보안

"어디서 약을 파느냐!" 보안업체들이 파는 가짜 약 7가지

Roger A. Grimes | InfoWorld 2014.05.20


보안 가짜 약 No.3: 100% 탐지율의 안티악성코드
깰 수 없는 소프트웨어와 비슷한 수준의 또 다른 주장은 안티악성코드 탐지가 100% 정확하다는 주장이다. 이런 주장을 펼치는 개발업체의 대부분은 "독립적인 여러 테스트 기관에서 검증되었다"고 강조한다.

그런데, 한번 구매하면 완전히 걱정을 떨칠 수 있는 이 뛰어난 솔루션들이 전세계 시장을 완전히 점령하지 못한 이유는 무엇일까?

답은 간단하다. 거짓말이기 때문이다. 100% 탐지율을 가진 안티악성코드 소프트웨어는 없다. 싸워야 할 바이러스가 소수였던 시절에도 안티바이러스 소프트웨어는 100% 정확하지 않았다.

지금은 수천만 개의 악성코드 프로그램이 끊임없이 변이를 거듭한다. 오늘날의 악성코드는 스스로 형태를 바꾸는 데 능숙하다. 많은 악성 프로그램들이 앞서 언급한 우수한 암호화를 결합한 '변이 엔진'을 사용한다. 우수한 암호화는 현실적인 임의성을 구현하는데, 악성코드는 바로 이 특성을 사용해 스스로를 숨긴다.

또한 대부분의 악성코드 제작자들은 시중의 모든 안티악성코드 프로그램을 상대로 악성코드를 테스트해본 후 퍼뜨리기 시작하고 이렇게 퍼진 악성코드는 매일 스스로 업데이트한다. 끝이 없는 싸움이고 지금까지 악당들이 이기고 있는 상황이다.

휴리스틱 및 변경 탐지 에뮬레이션 환경으로 알려진 일반적인 행동 탐지 기법을 사용하는 일부 개발업체는 정확성을 높이기 위해 대담한 방법을 사용했다. 이 개발업체들은 탐지율을 높이면 오탐지 문제에 직면하게 된다는 사실을 안다.

극히 정확한 비율로 악성코드를 탐지하는 프로그램은 정상적인 프로그램을 악성으로 잘못 탐지하는 경우 역시 많다. 100% 정확한 안티악성코드 프로그램? 그 프로그램은 분명 거의 모든 요소에 닥치는 대로 '악성' 깃발을 다는 프로그램일 것이다.

게다가 정확도가 높아지면 성능은 낮아진다. 일부 안티바이러스 프로그램은 호스트 시스템을 거의 사용할 수 없을 정도로 느려지게 한다. 필자가 아는 어떤 사용자는 안티바이러스 소프트웨어를 실행하느니 악성코드를 그냥 두고 컴퓨터를 사용하는 편이 더 낫다고까지 한다.

보편적인 컴퓨터에 저장된 수십만 개의 파일을 대상으로 수천만 개의 악성코드 프로그램을 검사해야 하니, 완벽하게 정확한 비교를 수행하려면 엄청난 시간이 걸릴 것이다. 안티악성코드 개발업체들은 이런 역설을 아주 잘 알고 있으며 결국에는 모두가 정확성을 낮추는 방향으로 나아간다.

언뜻 이해하기 어렵지만 정확성을 낮춘다는 것은 사실 보안 개발업체들이 제품 판매량을 늘리는 데 도움이 된다. 정확도를 낮춰 악성코드의 확산을 유도하고 그 결과 보안 개발업체들이 소프트웨어를 더 많이 팔 수 있게 된다는 말이 아니다.

극도로 정확한 안티 악성코드 탐지를 얻기 위해 희생되는 부분이 보안 소프트웨어를 구매하려는 사람들 입장에선 수용하기 어렵다는 의미다.

또한 100% 탐지율 주장을 믿는다면 '탐지를 놓칠 경우 환불해준다'는 서면 계약을 요구할 생각은 하지 않는 것이 좋다. 해줄 리가 없다.
 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.