▶ 보안 제품 테스트 정보/:: AV-Comparatives

AV-Comparatives Malware Removal Test : 악성코드 치료 성능 테스트

물여우 2009. 10. 24. 20:25
반응형
AV-Comparatives에서 보안 제품들의 악성코드에 감염된 시스템을 치료하는 능력에 대한 테스트 결과를 발표하였습니다.

저는 보안 전문가가 아니며 보안에 대하여 전문적이고 기술적인 지식을 지니고,
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.
  


오스트리아에 위치한 유명 보안 연구 단체인 AV-Comparatives에서 일반 사용자용 보안 제품의 치료 성능 테스트를 실시하였습니다.

개인적으로 보안 제품의 기본적이면서도 가장 중요한 역활은 악성코드에 대한 사전 진단이라고 생각합니다. 그러나 현실적으로 보안 제품에서 모든 악성코드를 진단할 수 없는게 사실이고, 이미 진단하고 있는 악성코드의 경우에도 사용자의 실수나, 제로데이 공격에 의해 사용자 시스템이 감염되는 경우가 많이 발생하고 있습니다.
 
특히, 최근에 극성을 부리는 허위 보안 제품들이나 웜, 봇처럼 스스로를 은폐하여 진단을 회피하거나 시스템의 주요 설정 등을 변경하고 보안 제품마저 비활성화 시키는 등 일단 감염되면 사용자가 쉽게 정상 상태로 복구시키기 어려운 경우가 매우 많아 보안 제품의 치료 능력은 또 하나의 중요한 성능 판단의 기준이 될 것입니다.

이번 AV-Comparatives에서는 와일드 리스트 샘플과 함께 광범위하게 퍼진 악성코드 중 10개를 선택하여 테스트에 임하였습니다.

참고로 개인적으로는 보안 제품의 '치료'란 악성코드가 시스템에 영향을 준 모든 요소를 제거 또는 정상상태로 복구하는 것이라고 정의합니다. 치료 성능 테스트라 번역한 Malware Removal test 또한 해당 악성코드를 단순히 제거하는 것 뿐만 아니라 레지스트리 변경, 일부 파일 변조 등 다양한 변경 사항을 얼마나 제대로 복구하는지를 테스트한 것입니다.




1. 테스트 결과

출처 : http://www.av-comparatives.org



세부 정보는 위 PDF 파일 링크를 참고 바랍니다.

Escan 제품은 비록 두 개의 샘플 제거에 실패하였지만 다른 샘플들은 완벽한 치료하여 제거하고 있습니다. 오래 전부터 치료 능력이 뛰어나다 평가받은 노턴이나 카스퍼스키도 좋은 결과를 보여주고 있습니다. 의외인 것은 비트디펜더인데 비트디펜더도 자동 분석 시스템에 의한 Generic 진단값이 많은 제품이다 보니 치료 성능은 큰 기대를 하지 않았는데 비교적 좋은 성능을 보이고 있습니다. 아마도 테스트 샘플이 비교적 널리 퍼지고 분석이 완료된 샘플이다보니 제너릭 진단이 아닌 정식 진단된 경우이기 때문이 아닐까 합니다. 

또한 MS의 무료 제품의 기반 엔진으로 쓰이는 Onecare 제품도 좋은 결과를 받았는데 최근에 정식 버전이 나타난 무료 제품은 지역별 대응 능력만 좀더 강화된다면 상당히 매력적인 제품이 아닐까 합니다.

역시나 Eset, Antivir 같은 제품들은 사전 진단 능력에 비해 다소 떨어지는 치료 성능을 보이고 있습니다. 애초에 사전 방역을 위한 휴리스틱 진단에 중심을 둔 제품들이다보니, 매우 잘 알려진 샘플에 대해서도 치료에 부족한 부분이 보이는 것 같습니다.

KingSoft의 경우 중국의 대표적인 제품 중 하나인데 여러 모로 안타까운 경우가 많습니다. 이리 치이고 저리 치여도 테스트에 꼭 참가하는 것 자체가 대단한 것 같습니다.


2. 세부 정보


1. 테스트 샘플


테스트에 쓰인 샘플이 적어서 다소 아쉽지만 특별한 악성코드를 제외하고는 악성코드들의 시스템 변경 사항은 일종의 패턴이 있기 때문에 큰 문제는 아닌 것 같습니다.

테스트에 쓰인 악성코드들은 모두 보안 제품들이 진단하고 있으며, 이미 오래전에 진단되어 해당 벤더들이 악성코드에 대한 세부적이 정보를 이미 파악하고 있는 샘플을 골라 테스트하였다고 합니다.


2. 테스트 참가 제품 리스트

01. avast! Professional Edition 4.8
02.
AVG Anti-Virus 8.5
03.
AVIRA AntiVir Premium 9
04.
BitDefender Antivirus 2010
05.
eScan Anti-Virus 10
06.
ESET NOD32 Anti-Virus 4.0
07.
F-Secure Anti-Virus 2010
08.
G DATA AntiVirus 2010
09.
Kaspersky Anti-Virus 2010
10.
Kingsoft Antivirus 2009
11.
McAfee VirusScan Plus 2009
12.
Microsoft Live OneCare 2.5
13.
Norman Antivirus & Anti-Spyware 7.10
14.
Sophos Anti-Virus 7.6
15.
Symantec Norton Anti-Virus 2010
16.
TrustPort Antivirus 2009

세부 빌드는 약간 차이가 있지만 AVG를 제외한 대부분의 제품들이 최신 버전으로 테스트 되었습니다.


3. 테스트 종합 결과

앞서 언급한 것처럼 해당 악성코드의 치료에 대한 세부 정보는 PDF 링크를 참고 바랍니다.
아래는 악성코드 및 악성코드의 변경 요소 제거/복구에 대한 종합 결과입니다.



에프시큐어 경우 개인적인 체험상 치료 기능이 그리 뛰어난 제품은 아니었는데 버전업이 되고 다중 엔진이 축소되면서 치료 기능도 보강이 된 듯 합니다. Gdata 경우 진단율에 비해 활성화된 악성코드 제거와 변경 요소에 상당히 취약한 모습을 보이고 있습니다.




이전에 바제2에 올린 Anti-malware test Lab의 치료 성능 테스트의 경우도 그렇지만, 결과적으로 악성코드가 활성화되면 모든 보안 제품에서 완벽하게 치료하는 것은 거의 불가능하다는 것을 알 수 있습니다. 악성코드가 활성화되면 보안 제품들 특히, 카스퍼스키나 노턴처럼 자체 보호에 상당한 노력을 기울인 제품들도 자기 보호 기능의 허점이 존재해서 비활성화되는 경우도 비일비재하기 때문에, 사전에 악성코드를 차단할 수 있도록 사용자들의 세심한 관리가 필요하다고 생각합니다. 

이상으로 Av-comparatives의 Malware Removal TEST에 대한 소개를 마칩니다.
반응형