백신(안티바이러스) 제품의 성능이나 기능을 평가하는 기준이 되는 것이 바로 공신력있는 평가 기관에서 시행하는 인증 시험을 통과하는지 여부입니다.
이러한 평가기관이 전세계적으로 서너개 정도 존재하고 있으며, 가장 대표적인 기관이 VB100, ICSA Labs, AV-Comparatives 등이 있습니다.
하여튼, 평가 기관 중의 하나인 ICSA Labs에서는 맥 OS에서 동작하는 안티바이러스 제품군에서 최초로 ESET NOD32가 인증을 통과했다는 소식을 전해 드립니다.
일반적으로 리눅스나 맥 OS에서는 바이러스가 감염되지 않는다는 것이 정설로 알려지고 있지만, 실제로 감염되는 사례가 종종 발견되고 있습니다. 또한, 가정에서도 보통 1대 이상의 컴퓨터를 사용하기 때문에 공유 폴더나 USB 메모리를 통해 바이러스가 감염될 가능성이 높습니다.
인증을 통과한 제품은 ESET NOD32 Antivirus Business Edition for Mac OS X로 실시간 감시 기능까지 제공하고 있습니다.
안티바이러스(컴퓨터 백신) 업체들은 아직까지도 전통적인 수작업 및 시그내처 기반으로 동작하고 있으며, 일부 제품에서 인공지능과 유사한 휴리스틱, 그리고 최근에 조금씩 선보이는 클라우드 기반의 평판 시스템으로 진화해 가고 있습니다.
하지만, 최근 외국의 한 업체에서 조사한 바에 따르면 안티바이러스 업체가 악성코드와 같은 보안 위협을 제대로 대처하지 못하고 있으며, 앞으로는 더욱 더 암울할 것이라고 전하고 있습니다.
NSS Labs는 보안 소프트웨어 테스트 업체로, 테스트에 별도의 비용을 청구하지 않는 독립적인 성격을 띠고 있습니다.
우리가 익히 알고 있는 바이러스 블러틴과 같은 평가 기관은 특정 업체에서 운영비의 일부분을 지원받기 때문에 이로 인해 의심의 눈초리가 있기도 합니다. 또한, 평가 방법에 있어서 단순하게 파일에 대한 검사, 사전 방어 검사, 루트킷 검사와 같이 획일화된 평가 방식을 통해 등급을 나누기 때문에 안티바이러스 제품의 성능을 100% 제대로 평가하지 못하는 면이 있습니다.
하여튼, NSS Lab에서는 실제 사용자가 웹 브라우저를 이용하여 인터넷을 사용하는 동안 얼마나 악성 프로그램에 노출되는지에 대한 평균적인 테스트 방법을 개발해 내었으며, 이러한 과정 속에서 수많은 웹사이트 내에서 악성 프로그램이 발견된다는 사실을 알게 되었습니다. 물론, 보안 소프트웨어가 이 악성 프로그램을 차단하는지 즉 진단하는지에 대한 기록을 남기는 평가 방법을 이용하고 있습니다.
하지만, 대부분의 기업에서는 새로운 변종 악성 프로그램에 대한 위협에 쉽사리 노출되어 있습니다. 만약 안티바이러스 업체에서 해당 샘플을 재빨리 입수하여 이를 진단하게 한다면 큰 문제 없이 해결할 수 있지만, 만약 어떤 업체에서도 이 샘플을 구하지 못한다면 커다란 피해로 이어질 수 있습니다.
하루에 약 5만 여개의 악성 프로그램이 새롭게 출현하고 있으며, 앞으로 숫자는 더욱 늘어날 것으로 보입니다.
따라서, 안티바이러스 업계에서는 늘어나는 악성 프로그램에 대응하기 위해 보다 나은 새로운 기술을 개발해야만 "인해 전술"에서 살아 남을 수 있을 것이라고 생각합니다.
참고로 국내의 안철수 연구소의 경우에는 ASD(Ahnla Smart Defense)라는 클라우드 기반의 서비스를 통해 최근에 보다 나은 성능을 보여 주고 있으며, 추가적인 연구로 보다 성능을 향상시킨다면 그만큼 효과적일 수 있다고 보여 집니다.
