[MOONSLAB.com]

지난 1월 7일, 트렌드 마이크로는 안드로이드 장비에서 사용할 수 있는 보안 보안 소프트웨어인 Mobile Security for Android 제품을 출시했습니다. 다만, 무료 제품은 아니지만, 상대적으로 저렴한 편입니다.


주요 특징은 다음과 같습니다.

• 안전한 웹 서핑
• 장비 관리
• 다운로드한 파일 보호
• 전화 및 문자 필터링

보다 자세한 사항은 아래 제품 홈페이지를 참고십시오.

http://us.trendmicro.com/us/products/personal/mobile-security-for-android/index.html

감사합니다.

백신(안티바이러스)의 성능을 논하는데 가장 많이 이용되는 항목이 바로 진단률(Detection Rate)입니다. 권위(!)있는 평가기관에서도 진단율과 오진율(False Positive), 그리고 검사하는 시간 등을 순서를 매기는 중요한 항목으로 배치하고 있습니다.

하지만, 사용자가 판단하고자 할 때에 진단율은 저멀리 하늘에 떠 있는 무지개와 같습니다. 보이기는 보이지만, 뜬구름처럼 사용자에게 현실적으로 다가오지 못하기 때문 아닐까 생각됩니다.

미국의 버지니아 주에 위치한 정보 보안 업체인 Cyveillance 사는 백신이 새로운 악성 프로그램(Malware)가 출현하고 나서 어느 정도 시점에 이르러야 진단을 하게 되는지 흥미로운 실험을 한 결과를 공개했습니다.

현재 악성 프로그램은 하루에 적어도 수천에서 수만개 이상 새롭게 또는 변형되어 출현하고 있으며, 백신 업체에서는 시그내처, 휴리스틱, 클라우드 기반의 기술 등등 다양하면서도 복잡한 기술을 결합하여 악성 프로그램에 대응하는 형국입니다.

백신업체에서는 새로운 악성 프로그램이 출현하게 되면, 이에 대한 정보를 습득하고 난 후 일정 기간(1-2일, 위험하지 않을 경우에는 수일 더 추가) 내에 진단할 수 있을 것이라고 생각할 수 있습니다만, 현실을 그렇지 않다는 것을 보여주고 있습니다.


이 연구의 목적은 새롭게 출현하는 악성 프로그램에 대해 전통적인 시그내처 방식을 이용하여 진단하는 유명한 안티바이러스 제품이 얼마나 빨리 대응하는 지 알아 보기 위함입니다.

이용된 악성 프로그램은 해당 회사가 보유한 기술로 습득한 것으로 2010년 5월 20일부터 22일(3일)간, 약 2억개의 도메인, 1억9천만개의 웹사이트, 8천만개의 블로그, 9만개 이상의 게시판, 수천개의 IRC/채팅방, 수십억 통의 이메일, 짧은 URL 서비스 등에서 수집한 것입니다.

다만, 사용된 샘플은 인터넷에서 주로 수집한 것으로 실제 우리가 USB로 감염되거나, 감염된 파일을 다운로드하는 등 현실적인 사용과는 약간 차이가 있을 수 있습니다만, 어느정도 감안하여 이해하시기 바랍니다.

<그림 1. 악성 프로그램 출현 후 1일 이내에 진단한 비율>

NOD32(38%)이 가장 높은 진단율을 보였으며, McAfee(23%), F-Secure(22%)가 그 뒤를 이었습니다.

<그림 2. 시일이 경과하면서 진단율이 증가>


<그림 3. 약 30일간 증가되는 진단율>

표에서 보듯이 보통 8일 정도 이후가 되어야 진단율이 약 90%정도 이릅니다. 즉, 즉각적인 대응은 솔직이 실망스럽고, 일주일의 시간 후에서야 어느정도 된다는 것입니다. 그런데, 그러는 동안에 새로운 악성 프로그램이 휴가를 가는 것은 아니지 않을까요?

마지막으로 악성 프로그램이 출현한 후에 이를 대응 즉, 진단하는데 걸리는 평균 시간은 아래와 같습니다.

<그림 4. 악성 코드에 대응하는 데 걸리는 평균 시간>

위의 표에서 NOD32는 약 2.2일이 소요되어 1등을 차지했습니다. 그 뒤를 Kaspersky(3.8일) 순서입니다. Sophos, Trend Micro의 경우에는 약간 무척 부진한 상황을 보여 주고 있습니다.


지금까지 나온 결과를 보면, 솔직이 실망감이 몰려 들 수 밖에 없습니다.

백신 업체에서는 이러한 대량 물량 공세에 효과적으로 대응할 수 있는 기술을 마련해야 할 것으로 보입니다.

