본문 바로가기

벌새::Software

AhnLab Smart Defense (Beta) : 일부 샘플을 진단하지 못하는 문제

반응형
안철수연구소(AhnLab)에서 베타 테스트 중인 AhnLab Smart Defense Beta 제품의 일부 샘플에 대한 진단을 하지 못하는 문제에 대해 알아보도록 하겠습니다.


AhnLab Smart Defense 제품을 통하여 수동 검사를 통해 진단하지 못하는 샘플을 안철수연구소에 샘플 신고를 하였는데, 위와 같이 신고 샘플 중 33% 가량이 실제 이미 V3 엔진에서 정식 진단명으로 진단을 하고 있다는 사실을 확인할 수 있었습니다.


재확인이 필요하기에 진단이 된다는 신고 샘플만을 추가 검사 대상 영역에 포함을 하고 정밀 검사를 진행하여 보았습니다.(오늘 처음 이 제품을 접하면서 추가 검사 대상 기능을 위와 같이 활용하는 줄 모르고 버그인 줄 알았답니다.  심지어 버그라고 신고까지 했답니다. )


위와 같이 정식 진단명으로 진단되는 샘플을 AhnLab Smart Defense에서는 진단을 하지 못하는 것을 확인할 수 있었습니다.

이 문제에 대해 현재 문의를 한 상태이지만, 개인적인 생각에서는 해당 제품이 최종적으로 V3 365와 같은 현존하는 제품에 통합되는 기능임을 감안한다면 최종 결과물에서는 이런 문제는 인지될 부분은 아니라고 봅니다. 특히 AhnLab Smart Defense 제품은 악성코드 중에서 변종에 대한 대처 능력을 향상시키기 위한 기술로 추가되는 것으로 AhnLab Smart Defense Center 서버단에서 파일 분석을 통해 악성 여부를 확인하는 과정을 거치지만 실제 시그니처 기반의 DB 진단 여부까지 확인을 하는 것으로 보이지는 않습니다.

그런 이유로 앞에서 설명한 정식 진단명과 AhnLab Smart Defense 제품에서 진단하는 진단명의 차이를 가지는 것이 아닐까 조심스럽게 생각해 봅니다.

차후 크라우드(Cloud) 기술이 어떻게 변화될지는 모르지만 DB 패턴 업데이트도 동시에 진행이 되리라 본다면 AhnLab Smart Defense 제품의 기능은 순수한 사전 방역 차원의 기술로 보시는 것이 정답이 아닐까 생각됩니다.

단지 베타 테스트 중에서는 단독으로 평가가 되는 과정에서 이런 부분에 대한 문의는 존재할 수 있다고 생각합니다.

728x90
반응형
  • 제가 가진 샘플 중에서는 딱 한개 샘플이 위와 같이 되더라구요. 그래서 정확성에 확신을 가질 수가 없었는데 잘 봤습니다. :) 말씀하신 것처럼 추후에 v3 제품에 포함된 검사 엔진을 보조하는 용도라면 오히려 현재 검사 엔진에서 진단되는 샘플은 ASD로 검사되지 않도록 뭔가 조치를 취해야 할 것 같습니다.

    그나저나 아래 포스팅을 보니 휴리스틱 진단이 이루어지고 있군요. 저는 오진되는 부분은 아직 발견하지 못했는데 얼마나 안전성을 가지면서 의심진단의 이루어질지 궁금해지네요 :)

    • 테스트가 목적인지라 진단 수준을 높음으로 설정하고 이용하고 있는데 오진이 보이지 않더군요.

      안연구소가 의심 파일 범위를 그래도 크게 잡지 않고 있거나 의심 관련 패턴을 잘 구성해 둔 것이 아닐까 생각됩니다.

  • 관련 포스팅이 많군요... 저는 그냥 구경하는 입장이라,,, 자료가 감사할 따름입니다.
    베타 테스트에서 버그가 많이 잡히고 제대로 출시되면 좋겠네요..^^

    • 해당 제품이 기존 제품에 통합된다고 하니 전체적으로 안랩 제품군의 진단 능력은 해외 샘플 테스트 기준으로는 최소 10~20% 정도 올라가지 않을까 생각됩니다.

  • 하루 빨리 정식 버전이 나오고, 기본 제품에 통합이 되어서, 진단이슈같은 문제가 하루 빨리 해결 되었으면 좋겠습니다^^;

    벌새님 덕분에 좋은 글 보고 갑니다^^

    • 아마 베타 테스트를 마치고 가능성이 검증되면 365버전에 통합된 형태로 다시 베타 테스트를 하는 것으로 보입니다.

      올해 안에는 적어도 베타 버전을 만날 수 있지 않을까 생각됩니다.