외국에서도 클라우드 기반의 다양한 보안 제품이 작년부터 꾸준이 선보이고 있으며 자세한 내용은 아래 링크를 참고하십시오.
VB100에서는 매달 하나의 주제를 선정하여 보안 제품의 비교 평가 결과를 발표합니다. 이번 달에는 윈도우 XP 운영체제에서 수행되었으며, ITW(In The Wild, 전세계적으로 적어도 2 군데 이상의 지정학적 위치에서 실제로 발견된 악성 프로그램)에 대해 진단하였습니다.
총 60개의 제품이 선정되어 이 중 40개의 제품이 테스트를 통과했습니다. 이번에는 의외로 카스퍼스키가 한 개의 ITW를 놓치는 바람에 떨어지는 결과를 보이고 있습니다. 다른 유명한 보안 제품은 대부분 안전하게 통과했습니다.
# 평가를 통과한 제품 Agnitum Outpost BitDefender AntiVirus Bullguard Bullguard CA eTrust ESET NOD32 F-Secure Anti-Virus 2008 GDATA Anti-virus Grisoft AVG McAfee VirusScan Microsoft Forefront MWTI eScan PCTools Anti-Virus Quick Heal Quick Heal Symantec Endpoint Protection VirusBuster VirusBuster
# 평가를 통과하지 못한 제품 AEC Trustport Antivirus Alwil avast! Avira AntiVir CA Antivirus Doctor Web Dr. Web Fortinet Forticlient Frisk F-PROT Ikarus Virus Utilities Iolo Antivirus Kaspersky Anti-Virus Kingsoft AntiVirus Norman Virus Control PCTools Spyware Doctor Redstone Redprotect Rising Antivirus Sophos Anti-Virus Trend Micro OfficeScan
참고로, 위의 결과가 바이러스를 잘 잡는다 못 잡는다의 핵심적인 기준이 될 수는 없다는 점을 주의하시기 바랍니다.
안티 바이러스, 즉 컴퓨터에 감염되는 바이러스를 진단하여 치료해 주는 프로그램을 말합니다. 요즘에는 바이러스뿐만 아니라 웜, 악성 코드 등 다양한 위협적인 요소들도 포함합니다.
안티 바이러스 제품에는 국내에서만 봐도 V3(안랩), 바이로봇(하우리) 등이 있으며 외국까지 언급한다면 실로 수십여 가지 이상의 제품들이 개발되어 판매되고 있습니다. 바이러스토탈(http://www.virustotal.com)과 같이 바이러스 여부를 진단해 주는 사이트에서도 대략 2-30가지의 안티 바이러스 제품이 사용됩니다.
컴퓨터 사용자가 어떤 기준을 가지고 안티 바이러스 제품을 구매(또는 무료제품이면 사용)하는 것일까요? 오늘은 이 부분에 대해서 한번 썰을 풀어 볼까 합니다.
예를 들어, 컴퓨터 부품 중의 그래픽 카드를 예로 들어 보면, 칩셋에 따라 다양한 제품이 출시됩니다. 컴퓨터 잡지 또는 컴퓨터 관련 웹 사이트에서는 이러한 제품을 수집하여 테스트 전용 프로그램이라든지, 실제 게임과 같은 프로그램을 실행하여 가급적 객관적으로 수치화하여 제공합니다.
책을 읽는 독자나 웹 사이트를 방문하는 사람은 이러한 수치를 바탕으로 자기가 사용할 수 있는 여력이 되는, 자기가 원하는 성능을 가진 제품을 구매하는데 어느 정도 기준점을 제시해 주게 됩니다.
안티 바이러스 쪽은 어떨까요?
국내에서는 아직 안티 바이러스 제품의 진단 및 치료에 대해 어느정도 공신력을 가진 기관(또는 웹사이트)가 아직 없습니다. 외국에는 서너 개의 공신력있는 기관이 있으며, 일부 사이트는 사이비(!) 논란에 시달리곤 합니다. 아래는 어느정도 알려져 있는 사이트들입니다(주: 기관이나 사이트를 같은 개념으로 표기함).