사용자 측면에서는 백신이 모든 것을 막아 줄 수 있다는 환상을 버리고, 이제 보안은 내 자신이 먼저 지켜야 한다는 생각을 가져야 하며, 보다 안전하게 인터넷을 사용할 수 있는 방법을연구하여 이용해야 할 것입니다.

감사합니다.

출처: http://www.cyveillance.com/web/docs/WP_MalwareDetectionRates.pdf

  사이버 범죄에 대한 국회 차원의 보고서가 호주에서 발간되었는데 여기에는 ISP(인터넷 버비스 사업자)는 인터네 사용자가 백신이나 방화벽을 사용토록 규제하는 사항을 권고하는 사안이 포함되어 있습니다.

호주 국회의장인 벨린다 닐(Belinda Neal)은 최근에 발생하는 악성 프로그램의 막대한 증가와 기타 사이버 범죄에 대한 사항을 담고 있는 "Hackers, Fraudsters and Botnets"이라는 262 페이지짜리 보고서를 공개했습니다.

여기서 주목할 만한 사항은 바로 인터넷을 이용하는 사용자들이 백신(안티바이러스)와 방화벽 소프트웨어를 설치하게끔 강제화한다는 요지가 포함되어 있습니다.  또한 ISP에 처음 가입할 때에 크래커나 악성 코드로부터 사용자를 보호할 수 있도록 고객을 교육할 필요가 있다고 언급했습니다. 또한, 사용자 컴퓨터가 바이러스에 감염될 때에는 ISP에서 사용자의 접근을 제한하고, 최종적으로는 바이러스를 퇴치할 때까지 인터넷 연결을 아예 차단한다는 것입니다.

물론, 모든 사항을 법(률)로 정해서 규제한다는 것은 격변하는 IT 시대에 맞지 않을 수도 있습니다. 따라서, 필자는 다음과 같은 방안을 우리나라에서도 도입을 검토해 볼 필요가 있다고 생각됩니다.

인터넷 가입시 고객의 컴퓨터에 보안이 어느정도 갖추고 있는지 확인하는 과정이 필요합니다. 이를 위해서는,

• ISP 차원에서 충분한 성능을 제공하는 안티바이러스 제품을 제공. 또는 무료 안티바이러스 제품에 대한 안내 및 설치 지원
• 위에 대한 사항을 인터넷 설치 기사에게 교육 및 업무로 지시
  

감사합니다.

안티바이러스(컴퓨터 백신) 업체들은 아직까지도 전통적인 수작업 및 시그내처 기반으로 동작하고 있으며, 일부 제품에서 인공지능과 유사한 휴리스틱, 그리고 최근에 조금씩 선보이는 클라우드 기반의 평판 시스템으로 진화해 가고 있습니다.

하지만, 최근 외국의 한 업체에서 조사한 바에 따르면 안티바이러스 업체가 악성코드와 같은 보안 위협을 제대로 대처하지 못하고 있으며, 앞으로는 더욱 더 암울할 것이라고 전하고 있습니다.

NSS Labs는 보안 소프트웨어 테스트 업체로, 테스트에 별도의 비용을 청구하지 않는 독립적인 성격을 띠고 있습니다.

우리가 익히 알고 있는 바이러스 블러틴과 같은 평가 기관은 특정 업체에서 운영비의 일부분을 지원받기 때문에 이로 인해 의심의 눈초리가 있기도 합니다. 또한, 평가 방법에 있어서 단순하게 파일에 대한 검사, 사전 방어 검사, 루트킷 검사와 같이 획일화된 평가 방식을 통해 등급을 나누기 때문에 안티바이러스 제품의 성능을 100% 제대로 평가하지 못하는 면이 있습니다.

하여튼, NSS Lab에서는 실제 사용자가 웹 브라우저를 이용하여 인터넷을 사용하는 동안 얼마나 악성 프로그램에 노출되는지에 대한 평균적인 테스트 방법을 개발해 내었으며, 이러한 과정 속에서 수많은 웹사이트 내에서 악성 프로그램이 발견된다는 사실을 알게 되었습니다. 물론, 보안 소프트웨어가 이 악성 프로그램을 차단하는지 즉 진단하는지에 대한 기록을 남기는 평가 방법을 이용하고 있습니다.

하지만, 대부분의 기업에서는 새로운 변종 악성 프로그램에 대한 위협에 쉽사리 노출되어 있습니다. 만약 안티바이러스 업체에서 해당 샘플을 재빨리 입수하여 이를 진단하게 한다면 큰 문제 없이 해결할 수 있지만, 만약 어떤 업체에서도 이 샘플을 구하지 못한다면 커다란 피해로 이어질 수 있습니다.

하루에 약 5만 여개의 악성 프로그램이 새롭게 출현하고 있으며, 앞으로 숫자는 더욱 늘어날 것으로 보입니다.

