백신(안티바이러스) 제품의 성능이나 기능을 평가하는 기준이 되는 것이 바로 공신력있는 평가 기관에서 시행하는 인증 시험을 통과하는지 여부입니다.

이러한 평가기관이 전세계적으로 서너개 정도 존재하고 있으며, 가장 대표적인 기관이 VB100, ICSA Labs, AV-Comparatives 등이 있습니다.

하여튼, 평가 기관 중의 하나인 ICSA Labs에서는 맥 OS에서 동작하는 안티바이러스 제품군에서 최초로 ESET NOD32가 인증을 통과했다는 소식을 전해 드립니다.

일반적으로 리눅스나 맥 OS에서는 바이러스가 감염되지 않는다는 것이 정설로 알려지고 있지만, 실제로 감염되는 사례가 종종 발견되고 있습니다. 또한, 가정에서도 보통 1대 이상의 컴퓨터를 사용하기 때문에 공유 폴더나 USB 메모리를 통해 바이러스가 감염될 가능성이 높습니다.

인증을 통과한 제품은 ESET NOD32 Antivirus Business Edition for Mac OS X로 실시간 감시 기능까지 제공하고 있습니다.

보다 자세한 사항은 아래 링크를 참고하십시오.

https://www.icsalabs.com/press-release/eset-nod32-antivirus-business-edition-achieves-first-anti-malware-certification-mac-op

감사합니다.
reTweet
Posted by 문스랩닷컴
blog comments powered by Disqus
    안티바이러스(컴퓨터 백신) 업체들은 아직까지도 전통적인 수작업 및 시그내처 기반으로 동작하고 있으며, 일부 제품에서 인공지능과 유사한 휴리스틱, 그리고 최근에 조금씩 선보이는 클라우드 기반의 평판 시스템으로 진화해 가고 있습니다.

    하지만, 최근 외국의 한 업체에서 조사한 바에 따르면 안티바이러스 업체가 악성코드와 같은 보안 위협을 제대로 대처하지 못하고 있으며, 앞으로는 더욱 더 암울할 것이라고 전하고 있습니다.

    NSS Labs는 보안 소프트웨어 테스트 업체로, 테스트에 별도의 비용을 청구하지 않는 독립적인 성격을 띠고 있습니다.

    우리가 익히 알고 있는 바이러스 블러틴과 같은 평가 기관은 특정 업체에서 운영비의 일부분을 지원받기 때문에 이로 인해 의심의 눈초리가 있기도 합니다. 또한, 평가 방법에 있어서 단순하게 파일에 대한 검사, 사전 방어 검사, 루트킷 검사와 같이 획일화된 평가 방식을 통해 등급을 나누기 때문에 안티바이러스 제품의 성능을 100% 제대로 평가하지 못하는 면이 있습니다.

    하여튼, NSS Lab에서는 실제 사용자가 웹 브라우저를 이용하여 인터넷을 사용하는 동안 얼마나 악성 프로그램에 노출되는지에 대한 평균적인 테스트 방법을 개발해 내었으며, 이러한 과정 속에서 수많은 웹사이트 내에서 악성 프로그램이 발견된다는 사실을 알게 되었습니다. 물론, 보안 소프트웨어가 이 악성 프로그램을 차단하는지 즉 진단하는지에 대한 기록을 남기는 평가 방법을 이용하고 있습니다.

    하지만, 대부분의 기업에서는 새로운 변종 악성 프로그램에 대한 위협에 쉽사리 노출되어 있습니다. 만약 안티바이러스 업체에서 해당 샘플을 재빨리 입수하여 이를 진단하게 한다면 큰 문제 없이 해결할 수 있지만, 만약 어떤 업체에서도 이 샘플을 구하지 못한다면 커다란 피해로 이어질 수 있습니다.

    하루에 약 5만 여개의 악성 프로그램이 새롭게 출현하고 있으며, 앞으로 숫자는 더욱 늘어날 것으로 보입니다.

    따라서, 안티바이러스 업계에서는 늘어나는 악성 프로그램에 대응하기 위해 보다 나은 새로운 기술을 개발해야만 "인해 전술"에서 살아 남을 수 있을 것이라고 생각합니다.


