울지않는벌새 : Security, Movie & Society

AhnLab Smart Defense (Beta) : 일부 샘플을 진단하지 못하는 문제

벌새::Software
안철수연구소(AhnLab)에서 베타 테스트 중인 AhnLab Smart Defense Beta 제품의 일부 샘플에 대한 진단을 하지 못하는 문제에 대해 알아보도록 하겠습니다.


AhnLab Smart Defense 제품을 통하여 수동 검사를 통해 진단하지 못하는 샘플을 안철수연구소에 샘플 신고를 하였는데, 위와 같이 신고 샘플 중 33% 가량이 실제 이미 V3 엔진에서 정식 진단명으로 진단을 하고 있다는 사실을 확인할 수 있었습니다.


재확인이 필요하기에 진단이 된다는 신고 샘플만을 추가 검사 대상 영역에 포함을 하고 정밀 검사를 진행하여 보았습니다.(오늘 처음 이 제품을 접하면서 추가 검사 대상 기능을 위와 같이 활용하는 줄 모르고 버그인 줄 알았답니다.  심지어 버그라고 신고까지 했답니다. )


위와 같이 정식 진단명으로 진단되는 샘플을 AhnLab Smart Defense에서는 진단을 하지 못하는 것을 확인할 수 있었습니다.

이 문제에 대해 현재 문의를 한 상태이지만, 개인적인 생각에서는 해당 제품이 최종적으로 V3 365와 같은 현존하는 제품에 통합되는 기능임을 감안한다면 최종 결과물에서는 이런 문제는 인지될 부분은 아니라고 봅니다. 특히 AhnLab Smart Defense 제품은 악성코드 중에서 변종에 대한 대처 능력을 향상시키기 위한 기술로 추가되는 것으로 AhnLab Smart Defense Center 서버단에서 파일 분석을 통해 악성 여부를 확인하는 과정을 거치지만 실제 시그니처 기반의 DB 진단 여부까지 확인을 하는 것으로 보이지는 않습니다.

그런 이유로 앞에서 설명한 정식 진단명과 AhnLab Smart Defense 제품에서 진단하는 진단명의 차이를 가지는 것이 아닐까 조심스럽게 생각해 봅니다.

차후 크라우드(Cloud) 기술이 어떻게 변화될지는 모르지만 DB 패턴 업데이트도 동시에 진행이 되리라 본다면 AhnLab Smart Defense 제품의 기능은 순수한 사전 방역 차원의 기술로 보시는 것이 정답이 아닐까 생각됩니다.

단지 베타 테스트 중에서는 단독으로 평가가 되는 과정에서 이런 부분에 대한 문의는 존재할 수 있다고 생각합니다.