▶ 보안 제품 테스트 정보

보안 제품의 성능 테스트

물여우 2008. 12. 17. 14:46
반응형
개인적으로 다양한 악성코드의 공격에서 사용자의 PC를 안전하게 보호하기 위해서는 개인의 컴퓨터 관리 능력이 매우 중요하다고 생각합니다. (최소한 개인 사용자 유저에 대해서는 그렇게 생각합니다.)

그러나 개인 사용자가 높은 보안 의식을 가지고 있다고 해도 보안 제품에 의존할 수 밖에 없는 것이 현실인 이상 개인 사용자는 가능하면 뛰어난 성능을 가진 보안 제품을 사용하려고 하는 것이 당연할 것입니다. 그렇다면 보안 제품의 성능을 나타내는 지표는 무엇이 있을까요? 

DB의 양(누적된 샘플로 기본적인 검출력을 의미), 신규 악성코드에 대한 대응력, 오진 대응, 사전차단 능력(휴리스틱 기법, 행동탐지기능, 침입탐지방지기능-HIPS/nIPS), 시스템 퍼포먼스의 감소 여부, 사용 편의성, 고객 서비스 수준, 기타 새로운 서비스 등 매우 많은 것들이 떠 오릅니다.

이중에서 아마 개인 사용자들이 보안 제품의 성능의 수준을 판가름하는 지표로 생각하는 것은 검출력에 대한 것이 아닐까 합니다.
(시그니처 기반의 진단율 : 기본 검출력 + 휴리스틱 등의 의심진단) 개인적으로도 이는 절대적인 지표는 아니지만 보안 제품의 기본 수준을 나타내는 것이라 생각합니다. 

그렇다면 보안 제품의 성능에 대해 사용자가 원하는 정보는 어디서 얻을 수 있을까요?
이미 아시는 분들이 많겠습니다만 국내외의 보안 제품을 비교 분석해주는 테스트들이 존재합니다.

유명한 테스트 들을 소개하면 아래와 같습니다.
(저는 국내에 소개된 유명한 테스트들만 알지 소규모로 진행되는 테스트나 해커들끼리 포럼 등에서 폐쇄적으로 진행된는 경우는 잘 모릅니다.)

국내 보안 업체도 많이 참여하는 국제 인증 테스트들은 아래와 같습니다.

 Virus Bulletin    http://www.virusbtn.com 
 Checkmark   http://www.check-mark.com
 ICSA Labs   http://www.icsalabs.com   

국내 업체들은 참여하지 않지만 진단율 테스트로 매우 유명하며 권위있는 연구/테스트 단체는 아래와 같습니다.

 AV-test.org  http://www.av-test.org
 AV-Comparatives  http://www.av-comparatives.org

위에서 언급한 테스트 단체는 규모가 비교적 큰 민간 단체이며, 정부나 보안 업체와는 독립적으로 운영됩니다. 최근에는 진단율 뿐만아니라 사전 방역 기능, 제품 퍼포먼스 측정 등 다양한 기능과 성능을 테스트합니다.

그 외에도 개인 또는 소규모 단체에서 테스트를 시행하기도 합니다.

Anti Malware test lab : http://www.anti-malware-test.com/ (보안 제품의 여러 가지 기능을 테스트)
PCSL : http://www.pcsecuritylabs.net/
MRG
: http://malwareresearchgroup.com/
Virus.gr : http://www.virus.gr/ (국내에서 국내외 보안 제품 검출 테스트로 많이 소개되었던 곳)
Virusinfo : 
http://virusinfo.info/ (Virus total에 업로드된 악성코드를 기초로한 통계수치 제공)
Matousec : http://www.matousec.com/ (방화벽 성능 테스트)
Shadowserver :
http://www.shadowserver.org/wiki/pmwiki.php 
(유포되는 악성코드, 위험요소 동향 등을 분석합니다. 각 보안 업체들의 신규 샘플에 대한 대응 능력을 테스트 하기도 합니다.)


이 외에도 제품 퍼포먼스같은 각종 벤치 자료를 발표하는 많은 단체가 있습니다. 



