안티바이러스 국제 공신력 인정 척도로 ‘자리매김’
상태바
안티바이러스 국제 공신력 인정 척도로 ‘자리매김’
  • 오현식 기자
  • 승인 2009.06.20 00:00
  • 댓글 0
이 기사를 공유합니다

VB100(Virus Bulletin 100 Award)

안티바이러스는 보안의 기본 요소다. 정보유출방지(DLP), 네트워크접근제어(NAC) 등 새로운 보안 솔루션이 주목받고 있지만, 보안의 기본으로 안티바이러스의 위상은 여전히 높다. NAC의 경우에도 기초 보안 기제로 안티바이러스를 활용한다. 안티바이러스 설치 및 패치 여부를 통해 네트워크 접속 여부를 결정짓는 것이다. 나아가 최근에는 비교적 보안이 취약한 엔드포인트 PC를 공격해 성과를 거두려는 시도는 더욱 급증하고 있어 안티바이러스 솔루션의 중요도는 더욱 높아지고 있다. 하지만 안티바이러스 솔루션을 선정하는 것은 쉽지 않은 일이다. 수많은 솔루션이 저마다의 우위를 주장하고 있기 때문이다. 안티바이러스 부문에서 전세계적 신뢰성을 획득하고 있는 VB100은 이러한 고민을 풀어줄 좋은 참고자료가 될 수 있다. <편집자>

오늘날 공격자들이 금전적 이익을 목적으로 하면서 보안 위협은 점차 높아지고 있다. 높아진 위협과 이로 인한 피해 규모가 기하급수적으로 증가하면서 정보보안은 더욱 더 중요한 위치를 점하고 있다. 다양한 위협방어를 위해 수많은 보안 솔루션이 등장하고 있지만, 이 가운데 방화벽과 안티바이러스는 반드시 구축돼야 하는 가장 기본적인 보안 솔루션으로 손꼽힌다.

안티바이러스, 우수 솔루션 판단 가장 까다로워
보안은 성능보다 철저한 보안성이 우선이란 점에서 도입이 까다롭다. 보안은 숫자로 증명되는 부문이 아니기 때문이다. 예를 들어 A라는 솔루션은 샘플링을 통해, B라는 솔루션은 모든 트래픽에 대한 철저한 분석을 진행하다고 가정하면, A가 B보다 두 배의 성능을 제공한다고 하더라도 더 나은 솔루션이라고 할 수 없다. 샘플링에 의존하는 만큼 보안성이 떨어지는 까닭이다. 한 번의 침입으로 모든 것이 무위로 돌아갈 수 있는 보안의 특성을 감안하면 오히려 B가 더 나은 솔루션이라고 할 수 있다.

안티바이러스 부문의 경우에는 우수 솔루션을 판단하기가 더욱 까다롭다. 각 벤더들은 저마다 악성코드의 완벽한 탐지 능력을 말하지만, 기하급수적으로 쏟아지고 있는 악성코드를 ‘완벽하게’ 방어하기는 쉬운 일이 아니다. 나아가 시그니처 방식의 한계를 극복하기 위해 시도되고 있는 행위기반탐지 기술에서는 우수 솔루션을 판단하기가 더욱 어렵다.

행위기반탐지 기술은 시그니처에 의존하지 않고, 파일이 수행하는 활동을 통해 악성코드 여부를 판단하는 방식으로 쉽게 설명되지만, 실제 적용은 만만치 않다. 오탐으로 운영체제나 애플리케이션 실행에 꼭 필요한 파일을 삭제하거나, 혹은 악성코드 활동을 제대로 감지하지 못한다면 막대한 피해를 끼칠 수 있기 때문에 개발 기업의 기술력에 크게 좌우된다.

VB100, 신뢰성 검증 척도 ‘자리매김’
이런 측면에서  공정한 평가에 의해 안티바이러스 솔루션에 대한 신뢰성을 제공하는 ‘VB100(Virus Bulletin 100 Award)’은 큰 의미를 지닌다. 보안의 가장 기본적인 솔루션이라 할 수 있는 안티바이러스 솔루션 선택 시 지표로 삼을 수 있는 신뢰성 있는 기준을 제공하기 때문이다.

VB100 테스트는 1989년 설립된 컴퓨터 바이러스 관련 전문 매거진인 ‘바이러스블러틴(www.virusbtn.com)’에 의해 진행된다. 다른 인증 체계와는 달리 단 한 차례의 테스트를 통해 얻은 결과를 있는 그대로 보고함으로써 전세계적인 신뢰를 획득하고 있다. 영국 웨스트코스트랩(West Coast Labs)에서 안티바이러스, 방화벽 등 각종 보안 솔루션에 부여하는 국제 인증인 ‘체크마크(Check Mark)’와 함께 국제적인 공신력을 인정받고 있는 것이 바로 VB100이다.

