Matousec 사전 방역 성능 테스트 - 64비트에서 보안 제품의 성능 저하 문제 (2012.2.17)

Matousec의 최신 테스트 결과를 살펴봅니다.

▶ 관련글

- PCTools의 64비트 성능? 호환성은? - Matousec (2011.12.21)
- 새롭게 변화된 Matousec 사전 방역 성능 테스트 (2011.12.03) 

▶ 출처 : http://www.matousec.com

---

시스템 공격 기법에 대한 보안 제품의 사전 방역 성능을 종합적으로 테스트하는  Matousec의 최신 결과를 살펴보겠습니다. 올해 들어서 두 번째 테스트이며, 64비트 환경에서 수행된 3번째 테스트입니다.

이번에 발표된 결과는 아래와 같습니다. 비트디펜더와 노턴의 최신 버전이 추가되었으며, 이전 테스트에서 개인용 방화벽과 HIPS 기능으로 유명한 코모도가 포함되었습니다.

먼저 코모도는 11단계에 도달했으며, 테스트 항목의 94%를 통과하였습니다. 비록 32비트 테스트처럼 100% 모든 항목을 통과한 것은 아니지만, 이 정도 결과면 코모도가 64비트에서도 뛰어난 성능을 갖고 있음에는 의심의 여지가 없을 것 같습니다. 사실 코모도는 보안 제품들 중 거의 최초로 64비트를 온전하게 지원했었던 제품입니다. 단순히 기능이 지원되는 것 뿐만 아니라, 실제 기능 구현된 보안 수준에 있어서도 32비트와 거의 유사한 성능을 제공해주고 있습니다.

이와 반대로 32비트에서 뛰어난 성적을 거두었던 제품들이 64비트에서 초라한 성적을 보여주는 경우를 많이 볼 수 있었습니다. 피시툴즈는 이미 지난번 글에서 다루었으며, 2012버전에서 새롭게 추가된 HIPS 기능으로 97%의 통과율을 보여 최상위권에 머물렀던 비트디펜더가 한자리수인 9%의 통과율을 보이며 곤두박질쳤고, 노턴도 이전 테스트보다 통과율이 절반으로 떨어졌습니다.

ESET에 추가된 초기 수준의 HIPS 기능이 33%의 통과율로 그나마 통합형 제품들의 자존심을 지키고 있는 형편입니다. 아직 많은 수의 제품들이 테스트되지 않았지만, 주요 보안 업체들의 성적을 보아 비슷한 수준을 보여줄 것으로 생각됩니다. 32비트 테스트와 64비트 테스트간 테스트 항목이 서로 다른 부분이 있음을 감안한다 해도 실망스런 결과가 아닐 수 없습니다.


이와 같이 보안 제품들이 극단적인 점수 하락을 보여주는 이유는 결국 64비트 환경을 제대로 지원하지 않고 있기 때문입니다. 실제로 대부분의 제품들이 Mtousec의 테스트에 중요한 영향을 미치는 HIPS 기능을 비롯한 행동 기반 진단 기능들이 64비트에서 제대로 동작되지 않고 있습니다.

Matousec에서도 이에 대해 간단하게 언급을 했습니다.

- 64-bits are uneasy to protect for many

'현재 보안 제품들이 64비트 환경을 제대로 지켜주지 못하고 있다.' 정도로 요약할 수 있을 것 같은데, 유독 행동 기반 진단 기능이 64비트에서 제대로 동작하지 않음은 상당히 아쉽습니다.


행동 기반 진단과 달리 시그니처 진단은 64비트 OS 환경에서도 그럭저럭 동작이 잘 되고 있습니다. 알려진 바로는 64비트 환경에서 32비트 호환 상태로 동작하더라도 특정한 경우가 아닌 이상 실시간 감시와 수동 검사를 통한 진단 자체에는 문제가 없다고 합니다. 요즘에는 32비트 호환으로 동작하는 경우도 거의 없기 때문에, 시그니처 진단은 행동 기반 진단과 달리 큰 문제를 일으키지 않음을 알 수 있습니다. 

관련 글은 찾지는 못했지만 요즘 들어 많이 추가되고 있는 클라우드 진단도 64비트 OS하에서 제대로 동작하고 있는 것으로 알고 있습니다. 사실 보안 제품에 피진단되는 악성코드도 64비트 전용으로 동작되는 경우는 아주 드물게 나타나는 형편입니다^[각주:1]. 

대부분의 악성코드가 32비트로 동작되고 있고, 사용자 대다수도 아직 32비트 OS를 사용하고 있으니, 주력도 아닌 시그니처 진단을 보조하는 역할을 하는 행동 기반 진단 기능에 대한 64비트 지원이 느릿느릿하게 되고 있는 것 같습니다.


그러나 보안 제품은 다른 여타 프로그램들과 달리 사용자의 안전을 책임지는 특수한 목적의 유틸리티라는 점, 상대적으로 소수의 사용자지만 그들은(유료 사용자이든 무료 사용자이든) 엄연히 32비트와 동일한 수준의 보안 서비스를 받아야할 권리가 있는 사용자라는 점을 고려해보면, 보안 업체들은 하루빨리 64비트 지원을 정상적으로 해주어야한다고 생각합니다.

개인적으로는 다른 업체들이 미적거리고 있는 상황에서 코모도와 같이 홀로 빠르게 치고 나가서 이를 적극적으로 홍보한다면, 일종의 선점 효과를 통한 이미지 재고에 큰 도움이 될 것으로 생각하는데, 보안 업체들의 느림보 거북이 같은 행보가 답답하고 아쉬울 따름입니다.

---

기술적인 문제도 상당히 영향을 미치겠지만 그럼에도 불구하고 64비트 지원은 너무 느립니다. 개인적으로는 윈도우 8이 출시될 때쯤 돼서야 대부분의 제품들이 64비트 지원을 완벽하게 할 것으로 예상합니다. 비록 윈도우 8이 초기 루머와 달리 32비트 제품도 제공한다고 합니다만, 그때쯤이면 프로그램과 웹 호환성이 64비트를 기준으로 맞추어질 것이라서 대다수의 사용자가 64비트 OS를 선택할 것이라 생각합니다.

결국 지금 상황에서 HIPS 기능을 포함한 행동 기반 진단 기능을 온전히 이용하고픈 분들에게는 코모도가 유일한 선택지같습니다. 앞서도 언급했지만 노턴 등 업체의 트렌드를 주도해가는 주요 보안 제품들의 수준을 보면 테스트되지 않은 제품들의 결과가 별반 다를 것 같지 않을 것으로 예상됩니다.

그래도 개인적으로 Outpost 무료 제품과 카스퍼스키에 대해서 약간의 기대를 하고는 있습니다. 이들 제품 뿐만 아니라 다른 어떤 제품이라 할지라도 좋은 결과가 나와서 사용자들의 선택지가 많아질 수 있었으면 좋겠습니다.

이와 별도로 지금은 테스트를 받지 않고 있는 Online Armor도 테스트에 참여하였으면 합니다. 이카루스 엔진을 사용하는 Emsisoft로 회사가 넘어갔는데, 과거의 명성을 지킬 수 있을지 사뭇 궁금합니다.


- 이상입니다.

1. 실제 공격 용도로 광범위하게 퍼진 64비트용 악성코드는 전무한 실정입니다. [본문으로]