국내 대부분의 컴퓨터 사용자는 마이크로소프트의 윈도우 제품군을 사용할 것이고, 최근에 구입한 컴퓨터라면 윈도우 7을, 좀 오래된 컴퓨터는 윈도우 XP를 사용할 것으로 예상됩니다.

그런데, 같은 백신이라 하더라도 운영체제 별로 진단율, 편의성, 성능 등이 달라진다면 어떨까요? 이 의문에 대한 자료가 외국 사이트에 올라와 있어 간단히 소개해 봅니다.

독일에 있는 유명한 바이러스 제품 평가 기관 중의 하나인 AV-Test.org에서는 지난 8월달에 새로운 테스트를 진행했는데, 바로 안티바이러스 제품이 특정한 운영체제에서 동일한 기능을 가지는지에 대한 것이었습니다.

다만, 안티바이러스 제품이 지원하는 운영체제의 제한과 현실적으로 널리 사용하는 운영체제라는 점을 감안하여 윈도우 7과 윈도우 XP SP2 운영체제만을 평가에 포함시켰습니다.

각 제품들은 보호 능력(정적 및 동적 악성코드 진단), 치료 능력(감염된 악성코드 제거, 루트킷 제거), 그리고 사용하기 편리한지 알아 보는 편의성(시스템 성능, 오진 등) 이라는 3가지 관점으로 나눠 시행되었습니다.

그리고, 각 테스트는 가장 최근에 발표된 안티바이러스 제품을 중심으로 구성하였습니다.

마지막으로 점수 체제는 0부터 6까지 분류하고 점수 단위는 0.5 점로 하였습니다. 따라서, 제품의 총점은 12점이 만점이 됩니다. 평가 결과는 아래와 같습니다.

<표 1. 평가 결과. 빨간 색으로 표시된 부분은 운영체제별로 차이가 심한 경우를 나타냄>

대부분의 제품들이 윈도우 7의 점수가 윈도우 XP 점수보다 약간 높았습니다. MSE와 Panda의 경우에는 꽤 많은 점수 차이가 나고 있습니다.

또한, G-Data, McAfee, PC Tools 제품 등에서는 오히려 윈도우 XP에서의 결과가 더 좋았습니다.

따라서, 앞으로 안티바이러스 제품을 선택할 때에는 높은 점수를 받는 제품을 선택해야 하는 사항 이외에 자신이 어떤 운영체제를 사용하고 있느냐라는 하나의 추가적인 요소를 고려해야 할 것으로 생각됩니다.

감사합니다.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    인터넷을 사용하거나, 다른 사람이 사용하던 USB를 가져와 파일을 복사할 때에 악성 프로그램(바이러스, 트로이 목마)으로 의심되는 파일이 있다면 보통 바이러스 토탈(Virus Total)과 같이 여러가지 백신의 엔진을 가지고 감염 여부를 확인하는 경우가 대부분입니다.

    하지만, 이는 단순하게 감염 여부만 알려 줄 뿐이며, 그 파일이 어떻게 동작하는지 알기가 어렵습니다.

    소개하는 자료는 악성 프로그램을 분석하여 알려주는 서비스 중에 무료로 제공되는 것을 정리한 것입니다. 추가적인 설명은 검사할 수 있는 유형을 나타냅니다.

    보통 인터넷으로 전파되는 HTML이나 JS는 JSUNPACK에서 분석하는 것이 좋습니다. 파일에 대한 부분은 특정한 OS나 크기의 제한이 있을 수 있으므로 주의하시기 바랍니다.

    감사합니다.






    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      백신(안티바이러스)의 성능을 논하는데 가장 많이 이용되는 항목이 바로 진단률(Detection Rate)입니다. 권위(!)있는 평가기관에서도 진단율과 오진율(False Positive), 그리고 검사하는 시간 등을 순서를 매기는 중요한 항목으로 배치하고 있습니다.

      하지만, 사용자가 판단하고자 할 때에 진단율은 저멀리 하늘에 떠 있는 무지개와 같습니다. 보이기는 보이지만, 뜬구름처럼 사용자에게 현실적으로 다가오지 못하기 때문 아닐까 생각됩니다.

      미국의 버지니아 주에 위치한 정보 보안 업체인 Cyveillance 사는 백신이 새로운 악성 프로그램(Malware)가 출현하고 나서 어느 정도 시점에 이르러야 진단을 하게 되는지 흥미로운 실험을 한 결과를 공개했습니다.

      현재 악성 프로그램은 하루에 적어도 수천에서 수만개 이상 새롭게 또는 변형되어 출현하고 있으며, 백신 업체에서는 시그내처, 휴리스틱, 클라우드 기반의 기술 등등 다양하면서도 복잡한 기술을 결합하여 악성 프로그램에 대응하는 형국입니다.

      백신업체에서는 새로운 악성 프로그램이 출현하게 되면, 이에 대한 정보를 습득하고 난 후 일정 기간(1-2일, 위험하지 않을 경우에는 수일 더 추가) 내에 진단할 수 있을 것이라고 생각할 수 있습니다만, 현실을 그렇지 않다는 것을 보여주고 있습니다.


      이 연구의 목적은 새롭게 출현하는 악성 프로그램에 대해 전통적인 시그내처 방식을 이용하여 진단하는 유명한 안티바이러스 제품이 얼마나 빨리 대응하는 지 알아 보기 위함입니다.

