최근 제가 작성한 글 중에는 백신(안티바이러스) 제품에 대한 기능 및 성능을 사용자 측면에서 어떻게 판단해야 할 지에 대한 것이 있습니다.
이번 글에서는 또하나의 핵심 기능인 DEP와 ASLR에 대해서 알아 보고, 백신과 어떤 상관 관계에 있는지 살펴 보고자 합니다.
1. DEP(Data Execution Prevention)
윈도우 XP(SP2)에 이르러 보안에 대한 많은 검토가 이뤄지면서 DEP(데이터 실행 방지)라는 기술이 추가되었습니다.
DEP은 바이러스와 같은 악성 프로그램이 윈도우의 커널 모드에서 보호하는 메모리에 접근하여 코드를 실행하는 경우에 이를 차단하고 사용자에게 오류로 알려 주는 보안 기능 중 하나입니다.
2. ASLR(Address Space Layout Radnomization)
윈도우 비스타에서 처음 소개된 보안 기능으로 실행 파일이 메모리에 로드될 때에 ImageBase의 값을 임의로 바꾸는 것으로, 실제 프로세스의 Stack, Heap도 변경됩니다. 제로데이 익스플로잇과 같은 악성 프로그램은 특정한 취약점을 이용하기 위해 고정된 주소를 공격하게 되는데 값이 임의로 바뀌게 되면 공격 자체가 무력화 됩니다.
자 이제 검토해야 할 부분은 최신 윈도우 운영체제에서 제공하는 DEP, ASLR을 백신에서 지원을 반드시 해야 하는 것인지 아니면 선택사항으로 봐야할 것인지 검토할 단계입니다.
예를 들어, 백신에 특정한 취약점을 가지고 있다면 그리고 이 취약점을 이용하여 공격하는 악성 프로그램이 있다면, 사용자의 대응은 다음과 같을 것입니다.
취약점을 해결하는 패치가 나올때까지 해당 제품을 사용하지 않고 다른 제품으로 대체
취약점을 해결하기 전까지 대안이 있는 경우 조치하고 나중에 패치가 발표될 경우 진행
하지만, 이러한 조치 방법은 패치가 나와야 한다는 전제조건이 필요합니다. 만약, 패치가 늦게 나오거나, 불가능한 (이럴 일은 없겠지만) 경우에는 꽤 난감할 수 밖에 없습니다.
만약 백신이 DEP, ASLR을 지원하는 경우에는 이러한 취약점에 능동적으로 대응할 수 있다는 장점을 가질 수 있습니다.
그러면, 국외 백신 제품에서 DEP, ASLR을 지원하는지 살펴보면, 솔직이 실망을 금할 수 밖에 없습니다.
Krebson의 블로그에 따르면 AVAST Home Edition, AVG Internet Security, BitDefender Internet Security 2010, ESET Smart Security, F-Secure Internet Security, Norton Internet Security 2010, Panda Internet Security 2010, Trend Micro Internet Securtiy 2010 제품 중에서 일부 제품만이 DEP, ASLR을 지원하는 것으로 알려지고 있습니다.
가상화 소프트웨어인 VMWARE 상에서 백신 제품을 설치하고 Process Explorer 프로그램을 이용하여 DEP, ASLR을 확인했습니다.
글이 쓰여진 시점에서는 마이크소프트가 제공하는 무료 백신인 MSE(Microsoft Essentials)가 유일하게 DEP, ASLR을 지원했다고 밝히고 있으며, 그외 제품에 대해서는 회사를 상대로 정확한 사항을 파악한 바는 다음과 같습니다.
어베스트! V5에서는 DEP과 ASLR을 지원(V4.8 미지원)
F-Secure는 지원 예정
Panda는 일부 모듈에서 DEP과 ASLR을 지원
BitDefender는 2011 버전에서 지원 예정
Symantec은 현재 버전에서 DEP는 지원, ASLR은 지원 예정
물론, DEP과 ASLR이 문제점을 완벽하게 커버할 수 있는 기능으로 보기는 어렵습니다. 또한, DEP과 ASLR을 우회하는 기술도 이미 널리 알려져 있습니다.