    참고로 국내의 안철수 연구소의 경우에는 ASD(Ahnla Smart Defense)라는 클라우드 기반의 서비스를 통해 최근에 보다 나은 성능을 보여 주고 있으며, 추가적인 연구로 보다 성능을 향상시킨다면 그만큼 효과적일 수 있다고 보여 집니다.

    외국에서도 클라우드 기반의 다양한 보안 제품이 작년부터 꾸준이 선보이고 있으며 자세한 내용은 아래 링크를 참고하십시오.


    감사합니다.

    reTweet
    Posted by 문스랩닷컴
    blog comments powered by Disqus
      매달 보안 제품의 성능을 평가하는 바이러스 블러틴(Virus Bulletin)에서는 2010년 5월에 안티스팸 제품에 대한 평가 보고서를 발표했습니다.

      합격 평가 기준은 스팸 차단율을 오진률을 3배수한 값을 뺀 값이 96%보다 큰 경우에 한했습니다.

      결과

      BitDefender Security for Mail Servers 3.0.2

      VB spam testing

      Fortinet FortiMail

      VB spam testing

      Kaspersky Anti-Spam 3.0

      VB spam testing

      Libra Esva 2.0

      VB spam testing

      M86 MailMarshal SMTP

      VB spam testing

      McAfee Email Gateway (formerly Ironmail)

      VB spam testing

      McAfee Email and Web Security Appliance

      VB spam testing

      MessageStream

      VB spam testing

      Microsoft Forefront Protection 2010 for Exchange Server

      VB spam testing

      modusGate (Vircom)

      VB spam testing

      MXTools Reputation Suite

      VB spam testing

      Sophos Email Appliance

      VB spam testing

      SPAMfighter Mail Gateway

      VB spam testing

      SpamTitan

      VB spam testing

      Sunbelt VIPRE Email Security

      VB spam testing

      Symantec Brightmail Gateway 9.0

      VB spam testing

      The Email Laundry

      VB spam testing

      Vade Retro Center

      VB spam testing

      Vamsoft ORF

      VB spam testing

      Webroot E-Mail Security SaaS

      VB spam testing

      애드인 제품

      아래 제품은 다른 제품의 내부 또는 애드인으로 포함되어 사용되는 솔루션으로 전용 솔루션과 성능면에서는 비교하기가 어렵습니다.

      Spamhaus ZEN plus DBL

      VB spam testing

      VBSpam 결과 도표

      위의 도표에서 오른쪽 상단에 위치할수록 오진도 적고, 스팸 차단율도 높다는 것을 알 수 있습니다.

      참고로 Microsoft Forefront는 UAG, TMG에서 사용되는 보안 솔루션의 일부분입니다.

      감사합니다.
      reTweet
      Posted by 문스랩닷컴
      blog comments powered by Disqus
        VB100에서는 매달 하나의 주제를 선정하여 보안 제품의 비교 평가 결과를 발표합니다. 이번 달에는 윈도우 XP 운영체제에서 수행되었으며, ITW(In The Wild, 전세계적으로 적어도 2 군데 이상의 지정학적 위치에서 실제로 발견된 악성 프로그램)에 대해 진단하였습니다.

        총 60개의 제품이 선정되어 이 중 40개의 제품이 테스트를 통과했습니다. 이번에는 의외로 카스퍼스키가 한 개의 ITW를 놓치는 바람에 떨어지는 결과를 보이고 있습니다. 다른 유명한 보안 제품은 대부분 안전하게 통과했습니다.



        우리나라의 안랩(AhnLab)도 무사히 통과했습니다.

        출처: http://www.virusbtn.com/vb100/archive/2010/04
        reTweet
        Posted by 문스랩닷컴
        blog comments powered by Disqus
          사용자 삽입 이미지
            바이러스 평가 기관인 Virus Bulletin에서 이번 12월을 맞이하여 Windows 2000 운영체제를 대상으로 한 결과를 발표하였습니다.

