파이어아이(FireEye)의 최고 과학자 스튜어트 스태니포드(Stuart Staniford)가 27일 밝힌 바에 따르면, 봇넷 코드의 확산 초기 며칠 동안 보안 소프트웨어 중 겨우 40%만 이를 검출한 것으로 나타났다. 봇넷 코드는 초기에 방지하지 않으면 PC감염이 쉽게 이루어지기 때문에 이 결과는 안티바이러스 프로그램이 실질적으로 봇넷 감염을 막지 못한다는 사실을 보여준다.
스태니포드는 9월~11월 사이에 파이어아이 어플라이언스에서 추출한 217개의 봇넷 코드 샘플을 바이러스토탈(VirustTotal) 테스트 웹사이트에 업로드했는데, 이 중 절반밖에 검출되지 않았다고 밝혔다.
바이러스토탈은 기업 및 일반 사용자가 일반적으로 사용하는 36개의 안티바이러스 프로그램을 이용해, 각 프로그램이 검출한 맬웨어의 통계를 제공하는 서비스다.
스태니포드는 이번 테스트를 통해 맬웨어 검출 속도가 문제라고 지적했다. 맬웨어는 안티바이러스 프로그램의 감시망을 피하기 위해 시간이 지나면 조금씩 변하기 때문에 맬웨어 발생 1주 내에 이를 검출하는 것이 중요하다는 설명이다.
테스트 시작 직후 3일 동안 10개 안티바이러스 프로그램 중 겨우 4개만 악성코드를 검출해 냈는데, 이는 많은 봇이 보안 소프트웨어가 작동하고 있는 동안에도 감시망을 피해 실제 PC를 공격할 수 있다는 의미다.
스태니포드는 “결론적으로 안티바이러스 프로그램은 오래된 맬웨어일수록 잘 검출해낸다”라며, “테스트가 진행된 2달 동안 일부 맬웨어가 검출됐는데, 이들이 계속 사용된다면 앞으로 안티바이러스 프로그램 중 70~80%가 검출해 낼 것으로 보인다”라고 말했다.