“백신, 신종 바이러스 탐지 효과 의구심”

임퍼바, 40개 이상 안티바이러스 솔루션 분석 결과 발표

[보안뉴스 호애진] 안티바이러스 솔루션이 새로운 바이러스를 탐지하는 데 충분하지 않다는 연구 결과가 나왔다.

보안업체 임퍼바(Imperva)는 기존에 목록화되지 않았던 80개 이상의 바이러스를 수집하고, 이들을 통해 40개 이상의 안티바이러스 솔루션을 분석한 결과를 발표했다.

임퍼바에 따르면, 연구가 수행된 안티바이러스 솔루션 중 5% 이하가 기존에 목록화되지 않은 바이러스를 초기부터 탐지할 수 있었고, 많은 솔루션들의 경우 시그니처가 업데이트 되는데 초기 스캐닝 이후 한 달 이상이 걸리는 것으로 나타났다.

▲ 최초 실행에서 발견되지 않은 감염 파일 식별을 위해 필요한 주(week) 수

임퍼바의 CTO 아미차이 슐만(Amichai Shulman)은 “안티바이러스 솔루션은 기업 보안에 중요한 부분을 차지하고 있지만, 새로 발견되는 하나의 바이러스가 이러한 솔루션을 무용지물로 만들 수 있다는 것이 현실”이라며 “특히 특정 프리웨어 솔루션의 경우 유료 솔루션을 능가하는 것으로 나타나, 기업들이 안티바이러스 솔루션에 수십억 달러를 투자한 가치를 보상받고 있지 못한다고 생각한다”고 말했다.

임퍼바는 80가지 이상의 바이러스 수집을 위해 여러 기법을 사용했다. 이번 연구를 통해 수집된, 기존에 보고되지 않았던 82개의 바이러스는 가상 실행 환경에서 테스트 됐고, 비정상적인 행위가 수반됐으며, 컴퓨터 자원에 대한 취약성을 제약하는 것으로 나타났다.

이번 연구를 통해 밝혀진 결론은 다음과 같다.

안티바이러스 솔루션들은 새롭게 제작된 바이러스를 탐지하는 데 일정 시간이 소요된다.

안티바이러스 업체들은 자사의 탐지 매커니즘을 업데이트하기 위해 지속적인 연구를 수행하지만, 이번 연구에서 안티바이러스 솔루션의 신규 바이러스 초기 탐지율은 5% 이하였다.

인터넷을 통해 전파되는 바이러스를 따라잡을 수 없기 때문에, 이번 연구에서 실험된 안티바이러스 솔루션은 완벽한 보호를 제공할 수 없었다.

안티바이러스 솔루션은 시그니처 업데이트에 뒤쳐지고 있다.

이번 연구의 몇몇 사례에서, 바이러스 탐지를 위한 초기 스캐닝 이후 안티바이러스 솔루션들은 4주의 시간이 걸렸다.

안티바이러스를 위한 투자가 제대로 할당되지 못하고 있다.

2011년 가트너(Gartner)는 안티바이러스와 관련해 기업이 29억 달러, 소비자가 45억 달러 등 총 74억 달러 또는 보안 소프트웨어와 관련한 총 177억 달러의 1/3이상의 비용이 지출되고 있다고 분석했다. 게다가 이번 연구에 의하면 특정 프리웨어는 유료 솔루션과 동등하거나 그 이상의 효율성을 입증했다.

이번 연구에서 완벽한 보호를 제공하는 단일 안티바이러스 제품은 없었지만, 2개의 프리웨어 안티바이러스 제품을 연계해 사용한 제품이 가장 안전한 것으로 드러났다.

안티바이러스 솔루션이 불충분하긴 하지만, 아주 불필요하다는 것은 아니다. 보안팀은 허가받지 않은 접근 또는 대규모의 다운로드와 같은 비정상 행동을 탐지하고, 최신 위협을 해결하기 위해 솔루션에 대한 보안 투자를 조율해야 할 것이라고 보고서는 밝혔다.

[호애진 기자(boan5@boannews.com)]