[MOONSLAB.com]

AV-Comparatives는 VirusBTN과 더불어 전세계적으로 어느정도 권위를 인정받는 안티바이러스 평가 기관 중의 하나입니다.

이들 기관에서는 매달 운영체제 별로 또는 특정한 기능을 중심으로 테스트를 진행하고 그 결과를 웹사이트에 공개하고 있습니다.

이번 달에는 AV-Comparatives에서 비교적 관심을 가질만한 부분을 평가했는데 바로 안티바이러스의 체감 성능입니다. 즉, 백신(안티바이러스)를 설치하고 나서 컴퓨터의 속도가 많이 느려졌는지를 수치화하는 것으로 사용자가 백신을 선택하는 기준 중에 가장 중요한 부분 중의 하나가 아닐까 싶습니다.

이번 평가에 선정된 제품들은 다음과 같습니다. 특이한 사항은 드디어 Kaspersky 2011 버전이 추가되었다는 것입니다. 기존 VirusBTN에서는 2011 버전이 채택되지 않았습니다. 좀~ 더 발빠른 행보가 아닐까 싶습니다. 그외 다른 제품도 마찬가집니다. 2011 버전이 많이 테스트된 것을 보니, 대세는!!!



성능을 평가하는 방법은 바로 파일을 조작(처리)하는 방법으로 수치화하는 것이 대부분의 기술적인 방법입니다. 사용된 방법은 다음과 같습니다.

주: 사용자가 많이 겪는 부분은 진하게 표시했습니다. 좀더 고려해서 봐야 할 부분이기도 합니다.

흥미로운 부분은 바로 WorldBench Testing Suite가 추가되었다는 것입니다. WorldBench는 PC의 성능을 측정하는 프로그램 중의 하나로 꽤 괜찮은 평가를 받고 있습니다.


백신 제품의 성능에 대해 세부적으로 설명하기 보다는 최종적인 결과를 선보이고 마무리하고자 합니다.



기존의 테스트 결과와는 아주 딴판입니다.

보통 진단율 테스트에서는 G-DATA라든지 Kaspersky와 같은 제품이 1등~을 먹었습니다만, 이번 테스트에는 다들 힘들게 살아(!) 가고 있습니다.

국내에서 소프트웨어 회사로 열심히 삽질하는 여러 회사들이 채택하여 이용하는 비트디펜더도 조금은 안타깝습니다. 이로 국내 몇천만명이 바로 시간적인 손해를 보게 됩니다. 다 합치면 몇십만 광년(!)은 되겠죠!!!

즉, 보안을 강화하기 위해서는 사용자에 대한 불편함이 나타나기 마련입니다. 중도!의 길을 걷는 것이 얼마나 어려운지 여기서도 충분히 공감할 수 있을 것입니다.


감사합니다.

출처: http://www.av-comparatives.org/images/stories/test/performance/performance_aug_2010_en.pdf

백신(안티바이러스)의 성능을 논하는데 가장 많이 이용되는 항목이 바로 진단률(Detection Rate)입니다. 권위(!)있는 평가기관에서도 진단율과 오진율(False Positive), 그리고 검사하는 시간 등을 순서를 매기는 중요한 항목으로 배치하고 있습니다.

하지만, 사용자가 판단하고자 할 때에 진단율은 저멀리 하늘에 떠 있는 무지개와 같습니다. 보이기는 보이지만, 뜬구름처럼 사용자에게 현실적으로 다가오지 못하기 때문 아닐까 생각됩니다.

미국의 버지니아 주에 위치한 정보 보안 업체인 Cyveillance 사는 백신이 새로운 악성 프로그램(Malware)가 출현하고 나서 어느 정도 시점에 이르러야 진단을 하게 되는지 흥미로운 실험을 한 결과를 공개했습니다.

현재 악성 프로그램은 하루에 적어도 수천에서 수만개 이상 새롭게 또는 변형되어 출현하고 있으며, 백신 업체에서는 시그내처, 휴리스틱, 클라우드 기반의 기술 등등 다양하면서도 복잡한 기술을 결합하여 악성 프로그램에 대응하는 형국입니다.

