsourcing
  • Trustwave
  • URLhaus
  • URLQuery
  • Viettel Threat Intelligence
  • ViriBack
  • VX Vault
  • Webroot
  • Yandex Safebrowsing
  • ZeroCERT
  • 0xSI_f33d
  • AlphaSOC
  • ArcSight Threat Intelligence
  • AutoShun
  • Axur
  • Bfore.Ai PreCrime
  • Bkav
  • Cluster25
  • CSIS Security Group
  • Cyan
  • Ermes
  • GCP Abuse Intelligence
  • Gridinsoft
  • Hunt.io Intelligence
  • Lumu
  • MalwareURL
  • Netcraft
  • PhishFort
  • PhishLabs
  • PrecisionSec
  • SafeToOpen
  • Sansec eComscan
  • Underworld
  • VIPRE
  • Xcitium Verdict Cloud
  • ZeroFox

검색[편집 / 원본 편집]

해시, 도메인, IP 주소, URL를 검사하는 기능이다.

  • Abusix
  • Acronis
  • ADMINUSLabs
  • AILabs (MONITORAPP)
  • AlienVault
  • alphaMountain.ai
  • Antiy-AVL
  • benkow.cc
  • Bfore.Ai PreCrime
  • BitDefender
  • Blueliv
  • Certego
  • Chong Lua Dao
  • CINS Army
  • CMC Threat Intelligence
  • CRDF
  • Criminal IP
  • Cyble
  • CyRadar
  • desenmascara.me
  • DNS8
  • Dr.Web
  • EmergingThreats
  • Emsisoft
  • ESET
  • ESTsecurity
  • Forcepoint ThreatSeeker
  • Fortinet
  • G-Data
  • Google Safebrowsing
  • GreenSnow
  • Heimdal Security
  • IPsum
  • Juniper Networks
  • Kaspersky
  • Lionic
  • Malwared
  • MalwarePatrol
  • malwares.com URL checker
  • OpenPhish
  • Phishing Database
  • Phishtank
  • PREBYTES
  • Quick Heal
  • Quttera
  • Scantitan
  • SCUMWARE.org
  • Seclookup
  • securolytics
  • Snort IP sample list
  • Sophos
  • Spam404
  • StopForumSpam
  • Sucuri SiteCheck
  • ThreatHive
  • Threatsourcing
  • Trustwave
  • URLhaus
  • URLQuery
  • Viettel Threat Intelligence
  • ViriBack
  • VX Vault
  • Webroot
  • Yandex Safebrowsing
  • ZeroCERT
  • 0xSI_f33d
  • AlphaSOC
  • ArcSight Threat Intelligence
  • AutoShun
  • Axur
  • Bkav
  • Cluster25
  • CSIS Security Group
  • Cyan
  • Ermes
  • GCP Abuse Intelligence
  • Gridinsoft
  • Hunt.io Intelligence
  • Lumu
  • MalwareURL
  • Netcraft
  • PhishFort
  • PhishLabs
  • PrecisionSec
  • SafeToOpen
  • Sansec eComscan
  • SecureBrain
  • Segasec
  • SOCRadar
  • Underworld
  • VIPRE
  • Xcitium Verdict Cloud
  • ZeroFox
  • zvelo

역사 및 연혁[편집 / 원본 편집]

VirusTotal은 2004년 Hispasec Sistemas의 연구진에 의해 개발되어, 초기에는 파일 및 URL에 대한 단순 악성코드 검출 기능을 제공하는 도구로 시작되었다.

  • 2004년: 스페인 Hispasec Sistemas에서 VirusTotal 출시.
  • 2012년: 구글이 VirusTotal을 인수하여 글로벌 보안 인프라와 기술력을 결합.
  • 2018년: VirusTotal의 운영 주체가 구글의 보안 전문 자회사 Chronicle으로 전환되어, 더욱 확장된 클라우드 기반 분석 및 위협 인텔리전스 서비스를 제공하기 시작함.

이러한 변천 과정을 통해 VirusTotal은 단순 파일 스캐너에서 고급 분석 도구와 통합 보안 플랫폼으로 발전하였으며, 연구원, 보안 전문가, 기업 및 일반 사용자 모두에게 필수적인 사이버 보안 도구로 자리매김하게 되었다.

주요 기능과 특징[편집 / 원본 편집]

VirusTotal의 가장 큰 강점은 단일 플랫폼에서 다수의 보안 검사 도구와 정보를 통합하여 제공한다는 점이다.