          홈페이지: http://www.virusbtn.com

          # 평가를 통과한 제품
          Agnitum Outpost
          BitDefender AntiVirus
          Bullguard Bullguard
          CA eTrust
          ESET NOD32
          F-Secure Anti-Virus 2008
          GDATA Anti-virus
          Grisoft AVG
          McAfee VirusScan
          Microsoft Forefront
          MWTI eScan
          PCTools Anti-Virus
          Quick Heal Quick Heal
          Symantec Endpoint Protection
          VirusBuster VirusBuster

          # 평가를 통과하지 못한 제품
          AEC Trustport Antivirus
          Alwil avast!
          Avira AntiVir
          CA Antivirus
          Doctor Web Dr. Web
          Fortinet Forticlient
          Frisk F-PROT
          Ikarus Virus Utilities
          Iolo Antivirus
          Kaspersky Anti-Virus
          Kingsoft AntiVirus
          Norman Virus Control
          PCTools Spyware Doctor
          Redstone Redprotect
          Rising Antivirus
          Sophos Anti-Virus
          Trend Micro OfficeScan

          참고로, 위의 결과가 바이러스를 잘 잡는다 못 잡는다의 핵심적인 기준이 될 수는 없다는 점을 주의하시기 바랍니다.


          reTweet
          Posted by 문스랩닷컴
          blog comments powered by Disqus
            안티 바이러스, 즉 컴퓨터에 감염되는 바이러스를 진단하여 치료해 주는 프로그램을 말합니다. 요즘에는 바이러스뿐만 아니라 웜, 악성 코드 등 다양한 위협적인 요소들도 포함합니다.

            안티 바이러스 제품에는 국내에서만 봐도 V3(안랩), 바이로봇(하우리) 등이 있으며 외국까지 언급한다면 실로 수십여 가지 이상의 제품들이 개발되어 판매되고 있습니다. 바이러스토탈(http://www.virustotal.com)과 같이 바이러스 여부를 진단해 주는 사이트에서도 대략 2-30가지의 안티 바이러스 제품이 사용됩니다.

            컴퓨터 사용자가 어떤 기준을 가지고 안티 바이러스 제품을 구매(또는 무료제품이면 사용)하는 것일까요? 오늘은 이 부분에 대해서 한번 썰을 풀어 볼까 합니다.

            예를 들어, 컴퓨터 부품 중의 그래픽 카드를 예로 들어 보면, 칩셋에 따라 다양한 제품이 출시됩니다. 컴퓨터 잡지 또는 컴퓨터 관련 웹 사이트에서는 이러한 제품을 수집하여 테스트 전용 프로그램이라든지, 실제 게임과 같은 프로그램을 실행하여 가급적 객관적으로 수치화하여 제공합니다.

            책을 읽는 독자나 웹 사이트를 방문하는 사람은 이러한 수치를 바탕으로 자기가 사용할 수 있는 여력이 되는, 자기가 원하는 성능을 가진 제품을 구매하는데 어느 정도 기준점을 제시해 주게 됩니다.

            안티 바이러스 쪽은 어떨까요?

            국내에서는 아직 안티 바이러스 제품의 진단 및 치료에 대해 어느정도 공신력을 가진 기관(또는 웹사이트)가 아직 없습니다. 외국에는 서너 개의 공신력있는 기관이 있으며, 일부 사이트는 사이비(!) 논란에 시달리곤 합니다. 아래는 어느정도 알려져 있는 사이트들입니다(주: 기관이나 사이트를 같은 개념으로 표기함).
            안티 바이러스 제품간의 테스트를 진행할 때에, 자주 지적되는 부분을 정리해 보면 다음과 같습니다.

            첫 째, 바이러스 샘플의 채택 여부입니다. VB100에서는 전세계에서 지역적으로 구분하여 적어도 2번 이상 감염이 확인된 샘플에 대해서만 다룹니다. 이는 어찌 보면 가장 합당한 방법일 수 있습니다. 왜냐 하면, 아무리 샘플이 많다 하더라도 실제로 감염이 나타난 '실전에서 나타난 샘플'보다 나은 것은 없기 때문입니다.

            하지만 일부 기관에서는 시만텍 등과 같은 안티 바이러스 벤더에게서 바이러스 샘플을 제공받아 테스트를 진행하는 경우가 있습니다. 이러한 경우에는 '약간의 공정성을 의심할 수 밖에 없는' 테스트라고 할 수 있습니다.