따라서, 안티바이러스 업계에서는 늘어나는 악성 프로그램에 대응하기 위해 보다 나은 새로운 기술을 개발해야만 "인해 전술"에서 살아 남을 수 있을 것이라고 생각합니다.


참고로 국내의 안철수 연구소의 경우에는 ASD(Ahnla Smart Defense)라는 클라우드 기반의 서비스를 통해 최근에 보다 나은 성능을 보여 주고 있으며, 추가적인 연구로 보다 성능을 향상시킨다면 그만큼 효과적일 수 있다고 보여 집니다.

외국에서도 클라우드 기반의 다양한 보안 제품이 작년부터 꾸준이 선보이고 있으며 자세한 내용은 아래 링크를 참고하십시오.


감사합니다.

안티바이러스(컴퓨터 백신)에 포함되어 있는 필수 기능 중의 하나가 바로 실시간 감시(Realtime Protection)라고 볼 수 있습니다.

하지만, 서버와 같이 항상 동작하는 서비스를 제공하는 컴퓨터에서는 서비스가 이용하는 객체(파일, 레지스트리, 트래픽 등)는 안티바이러스의 실시간 감시 범위에서 제외되어야만 합니다.

그렇지 않은 경우에는 서비스의 중지와 같이 장애를 가져올 수 있습니다.

MS는 이에 대한 대비책으로 다음과 같이 예외 처리를 해야 하는 서버(서비스)의 목록을 제공하고 있습니다.

윈도우:

• KB822158 - 윈도우 운영체제

윈도우 / 액티브 디렉터리: 

• http://support.microsoft.com/kb/822158
• http://support.microsoft.com/kb/837932

• http://support.microsoft.com/kb/943556

 클러스터:

• http://support.microsoft.com/kb/250355

포어프론트:  

• http://support.microsoft.com/kb/943620
• http://technet.microsoft.com/en-us/library/cc707727.aspx

FRS:

• http://support.microsoft.com/kb/815263

SQL:

• http://support.microsoft.com/kb/309422

IIS:

• http://support.microsoft.com/kb/821749
  http://support.microsoft.com/kb/817442

DHCP:

• http://support.microsoft.com/kb/927059

SCOM / MOM:

• http://support.microsoft.com/kb/975931

Hyper-V:

• http://support.microsoft.com/default.aspx/kb/961804

익스체인지:

• Exchange 2010: http://technet.microsoft.com/en-us/library/bb332342.aspx
• Exchange 2007: http://technet.microsoft.com/en-us/library/bb332342(EXCHG.80).aspx
• http://support.microsoft.com/kb/328841
• http://support.microsoft.com/kb/823166
• http://support.microsoft.com/kb/245822
• http://technet.microsoft.com/en-us/library/bb332342(EXCHG.80).aspx
• http://technet.microsoft.com/en-us/library/bb332342.aspx

 쉐어 포인트:

• http://support.microsoft.com/kb/952167
  http://support.microsoft.com/kb/320111
  http://support.microsoft.com/kb/322941

SMS:

• http://support.microsoft.com/kb/327453

ISA:

• http://support.microsoft.com/kb/887311

WSUS:

• http://support.microsoft.com/kb/900638

SBS:

• http://support.microsoft.com/kb/885685

 Med-V

• Recommended Anti-Virus exclusions for MED-V client and workspace installations

시스템 센터:

• Recommendations for antivirus exclusions in MOM 2005 and Operations Manager 2007

기타:

http://blogs.technet.com/jeff_stokes/archive/2010/05/19/anti-virus-exclusions-and-you.aspx

출처: http://social.technet.microsoft.com/wiki/contents/articles/av-exclusion-list.aspx

최근에는 아이폰과 같은 모바일 기기가 대세입니다. 모바일 기기라기 보다는 스마트폰이라고 할 수 있습니다.

스마트폰에도 윈도우 모바일, 심비안과 같이 모바일용 운영체제가 사용되고 있으며, 이러한 운영체제에서도 악성 프로그램(바이러스)가 출현하여 실제 피해를 주고 있는 경우가 많습니다.

소개할 자료는 윈도우 모바일, 심비안에서 사용할 수 있는 안티바이러스 제품에 대한 것입니다.