      이용된 악성 프로그램은 해당 회사가 보유한 기술로 습득한 것으로 2010년 5월 20일부터 22일(3일)간, 약 2억개의 도메인, 1억9천만개의 웹사이트, 8천만개의 블로그, 9만개 이상의 게시판, 수천개의 IRC/채팅방, 수십억 통의 이메일, 짧은 URL 서비스 등에서 수집한 것입니다.

      다만, 사용된 샘플은 인터넷에서 주로 수집한 것으로 실제 우리가 USB로 감염되거나, 감염된 파일을 다운로드하는 등 현실적인 사용과는 약간 차이가 있을 수 있습니다만, 어느정도 감안하여 이해하시기 바랍니다.

      <그림 1. 악성 프로그램 출현 후 1일 이내에 진단한 비율>

      NOD32(38%)이 가장 높은 진단율을 보였으며, McAfee(23%), F-Secure(22%)가 그 뒤를 이었습니다.

      <그림 2. 시일이 경과하면서 진단율이 증가>


      <그림 3. 약 30일간 증가되는 진단율>

      표에서 보듯이 보통 8일 정도 이후가 되어야 진단율이 약 90%정도 이릅니다. 즉, 즉각적인 대응은 솔직이 실망스럽고, 일주일의 시간 후에서야 어느정도 된다는 것입니다. 그런데, 그러는 동안에 새로운 악성 프로그램이 휴가를 가는 것은 아니지 않을까요?

      마지막으로 악성 프로그램이 출현한 후에 이를 대응 즉, 진단하는데 걸리는 평균 시간은 아래와 같습니다.

      <그림 4. 악성 코드에 대응하는 데 걸리는 평균 시간>

      위의 표에서 NOD32는 약 2.2일이 소요되어 1등을 차지했습니다. 그 뒤를 Kaspersky(3.8일) 순서입니다. Sophos, Trend Micro의 경우에는 약간 무척 부진한 상황을 보여 주고 있습니다.


      지금까지 나온 결과를 보면, 솔직이 실망감이 몰려 들 수 밖에 없습니다.

      백신 업체에서는 이러한 대량 물량 공세에 효과적으로 대응할 수 있는 기술을 마련해야 할 것으로 보입니다.

      사용자 측면에서는 백신이 모든 것을 막아 줄 수 있다는 환상을 버리고, 이제 보안은 내 자신이 먼저 지켜야 한다는 생각을 가져야 하며, 보다 안전하게 인터넷을 사용할 수 있는 방법을연구하여 이용해야 할 것입니다.

      감사합니다.

      출처: http://www.cyveillance.com/web/docs/WP_MalwareDetectionRates.pdf






      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        AV-ComparativesVB100(Virus Bulletin)과 함께 전세계적으로 공신력을 가지고 있는 안티 바이러스 전문 테스트 기관입니다.
         
        이 기관은 매년 3월과 9월에 바이러스 및 악성 프로그램에 대한 '수동 검사'(on demand) 결과를 공개하고 있습니다. 그리고 7월과 12월에는 '사전 방역'(retroactive/proactive) 결과를 공개합니다.

        최근 9월 달의 자료가 공개되어 간단히 정리되어 올려 드립니다. 테스트한 제품은 아래와 같습니다.
        • avast! Professional Edition 4.7
        • AVG Anti-Malware 7.5
        • AVIRA AntiVir personal Edition Premium 7.04
        • BitDefender Professional Plus 10
        • Dr.Web for Windows 4.44.0(beta)
        • eScan Anti-Virus 9.0
        • ESET NOD32 Anti-Virus 2.70.39
        • Fortinet FortiClient 3.0
        • F-Prot for Windows 6.0.7.1
        • F-Secure Anti-Virus 7.0.1
        • G DATA AntiVirusKit(AVK) 17.0
        • Kaspersky Anti-Virus 7.0.0
        • McAfee VirusScan 11.2
        • Microsoft OneCare 1.6
        • Norman Virus Control 5.91
        • Symantec Norton Anti-Virus 14.0
        • TrustPort Antivirus Workstation 1.4.2

        대부분 우리에게 익숙한 제품들이 있습니만, AVK(avast! + Kaspersky)TrustPort 제품은 멀티 엔진을 보유한 안티 바이러스입니다. 아무래도 멀티라면 좀더 나은 진단율을 보이곤 합니다.

        avast!의 경우에는 악성 코드(spyware)에 대한 진단율이 다른 제품에 비해 약간 떨어집니다. BitDefender는 기타 OS에 관련된 진단율이 약간 떨어집니다만, 일반적으로 윈도 OS만을 사용하는 환경이라면 무시해도 무방할 것으로 생각됩니다.

        MS의 OneCare도 이번에는 비약적으로 점수가 상승(!)했습니다. MS의 기술력으로 볼 때, 아마 다음번 테스트에서는 다른 수위의 제품과 비슷할 것입니다.

        자세한 테스트 결과를 아래 그림을 참고하십시오.

        사용자 삽입 이미지

        사용자 삽입 이미지

        사용자 삽입 이미지

        사용자 삽입 이미지

        사용자 삽입 이미지

        사용자 삽입 이미지

        사용자 삽입 이미지

        출처: http://www.av-comparatives.org/seiten/ergebnisse_2007_08.php

        마지막으로 이러한 테스트 결과는 특정한 상황에서 이루어진 만큼, 어느정도 감안하여 이해하시는 것이 좋습니다. 맹신은 금물입니다.
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus


          Web Analytics Blogs Directory