            둘 째, 테스트를 진행하는 악성 프로그램에 대한 명확한 정의가 불분명합니다. 정의라기 보다는 어떤 영역(바이러스, 웜, 악성 코드, 봇, 루트킷 등등)에 악성 프로그램(malware)를 분류해야 하는지에 대한 논란입니다.

            과거에는 바이러스면 바이러스, 웜이면 웜 이렇게 자기만의 명확한 활동 분야(!)가 있었고 이를 통해 안티 바이러스 개발 업체는 손쉽게 분류할 수 있었습니다. 하지만, 지금은 다양한 감염 경로를 가지고 있고, 다양한 전파 경로를 가진 악성 프로그램이 많습니다.

            예를 들어, 감염시에는 악성 코드를 통해 감염되지만 감염된 이후에는 다른 컴퓨터에 네트워크 또는 이메일을 통해 감염시킨다고 가정해 본다면 이는 악성 코드라고 분류해야 할지 아니면 파일 바이러스라고 분류해야 할지 어중간합니다.

            셋 째, 진단하는 방식에 대한 논란입니다. 일반적으로 하드 디스크에 있는 바이러스를 검사할 때에는 '수동 검사(On-demand Scan)'라고 합니다. 그리고 메모리에 상주하고 있으면서 실시간으로 바이러스가 감염될 경우 이를 진단하여 처리하는 방식을 '실시간 감시 - Resident/Realtime Scan)이라고 합니다.

            일반적으로 안티 바이러스 제품은 수동 검사뿐만 아니라 실시간 감시 기능을 제공합니다. 물론 일부 무료로 제공되는 제품은 실시간 감시 기능이 빠져 있는 경우도 있습니다.

            사용자들의 컴퓨터 환경에서는 수동 검사도 하지만 대부분 실시간 검사 기능을 켜둡니다. 어떤 바이러스는 실시간 검사시에 제대로 잡아내고 수동 검사시에는 검출되지 않는 경우가 있습니다. 이럴 때에는 어느 한 부분 검사가 실패(FAIL)로 나오게 됩니다. 하지만, 사용자 입장에서는 진단하여 처리하였으니 안티 바이러스 벤더들은 성공(SUCCESS)라고 주장하기도 합니다.

            이러한 연유로 인해 안티바이러스 제작사들은 불만을 표출하게 되었으며 이에 대한 자세한 내용은 아래 링크를 참고하세요.

            보안 벤더, 안티바이러스 테스트 공정성에 의구심 나타내

            이러한 문제점에 대해 바이러스 테스트 기관들은 새로운 테스트 방법을 제시하였고 이에 대해 안티바이러스 제작사들이 어느정도 수긍을 했다고 합니다.

            AV-Test.org는 자사의 새로운 테스트 방법뿐만 아니라 시만텍, 판다소프트웨어, ASA, 트렌드 마이크로 등이 제공한 제안을 통합하여 개선하기로 했습니다.

            새로 제안된 테스트 방법은 평가 기관인 VB100뿐만 아니라 카스퍼스키 랩, F-Secure 등 다른 안티 바이러스 벤더도 지원합니다.

            특히, 다음 달 서울에서 개최되는 AVAR(Association of AntiVirus Asia Researchers) 2007 국제 컨퍼런스에서 제안될 예정으로 알려져 있습니다. 회의에서 새로운 테스트 방안이 나오면 추가적으로 포스팅해 드리겠습니다.

            AAVR 2007에 대한 자세한 자료는 아래 링크를 참고하세요.

            http://www.etnews.co.kr/news/sokbo_detail.html?id=200709280074

            안티 바이러스 벤더들과 테스트 기관 간의 유기적인 협조로 보다 정확한 진단 테스트가 가능해 진다면 안티 바이러스 제품의 성능 비교를 통해 사용자들은 좀더 나은 제품을 구매할 수 있는 기준이 되었으면 하는 바램입니다.

            Daum 블로거뉴스
            블로거뉴스에서 이 포스트를 추천해주세요.
            추천하기
            reTweet
            Posted by 문스랩닷컴
            blog comments powered by Disqus
              AV-ComparativesVB100(Virus Bulletin)과 함께 전세계적으로 공신력을 가지고 있는 안티 바이러스 전문 테스트 기관입니다.
               