하지만, 이 글에서 언급하고자 하는 바는 바로 운영체제에서 애플리케이션의 문제점으로 인해 발생할 수 있는 보안 취약점을 예방하는 기능을 제공하는데, 이러한 기능을 백신에서도 충분히 검토하여 지원해야 하지 않느냐 입니다.
아울러, 별도로 테스트는 진행하지 않았지만, 국내 백신 제품에서는 어떠한 결과가 나올지 주목됩니다. 시간적 여유가 된다면 테스트해서 결과를 공개해 볼 요량입니다.
갤럭시S와 같이 최신 핸드폰이 출시되면, 하루에 몇대가 팔렸다는 뉴스가 나오곤 합니다. 하지만, 보안 시장은 외부적으로나 내부적으로 매출액이나 판매량 등이 정확히 드러나지 않아 정확하게 계산할 수 없으며, 다만 일부 즉 샘플을 통해서 추측할 수 있을 뿐입니다. 물론, 추측하기 때문에 정확하다고 볼 수 없지만 어느 정도 가늠할 수 있다고 생각됩니다.
외국의 OPSWAT, Inc.가 연구한 결과, 유명한 백신(컴퓨터 백신)이 시장에서 잘 팔리는 것은 아니라는 내용의 보고서를 발표했습니다. 외국의 경우에는 시만텍, 맥아피 등이 널리 알려져 있으며, 물론 국내에서는 안철수 연구소가 가장 많이 알려져 있습니다.
보고서를 작성하는 방식은 컴퓨터를 사용하는 실제 사용자를 주축으로 산출했으며, 언어는 영어가 주로 사용됐습니다. 실제 확인하는 방법은 AppRemover를 이용했습니다. 이 프로그램은 보안 프로그램을 삭제하는 전용 프로그램입니다.
참고로, 각 제품에서 다양한 버전이 있는 경우에도 하나의 제품명에 포함시켜 계산했습니다.
연구 결과, 우리나라의 보안 시장과 마찬가지로 무료 백신이 가장 점유율이 높게 나왔습니다.
<표 1. 백신 회사별 점유율>
가장 선호하는 안티바이러스 회사는 어베스트!로 나타났으며, 이외에도 Microsoft, AVG 등 무료 제품을 제공하는 회사가 높은 점유율을 보입니다. 시만텍, 맥아피도 어느정도 선방을 했습니다.
<표 2. 백신 제품 별 점유율>
선호의 기준은 바로 '무료' 백신을 제공하는지 여부로 나타났습니다. 무료 백신을 제공하는 어베스트!, 아비라, AVG, MSE 등이 높은 점유율을 차지했습니다. 유료 제품으로는 어베스트! 프로, 카스퍼스키 인터넷 시큐리티, 노턴 안티바이러스 등이 차지했습니다. 어베스트!는 무료 및 상용 제품 모두에서 수위를 차지하고 있습니다.
<표 3. 백신 제품 별 대륙간 분포>
아무래도 어베스트!와 AVG의 영향으로 인해 유럽의 제품이 가장 많은 분포를 보이고 있습니다. 유럽의 제품은 avast!, Avira, AVG, ESET, Panda, BitDefender, G-DATA, Sophos 등이 있습니다. 한편 미 대륙 쪽에는 시만텍, 마이크로소프트, 맥아피, PC Tools, 선벨트 등이 포함됩니다.
이 보고서에서 언급하지 않았지만, 한가지 주목할 만한 부분은 바로 제품별 점유율에서 무료 제품과 유료 제품의 비율입니다. 계산해 본 결과 무료(약 37%), 유료(약 63%) 정도로 나타났습니다. 즉, 가정에서 개인이 사용하는 경우에는 무료가 주로 사용된다고 생각되고, 기업/회사에서는 유료 제품이 사용된다고 유추할 수 있습니다.
하지만, 국내의 상황은 어떨까요? 아마 국내의 보고서가 나온다면 무료(+불법복제) 90%, 유료 10% 이런 모양으로 나오지 않을까 예상됩니다.