백신업체에서는 새로운 악성 프로그램이 출현하게 되면, 이에 대한 정보를 습득하고 난 후 일정 기간(1-2일, 위험하지 않을 경우에는 수일 더 추가) 내에 진단할 수 있을 것이라고 생각할 수 있습니다만, 현실을 그렇지 않다는 것을 보여주고 있습니다.


이 연구의 목적은 새롭게 출현하는 악성 프로그램에 대해 전통적인 시그내처 방식을 이용하여 진단하는 유명한 안티바이러스 제품이 얼마나 빨리 대응하는 지 알아 보기 위함입니다.

이용된 악성 프로그램은 해당 회사가 보유한 기술로 습득한 것으로 2010년 5월 20일부터 22일(3일)간, 약 2억개의 도메인, 1억9천만개의 웹사이트, 8천만개의 블로그, 9만개 이상의 게시판, 수천개의 IRC/채팅방, 수십억 통의 이메일, 짧은 URL 서비스 등에서 수집한 것입니다.

다만, 사용된 샘플은 인터넷에서 주로 수집한 것으로 실제 우리가 USB로 감염되거나, 감염된 파일을 다운로드하는 등 현실적인 사용과는 약간 차이가 있을 수 있습니다만, 어느정도 감안하여 이해하시기 바랍니다.

<그림 1. 악성 프로그램 출현 후 1일 이내에 진단한 비율>

NOD32(38%)이 가장 높은 진단율을 보였으며, McAfee(23%), F-Secure(22%)가 그 뒤를 이었습니다.

<그림 2. 시일이 경과하면서 진단율이 증가>


<그림 3. 약 30일간 증가되는 진단율>

표에서 보듯이 보통 8일 정도 이후가 되어야 진단율이 약 90%정도 이릅니다. 즉, 즉각적인 대응은 솔직이 실망스럽고, 일주일의 시간 후에서야 어느정도 된다는 것입니다. 그런데, 그러는 동안에 새로운 악성 프로그램이 휴가를 가는 것은 아니지 않을까요?

마지막으로 악성 프로그램이 출현한 후에 이를 대응 즉, 진단하는데 걸리는 평균 시간은 아래와 같습니다.

<그림 4. 악성 코드에 대응하는 데 걸리는 평균 시간>

위의 표에서 NOD32는 약 2.2일이 소요되어 1등을 차지했습니다. 그 뒤를 Kaspersky(3.8일) 순서입니다. Sophos, Trend Micro의 경우에는 약간 무척 부진한 상황을 보여 주고 있습니다.


지금까지 나온 결과를 보면, 솔직이 실망감이 몰려 들 수 밖에 없습니다.

백신 업체에서는 이러한 대량 물량 공세에 효과적으로 대응할 수 있는 기술을 마련해야 할 것으로 보입니다.

사용자 측면에서는 백신이 모든 것을 막아 줄 수 있다는 환상을 버리고, 이제 보안은 내 자신이 먼저 지켜야 한다는 생각을 가져야 하며, 보다 안전하게 인터넷을 사용할 수 있는 방법을연구하여 이용해야 할 것입니다.

감사합니다.

출처: http://www.cyveillance.com/web/docs/WP_MalwareDetectionRates.pdf

외국의 노트북 리뷰 관련 사이트인 NoteBookReview.com에서는 2010년도 유료 백신 중에서 유명한 제품을 골라 자체적인 심사를 거쳐 우수 제품을 발표했습니다.

참고로, 무료 제품은 2009년도 말에 발표한 적이 있습니다.

간단히 정리하면 다음과 같습니다.

먼저 후보에 위촉(!)된 제품은 다음과 같습니다. 국내에서도 널리 알려진 제품이 다수이지만, 일부 제품은 생소(!)한 경우도 있습니다.


심사 기준은 다음과 같습니다.

테스트 결과 아래와 같은 결과가 나왔습니다.

가장 높은 점수를 받은 제품은 바로 ESET의 NOD32 제품입니다. 그리고, 비트디펜더와 카스퍼스키가 그 뒤를 따르고 있습니다.

감사합니다.

출처: http://www.notebookreview.com/default.asp?newsID=5775&review=Best+Antivirus+2010+Buyers+Guide

PS: 평가 방식에 대한 평가는 개인이 판단할 사안입니다. 가끔 딴지를 거시는 분이 있어 적어 봅니다.