제품 이름	운영 체제	가격	비고
avast! PDA Edition	Palm OS, Windows CE, Windows Mobile 5	19.95 달러
BullGuard Mobile Antivirus	Windows Mobile 5.0+, Symbian S60 v9.x, Symbian UIQ v3.x	39.95 달러
ESET Mobile Antivirus	Windows Mobile 5.0(PocketPC/Smartphone), Windows Mobile 6.0(Std/Pro), Windows Mobile 6.1(Std/Pro)	24.95달러	연간
F-Secure Mobile Security for Business	Symbian S60 3rd/5rd 에디션, UIQ, Windows Mobile 5.9(PocketPC/Smartphone), Windows Mobile 6.0(Std/Pro)	39.95달러
Kaspersky Mobile Security	Windows Mobile 5.0/6.0/6.1/6.5, Bymbian S60 9.1/9.2/9.3/9.4 (노키아 전용)	29.95달러
McAfee Mobile Security for Enterprise	Windows Mobile 5.(PocketPC/Smartphone), Windows Mobile 6.0(Std/Pro)		미공개
Norton Smartphone Security	Windows Mobile 5.(PocketPC/Smartphone), Windows Mobile 6.0(Std/Pro), Symbian OS9(S60 시리즈, UIQ 3.0)	29.95달러
TrendMicro Mobile Security	Windows Mobile 5.(PocketPC/Smartphone), Windows Mobile 6.0(Std/Pro), Symbian 9.1/S60 3rd/5th 에디션		미공개

모바일 운영체제가 매우 다양하기 때문에 자신이 보유한 모바일 기기에 맞는 적합한 제품을 선택하는 것이 중요합니다.

참조: http://blogs.techrepublic.com.com/smartphones/?p=910

일반적으로 리눅스와 같은 유닉스 운영체제에서는 바이러스가 감염되지 않는다고 알려져 있습니다. 하지만, 실제 사용환경을 보면, 리눅스를 윈도우 네트워크 내에 포함시켜 사용하기 때문에 정확히 말하자면, 리눅스 운영체제 내에서 바이러스에 감염되는 것이 아니라, 공유 폴더와 같은 곳을 이용하여 감염을 전파하는 매개체가 되곤 합니다.

eScan에서는 리눅스 운영체제를 위한 안티바이러스 제품의 최신 버전 V3.0을 발표했습니다. eScan에 따르면 이 제품은 리눅스 데스크탑과 파일 서버에 적합하다고 합니다.

이 제품은 레드햇 배포판 뿐만 아니라, 데비안, 페도라, 슬랙웨어, SUSE, 우분투 등에서 사용이 가능하다고 합니다. 자세한 사항은 아래 링크를 참고하십시오.

http://www.escanav.com/english/content/products/escan_linux/linux_products.asp

감사합니다.

최근 중국의 CERT에서 조사한 보고서의 일부분이 뉴스에 나와서 정리해 봅니다.

MyComGuard는 국내에서 출시된 프로그램으로 외국에서는 가짜 백신류로 분류되는 경향이 있습니다.

하여튼, 컴퓨터를 켜게 되면 PC에 악성 프로그램이 있는지 검사하여 사용자에게 알려줍니다.

하여튼, 진단 결과가 100% 신뢰할 수 없다는 정보가 다수 보고되고 있습니다.
 


이 프로그램을 제거하는 방법은 다음과 같습니다.

MyComGuard는 시작 프로그램에 등록되어 있으며, 하나의 프로세스로 동작합니다. 따라서, 컴퓨터에 대한 지식이 어느정도 있는 사용자라면 손쉽게 제거할 수 있습니다.

1. 안전 모드로 재부팅합니다.

2. 작업 관리자에서 MycomGuard.exe 프로세스가 동작하고 있는 경우에는 종료합니다.

3. 탐색기를 열고, MycomGuard.exe 파일을 찾아 모두 삭제합니다.

4. 레지스트리 편집기(regedit.exe)를 실행하고 아래 주소에서 키 값을 제거합니다.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run “MyComGuard”

5. 컴퓨터를 재부팅합니다.

주의: 프로그램은 계속 버전업되기 때문에 위에 언급한 정보가 올바르지 않을 수도 있습니다. 따라서, 작업을 진행하기 전에 중요한 파일은 모두 백업하시기 바랍니다.

출처: http://www.xp-vista.com/spyware-removal/remove-mycomguard-mycomguard-removal

창피한 얘기 하나 추가: http://www.pc1news.com/news/1217/mycomguard-3.html

최근에 윈도우 7 운영 체제 환경에서 Avira 백신을 사용하는 경우에 문제점이 발견된 것으로 알려지고 있습니다. 윈도우를 재부팅하게 되면 자동으로 디스크를 검사(chkdsk)하게 되는데 이 부분에서 문제점이 발생한다고 하며, 아비라 사의 개발자들이 이러한 문제점을 재현했다고 합니다.

아비라는 마이크로소프트에 문제점을 알렸으며, 아비라 백신 제품 뿐만 아니라 다른 백신 제품에서도 이러한 문제점이 나타날 수 있는 것으로 조사 결과 나타났습니다.

아비라는 이 문제점을 우회할 수 있는 방법을 발견했으며, v9.0.3.17 빌드에서 패치될 예정이라고 합니다.

보다 자세한 사항은 아래 링크를 참고하십시오.

http://techblog.avira.com/2009/11/26/chkdsk-in-windows-7/en/