ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • 바이러스 오인탐지 확인방법
      IT 정보/IT, 보안 소식&팁 2016. 6. 21. 17:28
      반응형




      인터넷에서 파일을 다운받을 때 컴퓨터백신이 해당 파일을 바이러스로 판단하게 된다면 그 파일이 진짜로 바이러스 등 맬웨어일 수도 있고 아니면 정상적인 파일인데도 백신이 바이러스로 잘못 판단한 오인탐지(false positive)가 발생한 경우일 수도 있다. 이 때 해당 파일의 출처에서는 파일이 정상이므로 오인탐지 때문에 걱정할 필요가 없다고 주장할 수 있다. 그러나 이는 사이버공격자가 사용자를 안심시키려는 기만일 수도 있기 때문에 다운받은 파일이 진짜로 안전한지 확인할 수 있는 방법이 필요하다. 여기에서는 다운로드 파일의 신뢰성과 바이러스 오인탐지의 진위를 판단할 수 있는 몇몇 요령을 소개한다.

       

       

      VirusTotal 통해 정보 수집

       

      사실 다운받은 파일이 바이러스로 판정받을 때 안티바이러스 프로그램 하나만 가지고는 이를 섣불리 판단하기 어렵다. 그런데 만약 정상적인 파일을 악성으로 오인한 경우라면 다른 여러 안티바이러스 프로그램이 동일한 오류를 범할 가능성은 거의 없다. VirusTotal은 이에 착안하여 마련된 데이터베이스로 45종에 달하는 안티바이러스 프로그램을 통해 파일을 검사하여 여러 안티바이러스의 판단을 종합해 볼 수 있다. VirusTotal 웹사이트에서 의심되는 파일이나 URL을 입력하면 자동으로 다양한 안티바이러스 프로그램을 통한 검사가 진행되어 결과가 산출된다. 만약 안티바이러스 다수가 해당 파일에 문제가 있다는 결과를 내놓는다면 이는 옳은 판단일 가능성이 높으며 반대로 해당 파일을 악성으로 판단하는 안티바이러스가 많지 않다면 오인탐지일 가능서이 높다. 물론 이는 통계적으로 판단에 힘을 실어 주는 하나의 자료일 뿐 파일의 악성여부 판단을 보증하지는 못한다.

       

      VirusTotal 웹사이트: https://www.virustotal.com/


       

       


      다운로드 출처의 신뢰성 판단

       

      다운로드 출처에 대한 평가도 중요하다. 만약 검색을 통해 어떤 프로그램을 다운받는데 제작사에 대해서는 전혀 알려진 정보가 없고 별도로 검색을 해도 나오는 내용이 별로 없다면 그 출처는 신뢰하기 어렵다. 또한 파일이 P2P 네트워크나 이메일을 통해 도달했다면 이는 맬웨어일 가능성이 높다. 예컨대 정상적인 은행이 고객에게 프로그램이 첨부된 이메일을 보내는 경우는 없다.

       

      다운로드 페이지에 예를 들어 "안티바이러스 프로그램이 현재 이 파일이 악성이라고 판단하고 있으나 이는 오인탐지이므로 안심해도 무방하며 오인탐지 문제를 현재 해결 중이다."라는 식의 알림이 있을 수 있다. 이런 식의 경고는 해당 파일의 신뢰도를 높여주는 자료가 될 수 있으며 반대로 이러한 알림이 따로 없는데도 안티바이러스가 해당 파일을 악성으로 판단했다면 이는 실제 맬웨어일 가능성이 높아진다. 하지만 위와 같은 알림을 액면 그대로 받아들이지 말고 해당 출처의 제작사를 진짜로 신뢰할 수 있는지가 중요하다. 한편 그 제작사를 정말로 신뢰할 수 있다 해도 정상적인 웹사이트가 해킹됐거나 혹은 사용자를 기만하기 위한 가짜 웹사이트일 가능성도 없지 않다. 결국 다운로드 출처의 신뢰성도 다각적으로 변할 수 있는 부분이어서 하나의 판단자료일 뿐 절대적인 기준으로 삼기는 어렵다고 하겠다.

       

       

      맬웨어 데이터베이스 확인

       

      안티바이러스는 어떤 파일을 악성으로 판단할 때 구체적으로 어떤 유형의 맬웨어인지에 대한 정보를 제공한다. 이 유형정보를 검색하면 백신업체가 제작한 맬웨어 데이터베이스에 대한 링크로 연결될 수 있다. 여기에서 해당 파일이 구체적으로 어떤 맬웨어고 왜 차단됐는지 확인할 수 있다.

       

      한편 실제로 정상적인 파일이라 해도 악의적 목적으로 악용돌 수 있다는 이유 때문에 맬웨어로 판정되어 차단되는 경우도 있다. 예를 들어 일부 안티바이러스는 VNC 서버 소프트웨어를 차단하게 되는데 이는 이 소프트웨어가 악의적으로 설치되어 사용자 컴퓨터에 원격으로 접속하는 수단으로 악용될 수 있기 때문이다. 물론 사용자가 VNC의 용도를 정확히 이해하고 이를 직접 설치하는 경우는 문제가 안 된다.


       

       



      Chris Hoffman, How To Tell If a Virus Is Actually a False Positive, 1. 20. 2014.

      http://www.howtogeek.com/180162/how-to-tell-if-a-virus-is-actually-a-false-positive/

       

      번역요약: madfox




      참고링크 


      <유료안티바이러스 제품소개>

      반응형
      저작자표시 비영리 변경금지

      'IT 정보 > IT, 보안 소식&팁' 카테고리의 다른 글

      SAMSAM 랜섬웨어의 등장으로 살펴보는 패칭의 중요성  (0) 2016.07.08
      러시아의 지하시장에서 거래되는 말하는 랜섬웨어 'CERBER'  (0) 2016.07.07
      컴퓨터백신, 방화벽, 브라우저, 소프트웨어보안 테스트 방법  (0) 2016.06.17
      PC백신 성능비교분석 웹사이트 추천  (0) 2016.06.17
      맬웨어 용어정리  (0) 2016.06.09

      관련글 관련글 더보기

      댓글

    Designed by Tistory.

    티스토리툴바