  • 다중 스캐닝 엔진 통합: 사용자가 파일을 업로드하거나 URL, IP 주소, 도메인 등을 입력하면, 70개 이상의 상이한 안티바이러스 엔진과 URL/평판 스캐너가 동시에 검사하여 종합적인 결과를 산출한다. 이를 통해 단일 엔진의 한계를 보완하고, 오탐(False Positive) 및 미탐지 사례를 최소화할 수 있다.
  • 파일 형식 및 용량 지원: 실행 파일, 문서, 스크립트, 압축 파일 등 광범위한 형식의 파일을 지원하며, 최대 650MB 크기의 파일까지 분석할 수 있다.
  • URL 및 도메인 분석: 웹사이트 주소의 피싱, 악성코드 배포, 스팸 활동 등을 신속하게 평가할 수 있으며, IP 주소와 도메인의 평판 분석 기능을 통해 과거 및 현재의 위험도를 확인할 수 있다.
  • 커뮤니티 및 데이터 공유: 검사 결과는 VirusTotal의 공개 데이터베이스에 저장되어, 전 세계의 보안 전문가와 연구원들이 해당 정보를 활용하여 위협 인텔리전스를 공유하고 개선하는 데 기여한다.
  • API 연동 및 자동화 지원: VirusTotal은 REST API를 제공하여, 기업과 보안 솔루션 개발자가 자동화된 대량 분석, 실시간 알림, 통합 모니터링 시스템 등에 쉽게 연동할 수 있도록 지원한다.

고급 분석 기능[편집 / 원본 편집]

VirusTotal은 기본적인 정적 분석을 넘어 심층적인 동적 및 행위 기반 분석 기능도 제공한다.

  • 샌드박스 분석: 의심스러운 파일을 안전한 가상 환경(샌드박스)에서 실행시켜, 시스템 변경사항, 네트워크 통신, 프로세스 생성 등 파일의 실제 동작을 기록 및 분석한다. 이를 통해 악성코드의 동적 행위를 평가하고, 숨겨진 위협 요소를 파악할 수 있다.
  • YARA 규칙 및 사용자 정의 탐지 : 보안 전문가들이 직접 작성한 YARA 규칙을 기반으로, 특정 악성 행위나 패턴을 탐지할 수 있으며, 조직 특화 위협에 대응하기 위한 맞춤형 분석이 가능하다.
  • RetroHunt : 과거에 업로드된 파일들을 대상으로 새로운 위협 패턴이나 제로데이 공격과 관련된 흔적을 회고적으로 검색할 수 있는 기능을 제공하여, 장기적인 위협 분석 및 추적이 용이하다.
  • 머신러닝 기반 탐지 : 최신 연구 결과와 AI 기술을 접목하여, 기존의 시그니처 기반 탐지를 보완하는 머신러닝 모델을 통한 악성코드 분류 및 예측 기능이 지속적으로 강화되고 있다.

이와 같이 VirusTotal은 정적, 동적, 그리고 AI 기반 분석 기법을 종합적으로 활용하여, 사용자가 보다 심도 있는 위협 평가를 수행할 수 있도록 돕는다.

서비스 모델[편집 / 원본 편집]

VirusTotal은 기본적으로 무료 서비스를 제공하면서, 다양한 사용자 계층의 요구에 부응할 수 있도록 유료 프리미엄 서비스도 함께 운영하고 있다.

  • 무료 서비스 : 웹사이트를 통해 누구나 파일, URL, IP, 도메인 분석을 요청할 수 있으며, 검사 결과는 기본적인 정보와 함께 다수의 보안 엔진 판정을 종합하여 제공된다. 단, 일일 검사 수량 및 일부 고급 기능에 제한이 있다.
  • 프리미엄 API 및 기업용 솔루션 : 보안 전문가 및 기업 고객을 위해 대량의 자동화된 검사, 프라이빗 스캔(민감 정보 보호), 상세 분석 리포트, 실시간 알림 등 고급 기능을 제공한다. API를 통한 통합으로 SIEM, SOAR 등 기존 보안 인프라와 원활한 연동이 가능하며, 민감한 파일을 외부에 노출하지 않고 비공개로 분석할 수 있는 옵션을 지원한다.

이와 같이 VirusTotal은 일반 사용자부터 대기업 보안팀까지 다양한 고객층에 맞춘 유연한 서비스 모델을 통해, 전 세계 사이버 보안 생태계에 중요한 역할을 하고 있다.

실제 활용 사례[편집 / 원본 편집]

VirusTotal은 전 세계 보안 전문가, 기업 보안팀, 연구기관, 심지어 일반 사용자까지 광범위하게 활용되고 있다.

