AV-Comparatives에서 피싱 사이트 차단율 테스트 결과를 밝혔습니다.




오스트리아의 보안 연구 단체인 AV-Comparatives에서 처음으로 피싱 사이트에 대한 차단율을 테스트하여 결과를 발표하였습니다. 해당 테스트는 독일의 'PC Magazin'이라는 잡지의 의뢰로 테스트를 진행하였다고 하며, 결과는 이미 위 잡지에서 8월에 제공되었다고 합니다. 정규 테스트가 아니다보니 따로 결과에 따른 등급을 구분하지는 않았습니다.

피싱 사이트로 인한 범죄는 사실 국내에서 그리 흔한 사건은 아닙니다. 보안 관련 뉴스를 챙겨보시는 분이라면 잘 알지도 못할 사안입니다. 국내에서도 은행 사이트나 기타 다른사이드들로 꾸며진 피싱 사이트가 발견되긴 합니다만, 뉴스에 따로 소개가 될 정도의 상당히 드문 경우라 할 수 있습니다.

그러나 외국에서는 국내보다 피싱 사이트에 대한 위험도가 상당히 높습니다. 신용카드를 이용한 결제가 간편하여 유출이 상대적으로 쉬운 점 등 여러 가지 이유로 인해 피싱 사이트 등을 이용한 악성 행위가 많이 이루어지고 있는 형편입니다. 

이번 테스트에서는 피싱 사이트들의 url을 기준으로 접속을 차단할 수 있는 가를 측정하였습니다. 모두 697개의 서로 다른 IP를 가진 피싱 사이트를 샘플로 사용하였으며, 윈도우 XP IE7 환경에서 테스트가 진행되었습니다.


1. 테스트 결과

(※ '*' 표시는 오진이 발생한 것을 의미합니다.)

의외라 할 수 있지만 Webroot 제품이 98.6%로 1위를 차지하였습니다. 초기에 안티스파이웨어 제품이 주력이었던 업체였던 경험 덕분도 있지 않을까 싶습니다. 대형 업체 중에서는 맥아피가 3위를 시만텍이 8위 카스퍼스키가 13위를 차지하였습니다. 카스퍼스키가 대형 업체 치고는 PUA나 기타 잡다한 부분에서도 성적이 좋았는데 여기서는 다소 떨어지는 성적을 거두고 있습니다.

중국의 Qihoo는 76.3%로 꼴찌를 차지하였습니다.

아래는 오진 결과입니다.

이런 오진은 대부분 피싱 사이트나 위험 사이트 차단 기능에 존재하는 휴리스틱 진단법으로 인해 나타나거나 과거에 악성코드가 유포되던 경력이 있을 경우 나타나는데, 사이트명을 보면 여기서는 전자일 확률이 높은 것 같습니다.


마지막으로 가장 흥미로운 조사인데, 각 제품별 웹 필터링 기능이 지원하는 웹브라우저 결과입니다.

오페라나 사파리는 그저 불쌍할 뿐입니다. 의외로 현재 파폭을 위협하고 있는 크롬을 미지원하는 제품들이 많은 것을 알 수 있습니다. 아마 내년 쯤에 제공되는 신 버전에서는 크롬까지는 모두 지원하지 않을까 싶습니다.




사실 테스트를 소개하였긴 했지만, 해당 테스트는 정말 참고 자료 그 이상이 되지 못합니다. 피싱 사이트는 카드 결제 시스템 같은 것도 영향을 미치지만 지역에 따른 영향이 큽니다. 지역별 언어 뿐만 아니라 해당 국가의 주요 웹사이트, 내부 시스템 등에 따라 맞춤 형식을 제작되어야 하기 때문에 지역별  편차가 매우 큽니다.

실제로도 테스트 상에서 밝히고 있는데, 꼴지를 한 Qihoo의 경우 중국발 피싱 사이트에 대해서는 높은 수준의 차단율을 보였다고 합니다.

결국 해당 테스트는 모두 외국계 제품에 외국 사이트를 기준으로 했기 때문에 우리 나라에서는 거의 무용지물인 정보입니다. 다만 다양한 국가별 샘플을 이용했으므로 해당 제품의 샘플(악성 url)확보 수준 및 대응 정도만 참고하시면 될 듯합니다.