특히 VB100은 테스트 시점에서 현재 활동하고 있는 것으로 알려진 모든 악성 소프트웨어를 100% 탐지하는 동시에 0%의 오탐을 기록한 솔루션만 통과하는 엄격한 테스트로 더욱 명성이 높다. 요청에 따라 바이러스를 스캔하는 온-디맨드 방식, 파일을 열자마자 실시간으로 바이러스를 검색하는 온-액세스 방식, 기본 설정 상태 등 세 가지 방식에서 악성코드의 100% 탐지와 0%의 오탐을 기록해야 VB100 인증을 받을 수 있다.

VB100 테스트에서 사용되는 와일드리스트(Wildlist)는 전세계적으로 두 곳 이상의 지역에서 실제로 감염 활동이나 발견 등의 보고가 있는 악성코드들이다. 따라서 VB100 테스트는 현재 존재하는 모든 위협을 어떤 솔루션이 보다 완벽하게 방어할 수 있는지 실질적으로 파악할 수 있는 척도로 평가된다. 더불어 오탐지율이 표시됨으로써 안티바이러스 프로그램의 잘못에 따른 위험도 살펴볼 수 있게 해 신뢰성 판단에 도움을 준다.

또 VB100 테스트는 가짜 백신 등의 피해를 예방하는 기준이 될 수 있다. 악성코드 유포에 이용되거나, 허위 진단을 통해 금전적 이익을 얻기 위한 가짜 백신이 최근 범람하고 있는데, VB100을 참조해 백신의 신뢰성을 살핀다면, 이러한 가짜 백신에 의한 피해를 막을 수 있는 것이다.

테스트는 일반적으로 2개월에 한 번씩 진행되며, 매 테스트마다 운영체제를 달리한다. 예를 들어 올해 2월의 테스트는 레드햇 리눅스 기반의 테스트였으며, 4월에는 윈도우XP 프로페셔널 환경에서의 테스트였다. VB100은 기한 내 제출된 모든 제품을 무료로 테스트한다. (page_break)시만텍 43회 연속 통과 ‘이정표’
VB100 테스트에서 두각을 나타낸 것은 시만텍이다. 시만텍은 1999년 11월 진행된 VB100 테스트에서부터 올해 4월 VB100 테스트까지 연속 통과하는 기염을 토했다. 무려 43번의 테스트를 연속 통과한 것으로 10년에 걸친 기간 동안 지속적으로 VB100 테스트를 통과하는 저력을 보였다.

시만텍의 기록은 불참 횟수가 적어 더욱 의미를 지닌다. 시만텍이 불참한 가장 최근의 경우는 2006년 8월 진행된 넷웨어 6.5 환경에서의 테스트로 이후 14번의 테스트는 100% 참가, 100%의 통과를 기록하고 있다.(2006년과 2007의 경우에도 시만텍이 불참한 것은 넷웨어 환경에서의 테스트뿐이며, 2005년까지 참여하지 않았던 리눅스 환경 테스트의 경우에는 2006년부터는 빠짐없이 참여하고 있다. 다시 말해 2006년부터는 리눅스 환경에 대해서도 보다 완벽한 보호를 제공하고 있는 것이다.)

이는 불참이 잦은 여타의 보안 기업들과는 차별화되는 부문이다. VB100이 매 테스트마다 다른 환경에서 진행된다는 점을 고려하면 빠짐없는 참여는 보다 폭넓은 환경에 대한 완벽한 보호를 제공한다는 자신감을 읽을 수 있게 한다. 윈도우의 점유율이 절대적이기는 하지만, 윈도우 이외의 운영체제를 사용하는 이용자도 지속적으로 증가하고 있으며, 다양한 애플리케이션을 이용하는 기업환경을 생각한다면 다양한 환경지원은 커다란 장점이라고 말할 수 있다. 또한 이는 안티바이러스 부문의 기술력과 더불어 기술지원 능력을 보여주는 척도라고 해도 과언이 아니다.

유수의 보안 기업이 존재하지만, 이러한 기록을 수립한 기업으로는 시만텍이 유일하다. 마이크로소프트는 원케어가 2007년 2월의 테스트에서 VB100을 실패했으며, 포어프론트의 경우에는 2007년 6월 첫 참가이후 아직까지 단 한 차례의 실패도 기록하지 않았지만 2009년 2월 레드햇 리눅스 환경에 대한 VB100 테스트는 물론 2008년 8월 윈도우 XP 환경 VB100 테스트에 불참하는 등 잦은 불참으로 기록의 의미가 반감되고 있다.

