반응형
웹 기반으로 다양한 보안 제품의 악성코드 진단값을 알려주는 바이러스 토탈 서비스가 시간에 따라 변경된 부분을 살펴봅니다.
바이러스 토탈(Virus Total, 이하 바토) 서비스에 대한 정보는 위 관련글을 참고 바랍니다.
여기서는 바토 서비스가 위의 글에서 설명한 이 후에 변경된 부분을 살펴보겠습니다.
1. 보안 제품의 엔진 변경 및 버전 업데이트
기본적인 변화로 처음 소개했을 때를 기준으로 1년의 시간이 경과한 만큼 다수의 제품들이 현재 최신 버전, 또는 그에 근접한 빌드로 엔진 버전이 수정되었습니다.
그러나 일부 제품에서는 여전히 구 버전의 엔진을 사용하고 있는데, 특히 카스퍼스키의 경우 엔진 버전이 7버전대(현재 9버전대)를 유지하고 있기 때문에, 진단에 차이가 발생하고 있습니다. 특히, 휴리스틱 진단이 최신 버전에서 대폭 증가했기 때문에 실제 진단하고 있을 때 진단하지 못하는 경우가 많은 것 같습니다.
에프시큐어는 9버전으로 변경되면서 카스퍼스키 엔진에서 비트디펜더 엔진으로 주 엔진이 변경되었습니다. 또한, 피시툴즈도 바이러스 버스터 엔진을 사용하다가 자체 엔진을 사용하는 것으로 변경되었습니다.
2. 새로운 제품들 추가
이전 리뷰 당시에는 바토에는 총 40개의 제품이 존재했으나 현재는 41개로 증가되었습니다.
기존 제품 중에서 삭제된 것은 K7 Antivirus(인도), McAfee+Aretemis(미국)입니다.
맥아피+아르테미스의 경우 아르테미스 기능에 대한 홍보성이 강했는데 최근에 삭제되었습니다. 현재 남아있는 맥아피에 아르테미스 진단값이 추가되지는 않은 것으로 보여, 삭제 이유가 다소 의아한 부분이기도 합니다.
새롭게 추가된 제품은 "AVAST 5(체코)", "Jiangmin(중국)", "TrendMicro-HouseCall(일본)"입니다.
AVAST 5의 경우 최근에 릴리즈된 5버전을 홍보하는 성격이 매우 강합니다. 그에 대한 근거가 기존에 바토에 포함되어 있던 4.8버전 모듈이 그대로 존재한다는 점입니다. 기존 버전에 비해 발전된 휴리스틱 등을 통해 나타난 진단력 상승을 비교해서 보여주려는 것 같습니다.
반대로 4.8버전에서만 진단되는 경우도 있다고는 하는데 제가 테스트한 샘플 중에서는 없었습니다.
Jiangmin은 킹소프트, 라이징과 함께 중국을 대표하는 보안 업체 중 하나며 최근에 추가되었습니다.
TrendMicro-HouseCall은 이전에 리뷰한 트렌드 마이크로의 웹서비스인데 홍보적인 목적으로 추가된 것으로 보입니다. 세부 내용은 (무료 악성코드 진단/치료 서비스 TrendMicro House Call 7.1 소개)를 참고 바랍니다. 지금까지 테스트해본 봐로는 기존에 있던 트렌드 마이크로 모듈과 진단이 크게 차이나는 것 같지는 않습니다.
3. 새로운 진단값 추가 등의 자체 변화
먼저 국내 보안 업체인 안랩의 V3에 ASD 기능의 진단값이 추가되었습니다. ASD는 클라우드 기술을 이용해서 악성코드 분석 연구실의 서버와 사용자 PC의 파일을 비교해서 악성 여부를 진단하는 기능입니다. 휴리스틱과 같은 의심진단 기술은 아니지만 사용자 시스템에 시그니처 DB가 저장되기 전에 서버에서 바로 정보를 받아올 수 있기 때문에 DB가 완성되는 시간차를 줄여주어 빠른 진단이 가능한 기능입니다.
"ASD.Prevention"로 진단되는 경우 V3의 일반 시그니처 엔진이 아닌 ASD를 통한 진단값입니다.
이 외에도 최근에 이전에는 못보던 제너릭(generic) 진단값들이 눈에 띄는데 시그니처 DB내에 포함된 새로운 진단값인지 ASD와 연관된 진단값인지는 정보가 없어 확실하지 않습니다.
다음으로는 역시 국내 보안 업체인 엔프로텍트에 대한 변경입니다. 엔프로텍트는 비트디펜더 엔진과 자사 엔진을 듀얼로 사용하는 제품인데 과거에는 비트디펜더의 진단값은 바토에서 제공되지 않았습니다. 그러나 최근에 모듈 수정으로 비트디펜더가 진단하는 경우도 실제 제품의 진단값과 마찬가지로 제공되기 시작하였습니다.