그렇다면 테스트의 결과는 어떻게 받아들여야할까요??

일단, 제 경우는 이런 테스트의 결과를 주목하는 편입니다. 특히 소개하면서 표로 지정한 테스트들의 자료는 다른 테스트들에 비해 국제적으로도 권위와 신뢰도를 갖추고 있고 인지도도 높은 지라 저 같은 일반 사용자 뿐만 아니라 각 보안 업체와 보안 커뮤니티, 포럼에서도 많이 참고하는 자료입니다. 

보안 제품을 선택하거나 다른 이에게 추천할 때 개인의 호불호도 중요하겠습니다만 이런 테스트들의 객관적인 자료를 기초로 선택하게 되면 보다 더 만족스런 결과가 나오지 않을까 합니다.

여기서 중요한점은 특정 단체의 특정 시점의 테스트 자료만 가지고 보안 제품의 성능에 대해 판단하는 것이 아니라, 다양한 테스트 자료들을 종합해서 살펴본다는 점입니다. 또한, 한 번의 테스트 성적보다는 이전에 행하여졌던 테스트들을 함께 살펴보면서 테스트의 연속적인 흐름을 살펴봅니다. 이와같이 연속적이면서도 종합적으로 결과를 살펴보아야만 보안 제품들의 장단점을 유추할 수 있기 때문입니다.

물론 국제적으로 인지도가 있는 테스트에서 상위를 차지하는 제품이 곧 가장 뛰어난 제품이 되는 것은 아닙니다. 이유는 대부분의 테스트가 보안제품의 제한적인 부분(보통 검출력)만을 측정한 것이기에 보안 제품이 갖고 있는 모든 가치를 측정/비교한 것이 아니기 때문입니다. 아무리 검출력이 보안 제품에 있어 중요한 지표지만 사용자마다 중요하게 여기는 지표가 다 다르기 때문에 테스트에 없는 여러 가지를 고려해야합니다. 예를 들어 카스퍼스키 제품을 리뷰하며 지적했듯이 검출력도 뛰어나고 많은 기능이 포함된 훌륭한 제품임에도 사용법이 어렵기 때문에 사용편의성을 추구하는 사용자라면 이 제품은 그리 좋은 제품이 아닐 것입니다.

중요한 것 한가지가 더 있습니다. 개인 또는 소규모 단체에서 시행한 테스트들은 물론이고, 이런 테스트에 비하여 정확성과 객관성에서 비교가 안되는, 규모가 큰 국제 인증 테스트들도 테스트의 공정성에 관한여 논란이 존재합니다. 재정적, 정치적으로 어느 정도 독립된 테스트 단체라 할지라도 테스트를 하기 위해서는 보안 업체의 협력이 꼭 필요하기 때문입니다. 이것은 규모가 큰 보안 업체의 입김이 어느 정도는 존재할 수 도 있다는 것을 의미하기 때문에, 종종 테스트에 대한 객관성 논란(보통 샘플 선정이나 제품의 설정 상태의 차이 등)이 국내외에서 일어납니다.

현재 이런 논란을 불식시키기 위해 많은 보안업체들이
AMTSO라는 단체
를 조직하여 공정한 테스트를 위한 가이드라인을 지정하려 노력하고 있습니다. 물론 AMTSO의 가이드라인의 공정성에도 의문을 제기할 수 있을 것입니다만, 지금까지의 테스트들에 비해 좀 더 발전적이고 공정한 테스트가 나올 수 있지 않을까 기대할 수 있을 듯 합니다.




결론적으로 보안 제품을 테스트한 여러 자료들은 어떤 절대적인 가치를 지닌 '기본 자료'가 아니라 판단을 위한 보조 역활을 하는'참고 자료' 로써 활용해야한다 생각합니다. 특히나 위에서 강조한 것처럼 소수의 테스트 자료만 가지고 논하는 것보다, 여러 자료에서 도출되는 다양한 결과들을 바탕으로 보안 제품의 성능을 판단해야 할 것입니다.

반응형

'▶ 보안 제품 테스트 정보' 카테고리의 다른 글

보안 제품의 성능 테스트  (4) 2008.12.17