백신(안티바이러스) 제품의 성능이나 기능을 평가하는 기준이 되는 것이 바로 공신력있는 평가 기관에서 시행하는 인증 시험을 통과하는지 여부입니다.
이러한 평가기관이 전세계적으로 서너개 정도 존재하고 있으며, 가장 대표적인 기관이 VB100, ICSA Labs, AV-Comparatives 등이 있습니다.
하여튼, 평가 기관 중의 하나인 ICSA Labs에서는 맥 OS에서 동작하는 안티바이러스 제품군에서 최초로 ESET NOD32가 인증을 통과했다는 소식을 전해 드립니다.
일반적으로 리눅스나 맥 OS에서는 바이러스가 감염되지 않는다는 것이 정설로 알려지고 있지만, 실제로 감염되는 사례가 종종 발견되고 있습니다. 또한, 가정에서도 보통 1대 이상의 컴퓨터를 사용하기 때문에 공유 폴더나 USB 메모리를 통해 바이러스가 감염될 가능성이 높습니다.
인증을 통과한 제품은 ESET NOD32 Antivirus Business Edition for Mac OS X로 실시간 감시 기능까지 제공하고 있습니다.
백신(안티바이러스) 제품은 보통 1-2년마다 오진이라든지 다양한 문제로 인해 사용자에게 불편을 주는 '병 주고 약 주는' 소프트웨어입니다. ESET이 개발하여 판매하는 NOD32 안티바이러스 제품에서 최신 업데이트를 설치한 이후에 치명적인 문제점이 발생하는 경우가 있어 간단히 소개합니다.
최신 업데이트 중에서 5418 버전(2010년 9월 2일 오전 6:00, PST 기준)을 설치한 윈도우 XP SP3, 윈도우 서버 2003/2008 R2 버전의 사용자들에게서 "ekrn.exe" 문제가 발생하고 있으며, 윈도우 7에서는 문제가 나타나지 않고 있습니다. 특히, 현재 문제점이 완벽하게 해결되지 않은 상태라고 합니다.
< 패치 설치 후에 발생하는 오류 메시지>
문제점은 안티바이러스 제품이 탐색기(explorer)를 잠가버리는 현상으로 알려져 있으며, 기존에 실행하던 작업이 있는 경우에는 작업 관리자(taskmgr)에서 수동으로 프로그램을 옮겨가면서 작업을 마무리하고, 컴퓨터를 완전히 껐다가 켜야(cold boot) 한다고 합니다.
더욱이 문제가 되는 부분은 바로 서버 운영체제입니다. 이 문제로 인해 서버를 관리자가 수동으로 꺼야하는데, 대부분의 서버들은 IDC와 같이 물리적으로 멀리 떨어져 있는 곳에 있는 경우가 많기 때문입니다.
조속히 문제점을 해결하는 패치가 나와야 하며, 특히 서버쪽에서는 담당자가 운영하는 서비스가 제대로 동작하고 있는지 파악해야 합니다.
백신(안티바이러스)의 성능을 논하는데 가장 많이 이용되는 항목이 바로 진단률(Detection Rate)입니다. 권위(!)있는 평가기관에서도 진단율과 오진율(False Positive), 그리고 검사하는 시간 등을 순서를 매기는 중요한 항목으로 배치하고 있습니다.
하지만, 사용자가 판단하고자 할 때에 진단율은 저멀리 하늘에 떠 있는 무지개와 같습니다. 보이기는 보이지만, 뜬구름처럼 사용자에게 현실적으로 다가오지 못하기 때문 아닐까 생각됩니다.
미국의 버지니아 주에 위치한 정보 보안 업체인 Cyveillance 사는 백신이 새로운 악성 프로그램(Malware)가 출현하고 나서 어느 정도 시점에 이르러야 진단을 하게 되는지 흥미로운 실험을 한 결과를 공개했습니다.
현재 악성 프로그램은 하루에 적어도 수천에서 수만개 이상 새롭게 또는 변형되어 출현하고 있으며, 백신 업체에서는 시그내처, 휴리스틱, 클라우드 기반의 기술 등등 다양하면서도 복잡한 기술을 결합하여 악성 프로그램에 대응하는 형국입니다.
