바이러스토탈에 해당하는글 2


 

본래 안티바이러스 소프트웨어는 하나의 제품만 사용해도 충분해야 하지만 실제로는 그 성능이 완벽하지 못해 놓치는 맬웨어가 생길 수 있기 때문에 여러 종의 안티바이러스 제품을 사용하게 될 수 있다.

 

만약 특정 파일이 문제된다면 40여 종의 안티바이러스 프로그램에 의한 검사가 가능한 VirusTotal과 같은 온라인 맬웨어 데이터베이스를 활용할 수 있다. 이는 어떤 파일이 오인탐지(false positive)됐는지 불분명할 때 이를 확인하고 싶을 경우에 특히 유용하다.

VirusTotal https://www.virustotal.com/


 

하지만 컴퓨터에 있는 모든 파일을 검사할 때 하나의 안티바이러스만 사용하면 맬웨어를 놓치는 경우가 생길 수 없으며 놓친 파일이 무엇인지도 알기 어렵기 때문에 VirusTotal과 같은 데이터베이스는 큰 도움이 되지 못할 수 있으며 직접 여러 종의 안티바이러스 프로그램을 구동할 필요가 있다. 이 때 유의점은 하나의 기본 안티바이러스를 선택하여 백그라운드에서 구동되는 실시간 검사 기능을 켜 두고 다른 안티바이러스 제품은 평소에는 꺼둔 채 주기적으로 수동 검사만 실행해야 한다는 것이다.

 

안티바이러스 소프트웨어는 기본적으로 단독 작동을 염두에 두고 설계됐기 때문에 다른 안티바이러스와의 호환을 장담할 수 없으며 오히려 문제를 일으킬 가능성이 높다. 여러 소프트웨어가 중복된 기능을 수행함으로 인해 시스템 성능에 부담이 될 뿐 아니라 상호 충돌하여 시스템 오류로까지 이어질 수 있다. 안티바이러스 업체 카스퍼스키(Kaspersky)2013년 블로그를 통해 복수 안티바이러스 사용의 위험성에 대해 다음과 같이 설명한 바 있다.

 

서로를 바이러스로 인식한다. 안티바이러스 프로그램은 시스템 정보를 모니터링하고 수집하는 프로그램을 추적하도록 설계돼 있는데 이는 곧 안티바이러스 프로그램 자체의 특성이기도 하며 따라서 하나의 안티바이러스 입장에서는 다른 안티바이러스의 행동이 바이러스와 유사해 보일 수 있다. 이는 안티바이러스 상호 간 충돌로 이어진다.

 

동일한 바이러스를 두고 처리가 충돌된다. 안티바이러스 프로그램을 통해 바이러스가 포착되어 제거 및 격리될 경우 만약 다른 안티바이러스가 해당 바이러스를 발견하고 이를 자체적으로 별도 격리하고자 한다면 이미 격리되어 위협이 사라진 바이러스에 대해 계속하여 경고가 발생하는 기이한 결과가 생길 수 있다.

 

전력소모 및 성능부담이 심화된다. 안티바이러스 프로그램은 시스템 검사 등 작업수행을 위해 시스템 메모리를 많이 소모한다. 만약 여러 안티바이러스가 동시에 구동된다면 시스템 성능에 엄청난 부담이 될 수 있으며 서로의 역할이 중복되기 때문에 그러한 성능부담을 통해 얻는 이점은 사실상 없는 것이나 다름없다.

 

따라서 안티바이러스 제품을 여러 종 사용하되 이를 동시에 구동시키지 않도록 주의해야 한다. 이를 방지하는 좋은 방법은 기본 안티바이러스 외에 추가 안티바이러스를 선택할 때 백그라운드에서의 실시간 구동 기능이 없거나 이를 사용자 선택에 따라 해제할 수 있는 제품을 고르는 것이다. real-time protection, on-access scanning, background protection, resident shield 등의 기능 명칭이 바로 이러한 실시간 구동 기능을 가리킨다. 또한 기본 안티바이러스를 보완하는 역할이기 때문에 Bitdefender QuickScan처럼 너무 가벼운 제품은 실질적으로 맬웨어를 제대로 잡아내기 어렵다는 점에서 그리 좋은 선택이 되지 못한다.

 

Malwarebytes: 무료로 사용 가능한 맬웨어 제거 툴로서 백그라운드에서의 실시간감시 기능이 없고 기본 안티바이러스를 보완하는 솔루션으로 사용하기에 적합하다.

https://www.malwarebytes.com/antimalware/

 

ESET Online Scanner: NOD32 제작진이 만든 빠른 검사서비스로 웹에서 1회 스캔이 가능하며 무료버전을 다운로드할 수도 있다. 다른 온라인 검사서비스와 달리 발견한 맬웨어를 제거할 수 있는 기능까지 갖추고 있다.

http://www.eset.com/us/online-scanner/

 

 

Serge Malenkovich, Why Using Multiple Antivirus Programs is a Bad Idea, 9. 9. 2013.

https://blog.kaspersky.com/multiple-antivirus-programs-bad-idea/2670/

 

Chris Hoffman, How to Scan Your Computer With Multiple Antivirus Programs, 1. 16. 2013.

http://www.howtogeek.com/133704/how-to-scan-your-computer-with-multiple-antivirus-programs/

 