              이 기관은 매년 3월과 9월에 바이러스 및 악성 프로그램에 대한 '수동 검사'(on demand) 결과를 공개하고 있습니다. 그리고 7월과 12월에는 '사전 방역'(retroactive/proactive) 결과를 공개합니다.

              최근 9월 달의 자료가 공개되어 간단히 정리되어 올려 드립니다. 테스트한 제품은 아래와 같습니다.
              • avast! Professional Edition 4.7
              • AVG Anti-Malware 7.5
              • AVIRA AntiVir personal Edition Premium 7.04
              • BitDefender Professional Plus 10
              • Dr.Web for Windows 4.44.0(beta)
              • eScan Anti-Virus 9.0
              • ESET NOD32 Anti-Virus 2.70.39
              • Fortinet FortiClient 3.0
              • F-Prot for Windows 6.0.7.1
              • F-Secure Anti-Virus 7.0.1
              • G DATA AntiVirusKit(AVK) 17.0
              • Kaspersky Anti-Virus 7.0.0
              • McAfee VirusScan 11.2
              • Microsoft OneCare 1.6
              • Norman Virus Control 5.91
              • Symantec Norton Anti-Virus 14.0
              • TrustPort Antivirus Workstation 1.4.2

              대부분 우리에게 익숙한 제품들이 있습니만, AVK(avast! + Kaspersky)TrustPort 제품은 멀티 엔진을 보유한 안티 바이러스입니다. 아무래도 멀티라면 좀더 나은 진단율을 보이곤 합니다.

              avast!의 경우에는 악성 코드(spyware)에 대한 진단율이 다른 제품에 비해 약간 떨어집니다. BitDefender는 기타 OS에 관련된 진단율이 약간 떨어집니다만, 일반적으로 윈도 OS만을 사용하는 환경이라면 무시해도 무방할 것으로 생각됩니다.

              MS의 OneCare도 이번에는 비약적으로 점수가 상승(!)했습니다. MS의 기술력으로 볼 때, 아마 다음번 테스트에서는 다른 수위의 제품과 비슷할 것입니다.

              자세한 테스트 결과를 아래 그림을 참고하십시오.

              사용자 삽입 이미지

              사용자 삽입 이미지

              사용자 삽입 이미지

              사용자 삽입 이미지

              사용자 삽입 이미지

              사용자 삽입 이미지

              사용자 삽입 이미지

              출처: http://www.av-comparatives.org/seiten/ergebnisse_2007_08.php

              마지막으로 이러한 테스트 결과는 특정한 상황에서 이루어진 만큼, 어느정도 감안하여 이해하시는 것이 좋습니다. 맹신은 금물입니다.
              reTweet
              Posted by 문스랩닷컴
              blog comments powered by Disqus
                6월 초순 경에, VB(Virus Bulletin)에서 전세계에서 가장 유명한 바이러스 백신들을 모아 VB100 테스트를 진행한 바 있습니다. 이에 대한 간략한 자료는 다음의 링크를 참고하세요.

                네이버 바이러스제로 카페 까리마 회원님(http://cafe.naver.com/fprot/24220) - 로그인이 필요함, 링크가 깨질 수 있음.


                백신 테스트에 사용된 제품은 모두 37 종이었으며 이중에서 10 개 제품이 테스트에서 실패했습니다. 한가지 호기심을 자극하는 이슈가 있었는데 바로, 가장 정확하면서도 많이 잡는다고 정평이 나 있는 카스퍼스키, 적절한 성능과 진단율 그리고 무료 백신을 제공하는 그리소프트(grisoft), 빠른 속도를 자랑하는 F-Secure - 이 백신들이 모두 ITW(In The Wild) 테스트에서 실패했습니다.

                회사 담당자와의 인터뷰를 통해 어찌된 사연인지 기사가 올라와 있어 심심풀이로 읽으시라고 정리해서 올려 드립니다.