- 이상입니다.
신고
Posted by 물여우

댓글을 달아 주세요

  1. Favicon of http://blog.naver.com/hahaj1 BlogIcon 역지사지 2011.10.19 22:35 신고  댓글주소  수정/삭제  댓글쓰기

    말씀대로 단순 참조 자료네요^^
    그나저나 지원 브라우저가 역시 흥미롭습니다.
    아직 구글 크롬 지원은 조금 미흡하네요..
    Opera, Safari 지원하는 제품은 박수가 절로 나오네요... ㅎㅎ

  2. v4to 2011.10.20 08:32 신고  댓글주소  수정/삭제  댓글쓰기

    더욱이 시만텍은 그나마 2012부터 크롬을 지원하는 걸로 아는데 확실히 그런 부분은 느리더군요. 피싱 사이트 차단 기능과는 다르지만 시만텍의 웹 브라우저 방어 기능인 IPS 레이어가 2개로 나누어져 있어서 웹 브라우저 플러그인을 지원 안해도 네트워크상에서 1차적으로 방어가 가능해서 브라우저에 상관없이 보호받는 측면이 있다는 설명을 본 기억이 있습니다. 2012 나오고부터 오진률이 높아지는지 사용자들 원성이 꽤 있네요. 그런데 Eset은 PCMag에서 완전 허접하게 취급당했더군요 별 2.5 개인적으로 가장 좋아하는 게 Eset인데 안타깝네요. 시만텍보다 Eset이 더 괜찮은듯한데 리뷰 결과는 다르고...

    • Favicon of http://arrestlove.tistory.com BlogIcon 물여우 2011.10.20 12:52 신고  댓글주소  수정/삭제

      노턴의 실시간 진단 기능 중 브라우저와 관련된 것으로는 취약점 진단을 주로하는 ips와 웹브라우저 보호 그리고 일반적인 시스템 감시인 파일 감시(클라우드 진단 포함)이 있습니다.
      이 중 ips는 브라우저가 상관없지만 웹브라우저 보호 기능은 브라우저에 종속됩니다. 두 기능이 진단 범위가 다르기 때문에 실상 지원하지 않는 브라우저를 사용하면 감시 수준이 떨어지게 됩니다. 2012에서 크롬을 지원하기 시작했다니 그나마 다행이네요.

      pcmag의 자료는 자체 테스트와 여러 가지 다른 유명 테스트들 자료를 짬뽕해서 결과를 내는 것 같더군요. eset이 별 2.5라는 건 처음봤는데 어디서 보신 건가요? 최근 자료에서는 eset은 등급이 없던데..

    • v4to 2011.10.20 15:23 신고  댓글주소  수정/삭제

      PC Mag에서 ESET Smart Security 5를 리뷰했는데 2.5/5를 주었더군요. 테스트 결과가 별로 였는지 "Poor malware blocking"라고 말 할 정도. 노턴이나 트렌드 마이크로에 비해서 포함된 방화벽 수준도 아주 떨어지는 걸로 설명했습니다. PC Mag은 그래도 명성이 있는 곳인데 Cnet과는 너무 다른 평가를 했더군요. 개인적으로 Eset을 좋아하는데 근래 본 리뷰중에 평점이 너무 안 좋았어요.

      http://www.pcmag.com/article2/0,2817,2392635,00.asp#fbid=pLzPBWsNq4Z

    • Favicon of http://arrestlove.tistory.com BlogIcon 물여우 2011.10.20 16:34 신고  댓글주소  수정/삭제

      제품 리뷰였군요. 전 테스트 자료만 봐서 몰랐네요;;
      뭐 테스트에 따라 결과가 조금씩 달라지는 것 아니겠습니까?
      pcmag의 테스트는 avast, 빗디, eset 등 다른 테스트에서 잘나가는 제품들은 성능이 떨어지고 avg나 vipre(ad-aware)등은 반대로 성능이 높게 나오는 경향이 있습니다.
      어떤 테스트를 중요하게 보시느냐와 체감하는 바가 어떠냐가 중요합니다. 일희일비하실 필요는 없을 것 같아요~ ^^

  3. Favicon of http://hseui.tistory.com BlogIcon 세의 2011.10.20 21:41 신고  댓글주소  수정/삭제  댓글쓰기

    테스트가 IE7에서 이루어졌다니.. ㅎㅎ

    • Favicon of http://arrestlove.tistory.com BlogIcon 물여우 2011.10.20 22:43 신고  댓글주소  수정/삭제

      그건 의도적으로 한 것 같아요. ㅎㅎ
      특정 제품의 호환성이나 피싱 사이트에 접속할 때 버전 체크를 통과하기 위함일 것 것 같은데 정확한 이유는 모르겠네요.

  4. Favicon of http://wezard4u.tistory.com BlogIcon Sakai 2011.10.21 10:37 신고  댓글주소  수정/삭제  댓글쓰기

    webroot 모바일에서도 나름 쓸만하더군요.다만 인으로 시작하는. 취업사이트를 한번 피싱사이트로 잡았던 경험이있는것 같습니다.지금은 어떠하는지 모르겠네요.그리고 카퍼가 조금 안좋은성적을 보인것 같네요.




티스토리 툴바