안티 바이러스 제품간의 테스트를 진행할 때에, 자주 지적되는 부분을 정리해 보면 다음과 같습니다.
첫 째, 바이러스 샘플의 채택 여부입니다. VB100에서는 전세계에서 지역적으로 구분하여 적어도 2번 이상 감염이 확인된 샘플에 대해서만 다룹니다. 이는 어찌 보면 가장 합당한 방법일 수 있습니다. 왜냐 하면, 아무리 샘플이 많다 하더라도 실제로 감염이 나타난 '실전에서 나타난 샘플'보다 나은 것은 없기 때문입니다.
하지만 일부 기관에서는 시만텍 등과 같은 안티 바이러스 벤더에게서 바이러스 샘플을 제공받아 테스트를 진행하는 경우가 있습니다. 이러한 경우에는 '약간의 공정성을 의심할 수 밖에 없는' 테스트라고 할 수 있습니다.
둘 째, 테스트를 진행하는 악성 프로그램에 대한 명확한 정의가 불분명합니다. 정의라기 보다는 어떤 영역(바이러스, 웜, 악성 코드, 봇, 루트킷 등등)에 악성 프로그램(malware)를 분류해야 하는지에 대한 논란입니다.
과거에는 바이러스면 바이러스, 웜이면 웜 이렇게 자기만의 명확한 활동 분야(!)가 있었고 이를 통해 안티 바이러스 개발 업체는 손쉽게 분류할 수 있었습니다. 하지만, 지금은 다양한 감염 경로를 가지고 있고, 다양한 전파 경로를 가진 악성 프로그램이 많습니다.
예를 들어, 감염시에는 악성 코드를 통해 감염되지만 감염된 이후에는 다른 컴퓨터에 네트워크 또는 이메일을 통해 감염시킨다고 가정해 본다면 이는 악성 코드라고 분류해야 할지 아니면 파일 바이러스라고 분류해야 할지 어중간합니다.
셋 째, 진단하는 방식에 대한 논란입니다. 일반적으로 하드 디스크에 있는 바이러스를 검사할 때에는 '수동 검사(On-demand Scan)'라고 합니다. 그리고 메모리에 상주하고 있으면서 실시간으로 바이러스가 감염될 경우 이를 진단하여 처리하는 방식을 '실시간 감시 - Resident/Realtime Scan)이라고 합니다.
일반적으로 안티 바이러스 제품은 수동 검사뿐만 아니라 실시간 감시 기능을 제공합니다. 물론 일부 무료로 제공되는 제품은 실시간 감시 기능이 빠져 있는 경우도 있습니다.
사용자들의 컴퓨터 환경에서는 수동 검사도 하지만 대부분 실시간 검사 기능을 켜둡니다. 어떤 바이러스는 실시간 검사시에 제대로 잡아내고 수동 검사시에는 검출되지 않는 경우가 있습니다. 이럴 때에는 어느 한 부분 검사가 실패(FAIL)로 나오게 됩니다. 하지만, 사용자 입장에서는 진단하여 처리하였으니 안티 바이러스 벤더들은 성공(SUCCESS)라고 주장하기도 합니다.
이러한 연유로 인해 안티바이러스 제작사들은 불만을 표출하게 되었으며 이에 대한 자세한 내용은 아래 링크를 참고하세요.
백신 테스트에 사용된 제품은 모두 37 종이었으며 이중에서 10 개 제품이 테스트에서 실패했습니다. 한가지 호기심을 자극하는 이슈가 있었는데 바로, 가장 정확하면서도 많이 잡는다고 정평이 나 있는 카스퍼스키, 적절한 성능과 진단율 그리고 무료 백신을 제공하는 그리소프트(grisoft), 빠른 속도를 자랑하는 F-Secure - 이 백신들이 모두 ITW(In The Wild) 테스트에서 실패했습니다.
회사 담당자와의 인터뷰를 통해 어찌된 사연인지 기사가 올라와 있어 심심풀이로 읽으시라고 정리해서 올려 드립니다.