                카스퍼스키(Kaspersky Anti-Virus 6.0.2.621)allaple이라는 이름을 가진 네트워크 웜을 검출해 내지 못해 테스트에 실패했습니다. 관계자는, allaple 웜은 최초 2월달에 시그너처를 추가하였으며, VB100 테스트를 하는 도중에는 allaple 서명을 최적화하는 과정 중이어서 바이러스 데이터베이스에 추가하지 않은 상태라고 밝혔다고 합니다.

                또한, 이 웜이 데이터베이스에 빠져 있었지만 실제 이 웜으로 인해 영향을 받은 고객은 없었다고 단언했습니다. 왜냐하면 보안 슈트에는 바이러스 백신뿐만 아니라 방화벽, 행동 분석(behavioural analysis), 휴리스틱 등이 포함되어 있으나, VB100 테스트에서 행동 분석 기술을 사용하지 않았기 때문이라고 합니다.

                그리소프트(AVG 7.5 Professional Edition)은 W32 agobot 트로이 목마의 변형을 진단하지 못해 실패했다고 합니다. 하지만, 안티 스파이웨어에서는 이미 이 웜을 진단한다고 합니다. AVG는 필요시(on-demand) 검사를 통해 스파이웨어 진단에서 이를 검출해 냈지만, VB100 테스트는 실시간(on-access) 검사를 진행하기 때문에 실패한 것이라고 밝혔습니다.

                또한, 이 트로이 목마 감염으로 인해 고객이 기술 지원 요청을 한 기록은 없다고 밝혔지만, 테스트 결과에 대해서는 '매우 실망'했다고 밝혔습니다.

                F-Secure(F-Secure's Protection Service for Customers 7.00 387)도 카스퍼스키와 마찬가지로 allaple 웜을 검출해내지 못해 실패하였습니다. 관계자는 VB100 테스트 당시 최신의 바이러스 데이터베이스 업데이트가 접수되지 않는 등의 오류가 있었다고 지적하면서, 오프라인으로 테스트를 진행했기 때문에 자동 업데이트의 잇점을 누릴 수 없었다고 언급했습니다.

                한편, 최근에 급부상하고 있는 마이크로소프트의 OneCare와 ForeFront 제품은 VB100 테스트를 통과하였습니다. 작년에 OneCare는 테스트에 실패하였으며, 올해 초에는 아웃룩 파일에서 삭제하는 일부의 버그가 나오기도 하였습니다. 마이크로소프트의 저력이 한번 더 과시되는 테스트가 아니었나 싶습니다.

                끝.


                reTweet
                Posted by 문스랩닷컴
                blog comments powered by Disqus

                  마이크로소프트(MS)의 새로운 PC 운영체제(OS) '윈도 비스타'의 보안 기능이 국제적인 인증을 받지 못한 것으로 드러나 큰 충격을 던져주고 있다.

                  13일 관련업계에 따르면 MS 윈도 비스타에 내장된 보안솔루션 '윈도 라이브 원케어'가 국제적인 보안인증기관 '바이러스 블러틴'의 인증을 받는데 실패한 것으로 밝혀졌다.

                  바이러스 블러틴은 '체크마크', '익사랩(ICSA)' 등과 함께 세계 3대 보안 인증기관으로 꼽힌다. 따라서 바이러스 블러틴이 인증을 거부했다면 그 소프트웨어의 보안 기능은 문제가 있다는 뜻이다. MS는 뛰어난 검색 및 보안 기능이 윈도 비스타의 강점이라고 널리 선전해 왔으나 국제적인 망신을 당하게 된 셈이다.

                  '윈도 라이브 원케어'는 안티 바이러스ㆍ안티 스파이웨어ㆍ백업 등의 기능을 갖춘 제품으로 MS가 보안 서비스 시장에 진출하면서 내놓은 첫번째 작품이다.

                  보안업계의 한 관계자는 "윈도 비스타의 보안 기능은 알려진 것과는 달리 보완해야 할 필요성이 높은 것으로 드러났다"면서 "윈도 비스타를 무리 없이 사용하기까지는 다소 시간이 필요하다"고 말했다.

                  출처: 서울경제
                  reTweet
                  Posted by 문스랩닷컴
                  blog comments powered by Disqus


                    Web Analytics Blogs Directory