  • 보안 전문가 및 연구원 : 새로운 악성코드 샘플이 발견되면, VirusTotal을 통해 신속하게 해당 파일의 위험성을 평가하고, 여러 보안 엔진의 판정을 비교 분석하여 위협의 특성과 동향을 파악한다. 이를 바탕으로 악성코드 패턴 분석 및 대응 전략 수립에 기여한다.
  • 기업 보안팀 : 이메일 첨부파일, 다운로드 파일, 또는 외부에서 유입되는 데이터를 VirusTotal로 검사하여, 내부 네트워크로의 악성 코드 유입을 사전에 차단하며, 사고 발생 시 신속한 분석과 대응에 활용한다.
  • 일반 사용자 : 프로그램 다운로드 전 안전성 검사를 통해 컴퓨터 바이러스, 스파이웨어, 랜섬웨어 등의 위협을 미연에 방지하며, 브라우저 확장 프로그램을 통해 실시간 URL 검사를 수행할 수 있다.
  • 학술 및 정책 연구 : VirusTotal의 방대한 데이터베이스는 사이버 위협 인텔리전스 연구, 악성코드 진화 분석, 국가 단위의 사이버 보안 정책 수립에도 중요한 참고 자료로 활용된다.

보안과 프라이버시[편집 / 원본 편집]

VirusTotal을 이용할 때 가장 중요한 고려 사항 중 하나는 프라이버시 보호이다.

  • 데이터 공개성 : 무료 서비스를 통해 업로드된 파일은 기본적으로 공개 데이터베이스에 저장되며, 전 세계 사용자가 접근할 수 있다. 이로 인해 민감한 개인정보나 기업 기밀 정보가 포함된 파일은 업로드하지 않는 것이 바람직하다.
  • 프라이빗 스캔 옵션 : 기업이나 민감 데이터를 다루는 사용자는 프리미엄 API를 통해 비공개(프라이빗) 검사를 선택하여, 데이터가 외부에 노출되지 않도록 보호할 수 있다.
  • 오탐 및 판정 오류 : 여러 보안 엔진의 결과를 종합하는 특성상, 때로는 정상 파일이 악성으로 오탐되는 경우도 발생할 수 있다. 검사 결과는 참고 자료로 활용하고, 추가적인 분석과 다른 보안 정보와의 종합적 판단이 필요하다.
  • 업체별 진단 기준의 차이: 업체별로 같은 파일에 대해 악성 또는 정상으로 판단[2][3] 할 수 있다. 따라서 진단명과 함께 몇개의 업체에서 진단했는지, 메이저 업체들의 진단 여부 등을 파악 후 판단해야 한다.

발전 방향 및 미래 전망[편집 / 원본 편집]

VirusTotal은 지속적으로 기술 발전과 서비스 개선을 추진하고 있다.

  • 기술 혁신 : 머신러닝, 인공지능, 행동 분석 등의 최신 기술을 도입하여, 기존의 시그니처 기반 탐지를 보완하고, 보다 정밀한 악성코드 분류 및 예측 기능을 강화하고 있다.
  • 서비스 확장 및 통합 : Google Cloud 및 Chronicle과의 긴밀한 연계를 통해, SIEM, SOAR, EDR 등 타 보안 솔루션과의 통합을 더욱 강화하고 있으며, 대규모 데이터 분석 및 실시간 위협 모니터링 기능을 확대하고 있다.
  • 커뮤니티 및 협업 강화 : 전 세계 보안 전문가 및 연구원들의 참여를 독려하여, 위협 인텔리전스 데이터베이스의 정확성과 신뢰도를 높이고, 새로운 위협에 대한 대응 능력을 향상시키기 위한 공동 연구 및 정보 공유가 활발히 이루어지고 있다.
  • 글로벌 보안 생태계 기여 : VirusTotal의 방대한 데이터와 분석 결과는 사이버 위협 동향 파악, 국가 및 국제 보안 정책 수립, 산업 표준 마련 등 다양한 분야에서 중요한 역할을 수행하며, 앞으로도 핵심 인프라로서의 위상을 유지할 것으로 전망된다.

각주[편집 / 원본 편집]

  1. SHA-256 해시
  2. 보안 업체마다 사용하는 엔진, 시그니처 DB, 머신러닝 모델, 행위 분석 기준 등이 다르기 때문이다.
  3. 특히, 일부 업체는 의심스러운 파일을 보수적으로 탐지하는 반면, 다른 업체는 좀 더 엄격한 기준을 적용할 수도 있다.