카스퍼스키(Kaspersky Anti-Virus 6.0.2.621)은 allaple이라는 이름을 가진 네트워크 웜을 검출해 내지 못해 테스트에 실패했습니다. 관계자는, allaple 웜은 최초 2월달에 시그너처를 추가하였으며, VB100 테스트를 하는 도중에는 allaple 서명을 최적화하는 과정 중이어서 바이러스 데이터베이스에 추가하지 않은 상태라고 밝혔다고 합니다.
또한, 이 웜이 데이터베이스에 빠져 있었지만 실제 이 웜으로 인해 영향을 받은 고객은 없었다고 단언했습니다. 왜냐하면 보안 슈트에는 바이러스 백신뿐만 아니라 방화벽, 행동 분석(behavioural analysis), 휴리스틱 등이 포함되어 있으나, VB100 테스트에서 행동 분석 기술을 사용하지 않았기 때문이라고 합니다.
그리소프트(AVG 7.5 Professional Edition)은 W32 agobot 트로이 목마의 변형을 진단하지 못해 실패했다고 합니다. 하지만, 안티 스파이웨어에서는 이미 이 웜을 진단한다고 합니다. AVG는 필요시(on-demand) 검사를 통해 스파이웨어 진단에서 이를 검출해 냈지만, VB100 테스트는 실시간(on-access) 검사를 진행하기 때문에 실패한 것이라고 밝혔습니다.
또한, 이 트로이 목마 감염으로 인해 고객이 기술 지원 요청을 한 기록은 없다고 밝혔지만, 테스트 결과에 대해서는 '매우 실망'했다고 밝혔습니다.
F-Secure(F-Secure's Protection Service for Customers 7.00 387)도 카스퍼스키와 마찬가지로 allaple 웜을 검출해내지 못해 실패하였습니다. 관계자는 VB100 테스트 당시 최신의 바이러스 데이터베이스 업데이트가 접수되지 않는 등의 오류가 있었다고 지적하면서, 오프라인으로 테스트를 진행했기 때문에 자동 업데이트의 잇점을 누릴 수 없었다고 언급했습니다.
한편, 최근에 급부상하고 있는 마이크로소프트의 OneCare와 ForeFront 제품은 VB100 테스트를 통과하였습니다. 작년에 OneCare는 테스트에 실패하였으며, 올해 초에는 아웃룩 파일에서 삭제하는 일부의 버그가 나오기도 하였습니다. 마이크로소프트의 저력이 한번 더 과시되는 테스트가 아니었나 싶습니다.
마이크로소프트(MS)의 새로운 PC 운영체제(OS) '윈도 비스타'의 보안 기능이 국제적인 인증을 받지 못한 것으로 드러나 큰 충격을 던져주고 있다.
13일 관련업계에 따르면 MS 윈도 비스타에 내장된 보안솔루션 '윈도 라이브 원케어'가 국제적인 보안인증기관 '바이러스 블러틴'의 인증을 받는데 실패한 것으로 밝혀졌다.
바이러스 블러틴은 '체크마크', '익사랩(ICSA)' 등과 함께 세계
3대 보안 인증기관으로 꼽힌다. 따라서 바이러스 블러틴이 인증을 거부했다면 그 소프트웨어의 보안 기능은 문제가 있다는 뜻이다.
MS는 뛰어난 검색 및 보안 기능이 윈도 비스타의 강점이라고 널리 선전해 왔으나 국제적인 망신을 당하게 된 셈이다.
'윈도 라이브 원케어'는 안티 바이러스ㆍ안티 스파이웨어ㆍ백업 등의 기능을 갖춘 제품으로 MS가 보안 서비스 시장에 진출하면서 내놓은 첫번째 작품이다.
보안업계의 한 관계자는 "윈도 비스타의 보안 기능은 알려진 것과는 달리 보완해야 할 필요성이 높은 것으로 드러났다"면서 "윈도 비스타를 무리 없이 사용하기까지는 다소 시간이 필요하다"고 말했다.
댓글을 달아 주세요