국내에 잘 알려진 다른 글로벌 보안 기업의 상황도 크게 다르지 않다. 카스퍼스키의 경우, 2003년 8월 VB100 통과 이후 2007년 4월까지 21회 연속 통과라는 기록을 세웠지만, 2007년 6월 이후 윈도우XP 환경에서 VB100 획득에 실패한 이후 실패율이 높아지고 있다. 현재 진행중인 카스퍼스키의 연속 통과 기록은 2008년 12월부터 3회 연속에 불과하다.

맥아피의 경우에도 2005년 4월부터 2006년 12월까지 11회 연속 통과의 기록을 세우기도 했지만, 2007년 2월 윈도우 비스타 환경에서 연속기록이 끊긴 이후 실패율이 증가하고 있다. 최근 4월 테스트는 통과했지만, 이보다 앞선 2월 VB100 인증에 실패해 진행중인 연속 통과 기록은 1회에 그치고 있다. 트렌드마이크로의 경우에는 2008년 4월 테스트 실패 이후에는 VB100에 계촉 참여하지 않고 있다.

VB100은 특히 2008년 4월부터 더욱 까다로운 테스트가 되고 있다는 평이다. 윈도우 비스타 서비스팩1 비즈니스 에디션 환경에 대한 테스트로 진행된 2008년 4월 평가에서는 테스트에 37개 솔루션 중 절반이 넘는 19개 제품이 탈락하는 이변을 보였다. 2008년 4월 VB100 통과에 실패한 19개 제품 중에서는 안철수연구소, 하우리 등 국내 유명 안티바이러스 제품은 물론 닥터웹, 맥아피, 비트디펜더, 트렌드마이크로 등 우리나라에 잘 알려진 유명 글로벌 기업들의 백신들이 포함돼 더욱 충격적이었다.

통과율이 46%에 불과했던 이때의 평가를 기점으로 더욱 광범위한 와일드리스트로 더욱 엄격하고 까다로운 테스트가 진행되고 있다는 것이 업계의 평가다. 테스트가 더욱 까다롭게 진행됨으로써 VB100은 통과 제품의 신뢰성을 더욱 높이는 척도가 되고 있는 것. 더욱 엄격해진 환경 속에서도 43회 연속 통과를 이어오고 있는 시만텍의 기록은 이러한 측면에서 더욱 의미가 깊다.



국산솔루션 VB100 참여 저조, 국제신뢰 확보 ‘시급’
VB100에서 국내 안티바이러스 솔루션을 찾는다면, 초라한 결과로 당혹감을 느낄 수 있다. 전세계 어느 곳보다 로컬 벤더의 점유율이 높은 지역이 바로 우리나라다. 하지만 국산 안티바이러스 솔루션은 국내 시장에서의 높은 위상 달리 전세계적인 신뢰성을 획득할 수 있는 VB100에서는 초라한 결과를 보이고 있는 것이다.

얼마 전 안철수연구소는 VB100 3회 연속 통과를 홍보했지만, 그 뿐이다. 지난해 10월부터 올 4월(2월 레드햇 리눅스 환경 테스트 불참)의 테스트를 통과해 현재 진행형인 3회의 연속통과는 VB100 테스트에서 안철수연구소의 최고 기록이다. 안철수연구소는 이전 2005년에도 3회 연속 통과(2월 윈도우NT, 6월 윈도우XP, 10월 윈도우서버2003 환경 테스트 통과, 4월 레드햇 리눅스, 8월 넷웨어 환경 테스트 불참)를 기록했지만, 오랜 불참 끝에 참여한 2006년 6월 윈도우XP 환경 테스트에서 V3프로가 무려 19개의 와일드리스트 미스로 통과에 실패, 3회의 연속통과 기록을 달성하는데 그쳤다.

안철수연구소는 지금까지 모두 17번 VB100 테스트에 참여, 총 10번 VB100 통과를 기록하고 있다. 총 10회는 국산 안티바이러스 솔루션 중 가장 높은 횟수. 하지만 43회 연속통과라는 독보적 기록을 보유한 시만텍은 차치하더라도 맥아피, 카스퍼스키 등 유명 글로벌 안티바이러스 기업들이 대부분 10회 이상의 연속 통과 기록을 갖추고 있다는 점을 고려한다면 총 10회, 연속 3회 통과가 최고 기록이라는 사실은 매우 안타까운 부문이다. 또 통과율도 59%에 불과하다는 점도 아쉬움으로 지적된다. (page_break)안연구소, 국내기업 중 그나마 선전
안철수연구소 외 다른 국산 기업들의 실적은 더욱 참담하다. 하우리의 경우, 총 11회 VB100에 참여했지만, 테스트를 통과한 것은 2003년 6월, 윈도우XP 프로페셔널 환경에서의 테스트 뿐이다. 하우리의 경우, 2008년 4월 테스트에서 VB100 인증에 실패한 이후, 계속 불참하고 있다. NWI라는 이름으로 참여하고 있는 바이러스체이서의 경우, 12번 참가해 절반인 6번만 VB100 인증을 획득하는데 그치고 있으며, 2007년 6월과 2008년 8월 연속으로 테스트에 탈락한 이후 불참하고 있다. 다수의 국산 솔루션이 엔진으로 사용하고 있는 소프트윈 비트디펜더의 경우에는 26번 테스트에 참여해 16번의 통과를 기록하고 있다.