번역요약: madfox




참고링크 


<유료컴퓨터백신 제품소개: 다양한 솔루션 비교가능>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.06.24 14:32




인터넷에서 파일을 다운받을 때 컴퓨터백신이 해당 파일을 바이러스로 판단하게 된다면 그 파일이 진짜로 바이러스 등 맬웨어일 수도 있고 아니면 정상적인 파일인데도 백신이 바이러스로 잘못 판단한 오인탐지(false positive)가 발생한 경우일 수도 있다. 이 때 해당 파일의 출처에서는 파일이 정상이므로 오인탐지 때문에 걱정할 필요가 없다고 주장할 수 있다. 그러나 이는 사이버공격자가 사용자를 안심시키려는 기만일 수도 있기 때문에 다운받은 파일이 진짜로 안전한지 확인할 수 있는 방법이 필요하다. 여기에서는 다운로드 파일의 신뢰성과 바이러스 오인탐지의 진위를 판단할 수 있는 몇몇 요령을 소개한다.

 

 

VirusTotal 통해 정보 수집

 

사실 다운받은 파일이 바이러스로 판정받을 때 안티바이러스 프로그램 하나만 가지고는 이를 섣불리 판단하기 어렵다. 그런데 만약 정상적인 파일을 악성으로 오인한 경우라면 다른 여러 안티바이러스 프로그램이 동일한 오류를 범할 가능성은 거의 없다. VirusTotal은 이에 착안하여 마련된 데이터베이스로 45종에 달하는 안티바이러스 프로그램을 통해 파일을 검사하여 여러 안티바이러스의 판단을 종합해 볼 수 있다. VirusTotal 웹사이트에서 의심되는 파일이나 URL을 입력하면 자동으로 다양한 안티바이러스 프로그램을 통한 검사가 진행되어 결과가 산출된다. 만약 안티바이러스 다수가 해당 파일에 문제가 있다는 결과를 내놓는다면 이는 옳은 판단일 가능성이 높으며 반대로 해당 파일을 악성으로 판단하는 안티바이러스가 많지 않다면 오인탐지일 가능서이 높다. 물론 이는 통계적으로 판단에 힘을 실어 주는 하나의 자료일 뿐 파일의 악성여부 판단을 보증하지는 못한다.

 

VirusTotal 웹사이트: https://www.virustotal.com/


 

 


다운로드 출처의 신뢰성 판단

 

다운로드 출처에 대한 평가도 중요하다. 만약 검색을 통해 어떤 프로그램을 다운받는데 제작사에 대해서는 전혀 알려진 정보가 없고 별도로 검색을 해도 나오는 내용이 별로 없다면 그 출처는 신뢰하기 어렵다. 또한 파일이 P2P 네트워크나 이메일을 통해 도달했다면 이는 맬웨어일 가능성이 높다. 예컨대 정상적인 은행이 고객에게 프로그램이 첨부된 이메일을 보내는 경우는 없다.

 

다운로드 페이지에 예를 들어 "안티바이러스 프로그램이 현재 이 파일이 악성이라고 판단하고 있으나 이는 오인탐지이므로 안심해도 무방하며 오인탐지 문제를 현재 해결 중이다."라는 식의 알림이 있을 수 있다. 이런 식의 경고는 해당 파일의 신뢰도를 높여주는 자료가 될 수 있으며 반대로 이러한 알림이 따로 없는데도 안티바이러스가 해당 파일을 악성으로 판단했다면 이는 실제 맬웨어일 가능성이 높아진다. 하지만 위와 같은 알림을 액면 그대로 받아들이지 말고 해당 출처의 제작사를 진짜로 신뢰할 수 있는지가 중요하다. 한편 그 제작사를 정말로 신뢰할 수 있다 해도 정상적인 웹사이트가 해킹됐거나 혹은 사용자를 기만하기 위한 가짜 웹사이트일 가능성도 없지 않다. 결국 다운로드 출처의 신뢰성도 다각적으로 변할 수 있는 부분이어서 하나의 판단자료일 뿐 절대적인 기준으로 삼기는 어렵다고 하겠다.

 

 

맬웨어 데이터베이스 확인

 

안티바이러스는 어떤 파일을 악성으로 판단할 때 구체적으로 어떤 유형의 맬웨어인지에 대한 정보를 제공한다. 이 유형정보를 검색하면 백신업체가 제작한 맬웨어 데이터베이스에 대한 링크로 연결될 수 있다. 여기에서 해당 파일이 구체적으로 어떤 맬웨어고 왜 차단됐는지 확인할 수 있다.

 

한편 실제로 정상적인 파일이라 해도 악의적 목적으로 악용돌 수 있다는 이유 때문에 맬웨어로 판정되어 차단되는 경우도 있다. 예를 들어 일부 안티바이러스는 VNC 서버 소프트웨어를 차단하게 되는데 이는 이 소프트웨어가 악의적으로 설치되어 사용자 컴퓨터에 원격으로 접속하는 수단으로 악용될 수 있기 때문이다. 물론 사용자가 VNC의 용도를 정확히 이해하고 이를 직접 설치하는 경우는 문제가 안 된다.


 

 



Chris Hoffman, How To Tell If a Virus Is Actually a False Positive, 1. 20. 2014.

http://www.howtogeek.com/180162/how-to-tell-if-a-virus-is-actually-a-false-positive/

 

번역요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

날짜

2016.06.21 17:28

위로가기