제로데이 공격 차단 능력 테스트 : Anti-Malware Test Lab

러시아에 위치한 보안 관련 연구 단체인 안티멀웨어 테스트랩의 신규 사전 차단 성능 테스트가 공개되었습니다.

저는 보안 전문가가 아니며 해당 테스트에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.


출처 : Anti-malware Test Lab

Anti-malware Test Lab은 보안 제품에 대한 여러 테스트를 시도하는데 신규 테스트의 결과가 나오기까지 상당한 시간이 걸립니다. 이번 테스트도 거의 8개월만에 결과가 나온 것 같습니다. 개인적으로 단순한 진단율 테스트가 아닌 다양한 종류의 테스트가 공개되기 때문에 보안 제품에 대한 종합적인 정보를 얻을 수 있어 새로운 테스트가 나오길 기다리곤 합니다.


각설하고 이번에 공개된 테스트는 "Zero-day" 취약점 공격에 대한 방어 능력을 탐지하는 것입니다.

먼저 테스트 결과를 보도록 하겠습니다.

DefenseWall이나 Safe'n'Sec Personal  제품을 처음 보는 분들도 계실 것 같은데 유료 제품으로 HIPS 기능이 무척 강조된 개인용 방화벽 제품입니다. 사실 저도 저런 제품이 있다는 것만 알고 설치조차 해보지 않았는데 성능이 상당히 좋은 제품인가 봅니다.

그런데 테스트에 참가한 제품들을 보면 사전 차단 테스트에 사용된 제품이지만 HIPS라 불릴만한 행동기반 탐지기능이 없는 제품들도 다수 보이는 것을 알 수 있습니다.

테스트에 관한 정보가 러시아어로 나오는지라 정확하지는 않지만 테스트 방법은 아래와 같습니다.

1. 제로데이 취약점 또는 이미 알려진 취약점을 이용하여 악성코드를 유포하는 웹사이트 환경에 접속
    - 물론 접속 시스템은 해당 취약점에 대한 패치가 적용되지 않았음
2. 취약점을 이용하는 스크립트의 행동 등을 사전에 차단하거나 다운되는 중간 숙주나 최종적으로 
   다운로드되는 악성코드를 차단, 또는 취약점을 통해 실행되는 악성코드의 실행을 차단하는 것으로
   를 부여


위와 같은 테스트 방법으로 인해 노드나 안티버 같은 제품들도 점수를 받을 수 있었던 것 같습니다.

생각지도 못한 트렌드 마이크로 제품이 카스퍼스키, 코모도 제품과 같이 있는 것이 신기합니다.
러시아의 단체라서 그런지 카스퍼스키는 어느 테스트에나 상위권을 차지하고 있네요.

G-data 같은 경우 어베스트의 엔진을 사용하고 있음에도, 어베스트에 비해 등급이 한 단계가 낮습니다. 이는 어베스트의 유료 버전에만 추가된 스크립트 차단 기능으로 인해 취약점과 관련된 중간 숙주로 이용되는 스크립트가 차단되었기 때문은 아닌가 하네요.

그리고 테스트 결과가 절대적인 것은 아니지만 의외인 것은 비록 최고 단계는 아니지만 매우 좋은 성적을 거둔 코모도와 마찬가지로 뛰어난 HIPS 성능을 자랑하는 아웃포스트의 경우 테스트 점수가 최하위권이라는 사실입니다.  어떤 취약점을 통해 실행된 것인지는 모르겠는데 프로세스 실행을 사전에 차단 못했다고 하더라도 실행된 악성코드의 행동에 따라 호스트 보호 기능에서 분명히 차단하는 항목들이 있었을 터인데 이상합니다. 악성코드 샘플이 좀 문제였는지도 모르겠네요.



결론적으로 이전에 소개한 MRG의 초기 진단 능력 테스트에도 잠깐 언급했지만 현재의 보안 제품들은 단순히 DB가 많다고해서 좋은 제품이라고 할 수가 없습니다. 이미 생명이 죽은 악성코드를 수집해서 DB에 추가해봤자 괜히 무거워지기만 할 뿐 사용자에게 도움이 되지 않기 때문입니다. 소개한 테스트가 비록 한정적인 범위에서 진행되기는 했습니다만, 보안 제품의 선택시에 고려할 만한 정보가 되었기를 바랍니다.

개인적인 생각으로 보안 제품들을 선택할 때 여러 기준이 있겠지만, 요즘 같은 환경에서는 사전 진단 및 빠른 대응 능력이 다른 기준들보다도 더욱 중요한 것이 아닐까 합니다.



그나저나 다음 리뷰 제품은 정해진 듯 싶습니다. ㅎㅎ