울지않는벌새 : Security, Movie & Society

AhnLab Smart Defense (Beta) : 변종 대응 능력 테스트

벌새::Software
안철수연구소(AhnLab)에서 공개 테스트 중인 AhnLab Smart Defense Beta 제품의 변종 대응 능력에 대한 개인적인 사례 하나를 살펴보도록 하겠습니다.

해당 내용은 불특정 샘플을 중심으로 한 부분이므로 실제와 많은 차이가 존재할 수 있으므로 참고만 하시기 바랍니다.

오늘자 새벽에 해외에서 유포되는 변종 샘플 13종을 수집하여 새벽 시간대에 안철수연구소에 샘플 신고를 접수하였습니다.(참고로 샘플 접수 시간이 새벽 시간대임을 감안하고, 해당 보안업체의 여건을 감안하여 봐주시기 바랍니다.)

당시 해당 샘플에 대하여 AhnLab Smart Defense 제품과 V3 정식 제품에서 진단을 하지 않는 상태였습니다.


당일 오전 11시경 신고 샘플에 대한 AhnLab Smart Defense 제품의 진단을 검사한 결과 총 13종 중 9종을 진단하고 있었습니다.(확인 시간이 11시이지만 실제 해당 제품이 언제부터 진단을 시작했는지는 확인을 할 수 없었습니다.)

[AhnLab Smart Defense 진단 : 총 9종]

KB908424.exe-20090601 : Malware/Win32.Generic
setup.exe-20090601 : Malware/Win32.Generic
lsp.exe-20090601 : Trojan/Win32.LdPinch
KB908194.exe-20090601 : Malware/Win32.Generic
install2.exe-20090601 : Downloader/Win32.Rogue
file.exe-20090601 : Trojan/Win32.Alureon
load.exe-20090601 : Trojan/Win32.Botnetlog
flygolden.exe-20090601 : Malware/Win32.Generic
NAPC.exe-20090601 : Malware/Win32.Generic

해당 샘플에 대해서는 V3 제품군에서 여전히 진단이 되지 않는 상태였습니다.

이제 당일 오후 1시경 안철수연구소에서 신고 샘플에 대한 DB 추가를 알리는 이메일을 접수하였고, 업체 홈페이지에서는 DB 추가 업데이트 목록이 작성되어 실제 제품에 적용이 되는 시점이었습니다.

[AhnLab Smart Defense / V3 공통 진단 : 총 7종]

KB908424.exe-20090601 : Malware/Win32.Generic (V3 : Win-Trojan/Xema.variant)
setup.exe-20090601 : Malware/Win32.Generic (V3 : Win-Trojan/Xema.variant)
lsp.exe-20090601 : Trojan/Win32.LdPinch (V3 : Win-Trojan/LdPinch.104960.F)
KB908194.exe-20090601 : Malware/Win32.Generic (V3 : Win-Trojan/Rabbit.21017)
install2.exe-20090601 : Downloader/Win32.Rogue (V3 : Dropper/Fraudrop.490804)
file.exe-20090601 : Trojan/Win32.Alureon (V3 : Win-Trojan/Alureon.98304)
load.exe-20090601 : Trojan/Win32.Botnetlog (V3 : Win-Trojan/Botnetlog.27648)

초기 AhnLab Smart Defense 제품에서 9종을 진단하였고, 실제 샘플 신고를 통해 V3 제품에서 7종을 정식으로 추가하였지만, 여전히 AhnLab Smart Defense 제품에서 진단하는 2종은 분석 중이라는 메시지를 확인할 수 있었습니다.

[AhnLab Smart Defense 진단 / V3 미진단 : 총 2종]

flygolden.exe-20090601 : Malware/Win32.Generic (V3 : 분석 중)
NAPC.exe-20090601 : Malware/Win32.Generic (V3 : 분석 중)

나머지 초기 신고 샘플 중 4종은 AhnLab Smart Defense / V3 제품 모두에서 현재까지 (기)진단을 하지 않는 상태로 남아 있습니다.

이를 보건데 전체적으로 핵심은 2가지로 볼 수 있습니다.

AhnLab Smart Defense 제품은 분명 현재의 안철수연구소 V3 제품의 진단 방식의 최대 약점인 사전 진단 및 느린 업데이트 추가 부분을 일정 부분 상쇄할 수 있으며, 그 시간대 역시 현재보다는 최소 2시간 이상 빠른 대응이 가능할 수 있다는 점입니다.

다른 한 가지는 샘플에 대한 사용자의 신고가 없다면 이 역시 아무리 좋은 기술일지라도 완벽한 치료 능력을 보장할 수 없으므로 샘플 신고를 통해 타 업체보다 더 정확한 진단과 치료를 제공해 주는 것이 반드시 필요하다고 생각합니다.

해외 보안제품 테스트에서 공개한 수치를 기준으로 본다면 과거 50~60%대의 진단률이 AhnLab Smart Defense 기능의 추가로 인하여 최소 70% 이상으로 일정 부분 향상된 모습을 보여줄 수 있는 가능성을 보이는 것으로 추정되며, 특히 염려스러운 Smart Defense 수준을 높인 상태에서도 타 제품에 비해 오진의 범위가 적지 않을까 하는 생각도 듭니다.