며칠 전에 카스퍼스키가 영국의 유명한 언론인 BBC 뉴스 사이트를 차단한 적이 있습니다. 물론, 카스퍼스키 사용자들이 난리를 쳐서 급하게 오진을 처리하긴 했습니다. 이에 대한 자세한 사항은 아래 자료를 참고하십시오.



BBC 사이트를 추가적으로 살펴 보던 중에 동일한 유형의 SQL 인젝션 취약점을 발견하게 되어 간략하게 정리합니다.


앞서 언급했던과 동일한 것으로 파악되고 있으며, 화이트 해커의 윤리 상 더 이상의 공격을 진행하지 않았습니다.

만약 진행한다면 데이터베이스 정보를 빼낼 가능성도 매우 높다고 볼 수 있습니다.

혹시, 해당사 관계자 연락처 아시는 분 있으면 연락해서 문제점 해결했으면 좋겠습니다.

감사합니다.

15th, July. Kaspersky as one of an famous Antivirus venders blocked BBC News site because BBC site was used to steal database like password, credit card information and so so, according to KitGuru.

http://www.kitguru.net/software/zardon/kaspersky-block-bbc-news-by-accident/

After being false positive, many people posted their forum and tweeted on twitter service. Kaspersky has immediately issued a signature update that should fix this false positive problem and prevent BBC site from being blocked in future.

But, assume that BBC site is to be vulnerable, What would you do?

You're right. BBC site is really vulnerable to SQL Injection attack. As you know, SQL Injection is technique that exploits a top-rated security vulnerability occuring in the database level of web application.

BBC site uses MySQL database and Perl scripts. And DB owner is ... ...

I will not proceed any more attacks.

Please email me(moonslab@gmail.com), if you are security administrator of BBC site.

갤럭시S와 같이 최신 핸드폰이 출시되면, 하루에 몇대가 팔렸다는 뉴스가 나오곤 합니다. 하지만, 보안 시장은 외부적으로나 내부적으로 매출액이나 판매량 등이 정확히 드러나지 않아 정확하게 계산할 수 없으며, 다만 일부 즉 샘플을 통해서 추측할 수 있을 뿐입니다. 물론, 추측하기 때문에 정확하다고 볼 수 없지만 어느 정도 가늠할 수 있다고 생각됩니다.

외국의 OPSWAT, Inc.가 연구한 결과, 유명한 백신(컴퓨터 백신)이 시장에서 잘 팔리는 것은 아니라는 내용의 보고서를 발표했습니다. 외국의 경우에는 시만텍, 맥아피 등이 널리 알려져 있으며, 물론 국내에서는 안철수 연구소가 가장 많이 알려져 있습니다.

보고서를 작성하는 방식은 컴퓨터를 사용하는 실제 사용자를 주축으로 산출했으며, 언어는 영어가 주로 사용됐습니다. 실제 확인하는 방법은 AppRemover를 이용했습니다. 이 프로그램은 보안 프로그램을 삭제하는 전용 프로그램입니다.

참고로, 각 제품에서 다양한 버전이 있는 경우에도 하나의 제품명에 포함시켜 계산했습니다.

연구 결과, 우리나라의 보안 시장과 마찬가지로 무료 백신이 가장 점유율이 높게 나왔습니다.

최근 제가 블로그를 통해 다양한 보안 사고에 대해 포스팅을 하고 있습니다. 그 중에서 가장 많이 오르내리는 인물이 바로 Unu입니다. Unu는 루마니아 출신의 해커로 알려져 있습니다만, 그 이외에 별로 알려져 있지 않습니다. 다만, 국내외 보안 기업의 웹사이트의 보안 수준을 검사하여 취약점이 있는 경우 이를 밝혀서 유명세를 얻고 있습니다.

보안뉴스에서는 Unu와 같은 해커를 '그레이 해커'로 분류한 기사를 송고하기도 했습니다. 어떻게 부르느냐에 따라 그 해커의 성품(!)이 결정된다는 점에서 한번쯤 읽어 볼만한 기사입니다.