마지막으로는 노턴의 "Suspicious.Insight" 진단값에 대한 변경입니다. 인사이트(다운로드 인사이트 등) 기능은 개인용 제품 기준으로 2010버전에 추가된 기능으로 클라우드 기술을 이용한 평판 기능입니다. 클라우드 기술을 이용해서 특정 파일에 대해 사용자들의 사용 허락/차단 여부와 시만텍의 분석 정보가 종합적으로 고려되어 파일의 악성 의심여부를 판별하는 기술입니다. 위 진단값은 파일의 악성 여부가 판별나지 않았다는 것을 뜻하는데, 실제 사용자 시스템에서는 해당 파일에 대해 아직 사용자들의 판별 수준이 미약하고 시만텍의 분석이 끝나지 않은 것을 의미합니다.
그런데 사용자들이 바토에 해당 진단값이 추가되면서 해당 진단명을 실제 악성파일을 진단한 값으로 오인하는 경우가 많아졌습니다. 실제 환경에서도 이에 대한 진단값 때문에 국내외에서 고객 문의가 많았다고 하는데, 결국 진단값이 진단 결과 하단부에 따로 표시되고 있습니다.표시되다가 최근에는 아예 삭제되었습니다.
좋은 기능임에는 틀림이 없고, 홍보용으로 진단값을 추가했지만, 결과적으로는 나쁜 이미지를 만들어낸 것 같습니다. 특정 제품의 특정 기능에 대해 자세히 알아보려는 일반 사용자는 거의 없다는 사실을 간과한 것이 아닌가 합니다.
4. 세부 분석 정보 추가
마지막 변경점으로 바토에서 제공하는 파일의 세부 분석 정보가 이전에 비해 다양해졌습니다. 각 보안 제품들의 진단 결과 하단부에는 업로드된 파일에 대한 해쉬값과 PE 분석 정보들이 제공되고 있습니다. 그러나 매우 전문적인 지식을 요하는 부분이기 때문에 아래와 같이 "파일의 일반 정보"도 제공한다는 점만 기억해두면 될 것 같습니다.
- 이상입니다.
여기서는 바토 서비스가 위의 글에서 설명한 이 후에 변경된 부분을 살펴보겠습니다.
1. 보안 제품의 엔진 변경 및 버전 업데이트
기본적인 변화로 처음 소개했을 때를 기준으로 1년의 시간이 경과한 만큼 다수의 제품들이 현재 최신 버전, 또는 그에 근접한 빌드로 엔진 버전이 수정되었습니다.
그러나 일부 제품에서는 여전히 구 버전의 엔진을 사용하고 있는데, 특히 카스퍼스키의 경우 엔진 버전이 7버전대(현재 9버전대)를 유지하고 있기 때문에, 진단에 차이가 발생하고 있습니다. 특히, 휴리스틱 진단이 최신 버전에서 대폭 증가했기 때문에 실제 진단하고 있을 때 진단하지 못하는 경우가 많은 것 같습니다.
에프시큐어는 9버전으로 변경되면서 카스퍼스키 엔진에서 비트디펜더 엔진으로 주 엔진이 변경되었습니다. 또한, 피시툴즈도 바이러스 버스터 엔진을 사용하다가 자체 엔진을 사용하는 것으로 변경되었습니다.
2. 새로운 제품들 추가
이전 리뷰 당시에는 바토에는 총 40개의 제품이 존재했으나 현재는 41개로 증가되었습니다.
기존 제품 중에서 삭제된 것은 K7 Antivirus(인도), McAfee+Aretemis(미국)입니다.
맥아피+아르테미스의 경우 아르테미스 기능에 대한 홍보성이 강했는데 최근에 삭제되었습니다. 현재 남아있는 맥아피에 아르테미스 진단값이 추가되지는 않은 것으로 보여, 삭제 이유가 다소 의아한 부분이기도 합니다.
새롭게 추가된 제품은 "AVAST 5(체코)", "Jiangmin(중국)", "TrendMicro-HouseCall(일본)"입니다.
AVAST 5의 경우 최근에 릴리즈된 5버전을 홍보하는 성격이 매우 강합니다. 그에 대한 근거가 기존에 바토에 포함되어 있던 4.8버전 모듈이 그대로 존재한다는 점입니다. 기존 버전에 비해 발전된 휴리스틱 등을 통해 나타난 진단력 상승을 비교해서 보여주려는 것 같습니다.
어베스트 5버전의 추가 진단값들
Jiangmin은 킹소프트, 라이징과 함께 중국을 대표하는 보안 업체 중 하나며 최근에 추가되었습니다.