다른 국산 안티바이러스 솔루션의 경우, 아예 VB100에 참여하지 않고 있어 국제적 신뢰성을 전혀 획득하지 못하고 있다. 국내 시장을 호령하고는 있지만, 우물 안 개구리에 그치고 있는 것이다. 다수의 국산 백신이 엔진으로 이용하는 비트디펜더로 간접적인 비교가 가능하지만, 안티바이러스의 성능과 보안성에 엔진 이외의 요소도 많은 영향을 미치고 있다는 점에서 테스트 불참은 아쉽다.

이와 관련 업계의 한 관계자는 “VB100 테스트는 무료로 진행되는데, 전혀 참가하지 않는다는 것은 솔루션에 대한 자신감이 부족하거나 제품에 허점이 많음을 자인하는 것으로 밖에 볼 수 없다”고 꼬집기도 했다.

안철수연구소, 하우리 등 국산 벤더들은 국내시장을 넘어 전세계 시장 진출이란 야심찬 목표를 갖고 있다. 이를 위해서는 VB100와 같이 국제적으로 신뢰성을 갖고 있는 프로그램에 보다 적극적으로 참여할 필요성이 제기된다. 안철수연구소의 예를 들면, 국내 시장에서는 안철수 의장의 높은 인지도로 인해 ‘안철수’라는 이름만으로도 신뢰를 얻고 있지만, 해외 시장에서는 안 의장의 인지도에 기댈 수 없다. VB100과 같은 공신력 있는 기관의 결과 없이 말로만 솔루션의 우수성을 주장해서는 해외시장에서의 신뢰성을 얻기는 쉽지 않다. 안철수연구소는 해외 시장 진출 및 제품 신뢰성 향상을 위해 향후 VB100 등에 적극적으로 참여하고 있다는 의사를 밝히고 있어 향후 행보가 주목된다.

다른 한편으로는 트로이목마 탐지 능력 향상도 요구된다. VB100는 와일드리스트의 100% 탐지를 통과조건으로 요구하지만, 트로이목마 등에는 이러한 엄격한 기준을 적용하지는 않고 있다. 하지만 트로이목마에 대한 테스트도 진행해 참고자료로 제시하고 있다. 최근 진행된 4월 평가를 보면, 트로이목마 탐지 능력의 향상도 절실히 요구된다. 안철수연구소의 경우, 트로이목마 부문은 71%에 불과했다. 트로이목마 부문에서도 90%가 넘는 탐지능력을 보이는 글로벌 벤더들과 비교되는 부문이다.

위협의 글로벌화에 대응하라
국내 시장에서 안티바이러스 벤더들이 서로 제품의 우위를 주장하면서 ‘갑론을박’하고 있지만, 비교 가능한 공신력 있는 자료 없이 각자의 데이터에만 의존한 주장으로 신뢰를 얻고 있지 못하며, 이에 소모적 논쟁이 지속되고 있다. VB100과 같은 공신력 있는 기관의 테스트에 보다 적극적으로 참여해 소모적 논쟁을 줄여야 할 필요성이 제기된다.

또한 고객의 입장에서도 이러한 테스트 결과를 자료를 보다 적극적으로 활용할 필요가 있다. 물론 VB100 등의 테스트에서도 와일드리스트에 의한 한계가 일부에서 지적되는 것은 사실이다. 하지만 소모적 논쟁을 줄이기 위해, 보다 신뢰되는 양질의 보안 솔루션 도입을 위해 현재 존재하는 위협에 대한 보안 솔루션의 방어도를 실질적으로 파악하게 하는 척도로 평가받는 VB100 등 검증된 평가기관의 테스트를 적극 활용할 필요가 있다.

더불어 오늘날 위협은 전세계적으로 진행되고 있다. 국경과 거리의 한계를 뛰어넘게 하는 인터넷으로 인해 공격은 전세계에서 발생돼 전세계로 퍼져나가고 있다. 또 공격툴, 악성코드가 공격자들 간에 활발하게 공유되고 있는 상황이다. 다시 말해 예전 국산 벤더들이 주장했던 ‘한국형 바이러스 탐지/차단 능력’은 그 효력을 잃어가고 있는 것. 전세계적 위협에 대응할 수 있는 보안 솔루션의 도입이 절실하다고 말할 수 있으며, 글로벌 위협에 대한 포괄적 대응능력을 구체화된 수치로 제공하는 VB100 테스트 등을 적극적으로 참조해야 할 것이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.