하여튼, Unu는 보안 기업 중에서 특히 카스퍼스키가 맘에 안드나 봅니다(농담!). 지난 2월달에 카스퍼스키 미국판 웹사이트를 해킹하여 데이터베이스 등 전체적인 데이터를 해킹한 바가 있습니다.

그리고, 지난 12월 10일 경에는 포르투칼 웹사이트를 해킹하여 이를 공개했습니다. 관련 기사는 아래 링크를 참고하십시오.



그런데, 그런데, 그런데~

카스퍼스키 말레이시아와 싱가포르 홈페이지도 SQLi(SQL Injection) 취약점으로 또다시 확실하게 털렸습니다. 이번에는 매우 자세한 스크린샷을 공개했습니다. 다만, 공개한 취약점은 현재 보완이 된 것으로 알려져 있습니다.


이에 대한 자세한 사항은 아래 링크를 참고하십시오.


감사합니다.

요즘 국내에서 공격적인 마케팅을 퍼붓고 있는 카스퍼스키에서 Mac OS에서 사용할 수 있는 안티바이러스 제품을 지난 10월 8일 출시했습니다. 이 제품을 통해 맥 사용자는 보다 보안을 강화할 수 있습니다.

어떤 안티바이러스(바이러스 백신)가 바이러스를 잘 잡을까?

위에 언급한 질문에 대해서는 다양한 의견이 나오고 있으며, 제시된 의견 가운데 서로 싸우는 경우까지 볼 수 있습니다. 이 잘 잡는다 못잡는다 호사가들의 입방아에 자주 오르내릴 수 있는 민간한 사안입니다.

현재까지 보안 시장에서 널리 알려진 평가 및 인증 기관으로는 Virus Bulletin(http://www.virusbtn.com), CheckMark(http://www.westcoastlabs.com), AV-Comparatives(http://www.av-comparatives.org/) 등이 있습니다.

이 기관들은 안티바이러스 벤더로부터 유무형의 지원을 받고 있어, 이를 두고서도 약간의 말들이 나오는 상황입니다.

하지만 최근, 이러한 기관이외에 새로운 평가를 제시하는 사이트가 새롭게 선보였습니다. 이 사이트이 이름은 ANTIVIRUS WARE(http://www.antivirusware.com/)입니다.

또한, Norton, NOD32, Kaspersky, AntiVir, BitDefender, avast!, Trend Micro, AVG, F-Secure 등의 제품을 성능, 설치 시간, 검사 시간, 업데이트 주기 등으로 비교하여 분석한 자료를 공개했습니다.

1. 메모리 사용량: 컴퓨터가 유휴 상태일 때에 측정.

2. 재부팅 시간: 안티바이러스 제품을 설치하지 않은 상태에서 재부팅 시간과 설치후 재부팅 시간을 비교.

3. 설치 용량: 업데이트를 다운로드하기 전, 안티바이러스 설치 용량.

4. 프로그램 로딩 시간: 안티바이러스 제품을 설치하지 않은 상태에서 파이어폭스 브라우저를 50번 실행한 시간과 설치후 실행한 시간을 비교.

5. 파일 변환 시간: MP3 파일을 다른 형태로 변환하는데 걸리는 시간을 비교.(MP3 -> WAV -> MP3 -> WMA -> MP3)

전체 성능 비교.

감사합니다.

순위 이름
1 Net-Worm.Win32.Kido.ih
2 Virus.Win32.Sality.aa
3 Trojan-Dropper.Win32.Flystud.ko
4 Trojan.Win32.Chifrax.a
5 Trojan.Win32.Autoit.ci

6 Trojan-Downloader.Win32.VB.eql
7 Packed.Win32.Krap.b
8 Worm.Win32.AutoRun.dui
9 New Exploit.HTML.CodeBaseExec
10 Packed.Win32.Black.a
11 Virus.Win32.Sality.z
12 Virus.Win32.Virut.ce
13 Trojan.JS.Agent.xy
14 Worm.Win32.Mabezat.b
15 Virus.Win32.Alman.b
16 Packed.Win32.Krap.g
17 Packed.Win32.Klone.bj
18 Worm.Win32.AutoIt.ar
19 Exploit.JS.Agent.agc
20 Email-Worm.Win32.Brontok.q