백신업체에서는 새로운 악성 프로그램이 출현하게 되면, 이에 대한 정보를 습득하고 난 후 일정 기간(1-2일, 위험하지 않을 경우에는 수일 더 추가) 내에 진단할 수 있을 것이라고 생각할 수 있습니다만, 현실을 그렇지 않다는 것을 보여주고 있습니다.
이 연구의 목적은 새롭게 출현하는 악성 프로그램에 대해 전통적인 시그내처 방식을 이용하여 진단하는 유명한 안티바이러스 제품이 얼마나 빨리 대응하는 지 알아 보기 위함입니다.
이용된 악성 프로그램은 해당 회사가 보유한 기술로 습득한 것으로 2010년 5월 20일부터 22일(3일)간, 약 2억개의 도메인, 1억9천만개의 웹사이트, 8천만개의 블로그, 9만개 이상의 게시판, 수천개의 IRC/채팅방, 수십억 통의 이메일, 짧은 URL 서비스 등에서 수집한 것입니다.
다만, 사용된 샘플은 인터넷에서 주로 수집한 것으로 실제 우리가 USB로 감염되거나, 감염된 파일을 다운로드하는 등 현실적인 사용과는 약간 차이가 있을 수 있습니다만, 어느정도 감안하여 이해하시기 바랍니다.
<그림 1. 악성 프로그램 출현 후 1일 이내에 진단한 비율>
NOD32(38%)이 가장 높은 진단율을 보였으며, McAfee(23%), F-Secure(22%)가 그 뒤를 이었습니다.
<그림 2. 시일이 경과하면서 진단율이 증가>
<그림 3. 약 30일간 증가되는 진단율>
표에서 보듯이 보통 8일 정도 이후가 되어야 진단율이 약 90%정도 이릅니다. 즉, 즉각적인 대응은 솔직이 실망스럽고, 일주일의 시간 후에서야 어느정도 된다는 것입니다. 그런데, 그러는 동안에 새로운 악성 프로그램이 휴가를 가는 것은 아니지 않을까요?
마지막으로 악성 프로그램이 출현한 후에 이를 대응 즉, 진단하는데 걸리는 평균 시간은 아래와 같습니다.
<그림 4. 악성 코드에 대응하는 데 걸리는 평균 시간>
위의 표에서 NOD32는 약 2.2일이 소요되어 1등을 차지했습니다. 그 뒤를 Kaspersky(3.8일) 순서입니다. Sophos, Trend Micro의 경우에는 약간 무척 부진한 상황을 보여 주고 있습니다.
지금까지 나온 결과를 보면, 솔직이 실망감이 몰려 들 수 밖에 없습니다.
백신 업체에서는 이러한 대량 물량 공세에 효과적으로 대응할 수 있는 기술을 마련해야 할 것으로 보입니다.
사용자 측면에서는 백신이 모든 것을 막아 줄 수 있다는 환상을 버리고, 이제 보안은 내 자신이 먼저 지켜야 한다는 생각을 가져야 하며, 보다 안전하게 인터넷을 사용할 수 있는 방법을연구하여 이용해야 할 것입니다.
외국의 유명한 블로그에 가보니 ESET NOD32 제품을 6개월간 사용할 수 있는 라이선스 키를 발급받는 방법이 있었습니다. 자세히 읽어 보니, 어떤 특정 게임 사이트와 프로모션을 진행하는 과정에서 제공되는 것으로 보이는데, 법적인 또는 도덕적인 문제가 있을 거 같아서 링크로만 대체합니다. 사용기한은 2010년 4월 21일까집니다.
가벼우면서도 사전 방어 기능이 탁월하다고 인정받는 ESET의 NOD32 Antivirus 제품이 윈도우 7 운영체제와 문제없이 사용이 가능하다는 발표가 있었습니다.
윈도우 7에서 호환되는 제품으로는 ESET NOD32 Antivirus 4, ESET Smart Security 4(Home, Business editions), ESET Remote Administrator 3, SysInspector, ESET Online Scanner 등입니다.
