반응형
안티 바이러스 제품의 자기 보호 기능의 성능 테스트 결과를 살펴봅니다.
▶ 출처 : Antivirus product self-protection test II (By Anti-Malware Test Lab)
최근 들어 유포되는 악성코드의 숫자가 급증하면서, 안티 바이러스류의 보안 제품들의 중요한 성능 지표 중 하나는 바로 "자기 보호 기능"의 성능입니다.
이유는 두 가지입니다. 첫 번째는 안티 바이러스가 특정 시점에서 모든 악성코드를 진단할 수 없다는 점, 두 번째는 악성코드들이 점차 안티 바이러스의 정상적인 실행을 방해하거나, 활동 불능 상태로 만드는 경우가 매우 많아졌다는 점입니다.
즉, 안티 바이러스가 진단하지 못하는 경우가 발생할 때, 해당 악성코드를 진단 DB에 추가할 때까지 악성코드의 공격으로부터 자신을 얼마나 지킬 수 있느냐가 매우 중요해 진 것입니다.
이번 테스트는 러시아의 보안 연구 단체인 "Anti-Malware Test Lab"(이하 AMTL)에서 수행한 것으로 다양한 항목을 통해 보안 제품의 자기 보호 기능의 성능을 측정하였습니다.
1. 테스트 결과 보기
2010 자기 보호 테스트 결과
전통적으로 악성코드의 공격을 많이 받았던(?) 카스퍼스키와 노턴 등의 제품들이 상위권을 차지하였습니다. 특히, 러시아권의 보안 연구 단체라지만 100%의 차단율을 보인 카스퍼스키 제품이 눈에 띕니다.
그리고 Avast, Comodo 등 무료 임에도 강력한 성능을 보여주는 제품들 또한 좋은 방어 능력을 보여주었습니다. 또한, AVIRA 및 비트 디펜더 등 과거 테스트에서 성능이 많이 떨어졌던 제품들의 성능 향상이 눈에 띕니다. 대체로 많은 제품들이 50%권을 넘어서는 등 과거에 비해 발전된 모습을 보여주고 있습니다.
그러나 Eset과 AVG, F-secure, TrenMicro 등은 여전히 개선이 필요한 것 같습니다.
마지막으로 무료 제품으로 많이 사랑받는 제품인 MSE는 기존에 지적된대로 자기 보호 기능이 매우 부실한 것을 확인할 수 있습니다.
아래는 2007년에 발표한 테스트 결과입니다. 비록 3년 전의 테스트 결과지만, 이번 결과와 비교하면서 어떤 제품들이 기능 개선에 성공을 하였는지 알아 볼 수 있을 듯 합니다.
2. 테스트 세부 정보
(1) 테스트 참여 제품 정보
테스트 환경은 XP SP3와 윈도우 7 32비트입니다.
테스트에 참여한 제품 정보는 아래와 같습니다. 테스트 시점이 올해 중반인 듯하여, 몇몇 제품이 최신 버전으로 테스트되지 못한 점은 다소 아쉽습니다.
- Avast Internet Security 5.0.462
- AVG Internet Security 9.0 (build 117)
- Avira AntiVir Premium Security Suite 10.0.0.542
- BitDefender Internet Security 2010 (Build: 14.0.23.312)
- Comodo Internet Security 4.1.19277.920
- Dr.Web Security Space 6.0 (12.0.0.58851)
- Eset Smart Security 4.2.40.10
- F-Secure Internet Security 2010 (1.30.15265.0)
- G DATA Internet Security 2011 (21.0.2.1)
- Kaspersky Internet Security 2011 (11.0.1.400)
- McAfee Internet Security 2010
- Microsoft Security Essentials 1.0.1963.0
- Norton Internet Security 2010 (17.7.0.12)
- Online Solutions Security Suite 1.5
- Outpost Security Suite Pro 2010 (7.0)(3377.514.1238.401)
- Panda Internet Security 2011(16.00.00)
- PC Tools Internet Security 2010 (7.0.0.545)
- Trend Micro Internet Security 2010 (17.50.0.1366)
- VBA32 Personal 3.12.12.6
- ZoneAlarm Security Suite 2010 (9.3.14.0)
테스트는 설치시 제공되는 기본 설정에서 모든 보안 기능을 활성화시켜 진행되었습니다.