TrendMicro-HouseCall은 이전에 리뷰한 트렌드 마이크로의 웹서비스인데 홍보적인 목적으로 추가된 것으로 보입니다. 세부 내용은 (무료 악성코드 진단/치료 서비스 TrendMicro House Call 7.1 소개)를 참고 바랍니다. 지금까지 테스트해본 봐로는 기존에 있던 트렌드 마이크로 모듈과 진단이 크게 차이나는 것 같지는 않습니다.
3. 새로운 진단값 추가 등의 자체 변화
먼저 국내 보안 업체인 안랩의 V3에 ASD 기능의 진단값이 추가되었습니다. ASD는 클라우드 기술을 이용해서 악성코드 분석 연구실의 서버와 사용자 PC의 파일을 비교해서 악성 여부를 진단하는 기능입니다. 휴리스틱과 같은 의심진단 기술은 아니지만 사용자 시스템에 시그니처 DB가 저장되기 전에 서버에서 바로 정보를 받아올 수 있기 때문에 DB가 완성되는 시간차를 줄여주어 빠른 진단이 가능한 기능입니다.
ASD 진단값
"ASD.Prevention"로 진단되는 경우 V3의 일반 시그니처 엔진이 아닌 ASD를 통한 진단값입니다.
이 외에도 최근에 이전에는 못보던 제너릭(generic) 진단값들이 눈에 띄는데 시그니처 DB내에 포함된 새로운 진단값인지 ASD와 연관된 진단값인지는 정보가 없어 확실하지 않습니다.
다음으로는 역시 국내 보안 업체인 엔프로텍트에 대한 변경입니다. 엔프로텍트는 비트디펜더 엔진과 자사 엔진을 듀얼로 사용하는 제품인데 과거에는 비트디펜더의 진단값은 바토에서 제공되지 않았습니다. 그러나 최근에 모듈 수정으로 비트디펜더가 진단하는 경우도 실제 제품의 진단값과 마찬가지로 제공되기 시작하였습니다.
비트디펜더 진단값 추가
마지막으로는 노턴의 "Suspicious.Insight" 진단값에 대한 변경입니다. 인사이트(다운로드 인사이트 등) 기능은 개인용 제품 기준으로 2010버전에 추가된 기능으로 클라우드 기술을 이용한 평판 기능입니다. 클라우드 기술을 이용해서 특정 파일에 대해 사용자들의 사용 허락/차단 여부와 시만텍의 분석 정보가 종합적으로 고려되어 파일의 악성 의심여부를 판별하는 기술입니다. 위 진단값은 파일의 악성 여부가 판별나지 않았다는 것을 뜻하는데, 실제 사용자 시스템에서는 해당 파일에 대해 아직 사용자들의 판별 수준이 미약하고 시만텍의 분석이 끝나지 않은 것을 의미합니다.
악성코드 진단 결과값에 포함되던 과거 모습
그런데 사용자들이 바토에 해당 진단값이 추가되면서 해당 진단명을 실제 악성파일을 진단한 값으로 오인하는 경우가 많아졌습니다. 실제 환경에서도 이에 대한 진단값 때문에 국내외에서 고객 문의가 많았다고 하는데, 결국 진단값이 진단 결과 하단부에 따로 표시되고 있습니다.
하단 부에 따로 결과 공개
좋은 기능임에는 틀림이 없고, 홍보용으로 진단값을 추가했지만, 결과적으로는 나쁜 이미지를 만들어낸 것 같습니다. 특정 제품의 특정 기능에 대해 자세히 알아보려는 일반 사용자는 거의 없다는 사실을 간과한 것이 아닌가 합니다.
4. 세부 분석 정보 추가
마지막 변경점으로 바토에서 제공하는 파일의 세부 분석 정보가 이전에 비해 다양해졌습니다. 각 보안 제품들의 진단 결과 하단부에는 업로드된 파일에 대한 해쉬값과 PE 분석 정보들이 제공되고 있습니다. 그러나 매우 전문적인 지식을 요하는 부분이기 때문에 아래와 같이 "파일의 일반 정보"도 제공한다는 점만 기억해두면 될 것 같습니다.
- 이상입니다.
반응형
'▶ 보안 관련 정보 및 팁' 카테고리의 다른 글
윈도우용 보안 제품들의 취약점 보고서 (by Matousec) (6) | 2010.05.11 |
---|---|
악성코드 확인 방법 1 : 무료 멀티엔진 파일 검사 서비스 모음 (19) | 2010.05.04 |
맥아피의 시스템 파일 오진, V3의 시스템 오류 유발 소식 (10) | 2010.04.22 |
한글판 사용 가능 : AVAST 5 Free Antivirus 빌드업 5.0.396 <추가> (0) | 2010.01.29 |
네이버 메일 방역 시스템의 암호 걸린 압축 파일 진단 (8) | 2009.12.18 |