VirusTotal: 파일·URL·IP 악성 여부, 검색 한 번이면 끝
- 한 번의 악성 링크 사고를 계기로, VirusTotal을 실무에서 어떻게 써야 하는지 흐름대로 정리했습니다.
- 파일·URL 검사 결과를 “숫자”로만 보지 않고, 실제 대응 우선순위로 바꾸는 방법을 바로 가져갈 수 있습니다.
유저가 올린 콘텐츠에 악성 링크가 있었던 날
전 회사에서 디자인 툴 서비스를 운영할 때 일입니다. 유저가 직접 디자인을 퍼블리시할 수 있는 구조였는데, 어느 날 한 유저로부터 신고가 들어왔습니다. 특정 디자인을 다운로드하면 백신이 반응한다는 내용이었습니다. 확인해 보니 퍼블리시된 콘텐츠 안에 악성 링크가 포함되어 있었습니다.
이때 처음으로 VirusTotal에 해당 URL을 넣어서 분석해 봤는데, 여러 엔진에서 멀웨어로 탐지되는 걸 확인할 수 있었습니다. 결국 VirusTotal 측에 컨택해서 문제를 해결했습니다. 이 경험 이후로 의심스러운 파일이 있을 때 가끔 VirusTotal을 쓰게 됐습니다.
VirusTotal이 뭔가
2004년 스페인 보안 회사 Hispasec Sistemas에서 만든 VirusTotal은 2012년 Google에 인수되었고, 현재는 Google Cloud 산하 Google Security Operations 소속입니다. 파일, URL, 도메인, IP 주소 등을 여러 보안 엔진으로 동시에 분석해주는 서비스로, 핵심은 단일 엔진이 아니라 70개 이상의 엔진을 한 번에 돌린다는 점이죠. A 엔진이 놓친 걸 B 엔진이 잡아주는 식입니다. 물비로 사용 가능하고, 브라우저에서 바로 접근할 수 있습니다.
핵심 기능 3가지
File — 파일 업로드 검사
의심스러운 파일을 드래그 앤 드롭하면 됩니다. 업로드 후 각 엔진별 탐지 결과가 나오고, 파일 해시(MD5, SHA-256 등)도 함께 제공됩니다. 이전에 누군가 같은 파일을 업로드한 적이 있다면 기존 분석 기록도 바로 확인할 수 있습니다.
URL — 웹사이트 안전성 확인
링크가 수상할 때 URL을 붙여넣으면 피싱 사이트인지, 악성 코드를 배포하는 사이트인지 확인할 수 있습니다. 도메인 정보, 서버 위치, 과거 분석 이력까지 한눈에 볼 수 있습니다.
Search — 해시·도메인·IP 검색
파일을 직접 올리지 않아도 해시값만 있으면 검색이 가능합니다. 도메인이나 IP 주소도 검색할 수 있어서, 특정 서버가 악성 활동에 연루된 적이 있는지 빠르게 확인할 수 있습니다.
마치며
지난번 OpenClaw 보안 관련 글에서 VirusTotal이 언급됐는데, 마침 예전에 적어놓고 올리지 않았던 아티클이 생각나서 이번에 다시 정리해서 올립니다. 의심스러운 파일이나 URL이 있을 때, 백신 하나에 의존하지 말고 VirusTotal에 한 번 돌려보는 습관을 들이면 좋겠습니다.