(2) 테스트 항목 정보
테스트는 크게 7가지 항목으로 구성되어 있습니다.
|
테스트 항목 |
설명 |
|
Modification of file and registry key access permissions |
파일 및 레지스트리 키 변경 시도 차단 |
|
Modification / removal of modules |
보안 모듈의 변조, 삭제 차단 |
|
Deletion of antivirus databases |
보안 제품의 진단 DB 삭제 차단 |
|
Modification / deletion of important registry keys |
보안 제품의 중요 레지스트리 키 변경 및 삭제 차단 |
|
Process termination |
활성화된 보안 제품 모듈의 강제 비활성화 차단 |
|
Modification of processes / code |
활성화된 보안 제품 모듈의 변조 차단 |
|
Driver unloading |
보안 모듈의 시스템 드라이버 비활성화 차단 |
이에 대한 세부 정보는 아래와 같습니다.
각 항목들은 윈도우 명령어를 사용하거나 특정 프로그램을 이용하여 수행되었습니다.
각 공격들을 완벽하게 차단할 때 +1점, 공격 차단은 실패하였으나 자기 보호 기능으로 인해 다시 복구되거나 프로세스 등이 재생성되는 경우 +0.5점, 차단 및 복구에 완전 실패할 경우 0점이 주어집니다.
총 점(28점으로 예상)과 테스트 결과의 비율에 따라 등급이 나누어지며, 기준은 아래와 같습니다.
|
등급 |
설명 |
|
|
98% 이상의 공격 차단 시 부여 |
|
|
80% 이상의 공격 차단 시 부여 |
|
|
60에서 80%의 공격 차단 시 부여 |
|
|
40에서 60%의 공격 차단 시 부여 |
|
|
40% 이하의 공격 차단 시 부여 |
해당 테스트에서 다소 의아함을 느끼는 분들도 있을 것 같습니다. 특히, 강력한 HIPS 기능이 존재하는 카스퍼스키, 아웃포스트, 코모도, 존알람 등은 일반적인 예상과는 달리 모든 항목을 통과하지 못하였다는 점 등에서 의문을 느끼는 분들이 많을 것으로 생각합니다. (※ 카스퍼스키 제외)
그러나 이는 HIPS 기능이 시스템의 모든 항목을 감시 하는 것이 아니라는 점과 HIPS 기능 또한 약점이 있을 수 밖에 없다는 점을 간과하기 때문에 나타난 의문입니다.
예를 들어 중국의 시스템 유틸리티인 "xuetr"를 이용하면 HIPS가 활성화되어 프로세스 변경 등의 감시 하에서 프로세스 강제 제거가 가능합니다. (※ 단, xuetr 실행이 전제된 경우)
또한 카스퍼스키도 이 테스트에서는 100% 점수를 받았지만, 실제 사례를 보면 악성코드에 의해 무력화되는 경우가 종종 보입니다. (또는 자기 스스로 -_-;;)
이는 악성코드가 실행될 경우 현재 보안 기술로는 언제든지 악성코드에 의한 "AV Kill"이 일어날 수 있음을 보여줍니다. 결국 시스템 보안은 보안 제품만으로 이루어질 수 없으며, 사용자들의 세심한 주의와 노력이 필요함을 알 수 있습니다.
참고로 국내 무료 보안 제품들의 자기 보호 기능은 상당히 참담한 수준입니다. 악성코드들의 안티 바이러스에 대한 공격이 국지적으로 거세지는 만큼 빠른 개선이 필요합니다.
- 이상입니다.
반응형
'▶ 보안 제품 테스트 정보 > :: 기타 테스트' 카테고리의 다른 글
| [MRG] 유포 초기 진단 테스트 종합 - MRG Flash Tests 2010 (6) | 2011.01.16 |
|---|---|
| [PCWorld] Battle of the Security Superpowers - 2010년 보안 제품 비교 결과 (with AV-Test) (6) | 2011.01.01 |
| Anti-Malware TEST LAB : 유해물 차단 성능 테스트 (2) | 2010.08.31 |
| 루트킷 진단 성능 테스트 - NT Internals (6) | 2010.05.30 |
| 루트킷 진단/치료 성능 테스트 Ⅲ - Anti-Malware Test LAB (6) | 2010.05.07 |