본문 바로가기

벌새::Security

AhnLab Smart Defense (Beta) : DNA DataBase와 Push Update

반응형
안철수연구소(AhnLab)의 베타 테스트 제품 AhnLab Smart Defense Beta 1.1.0.35 버전에서 DNA 데이터베이스 정보를 공개를 하였습니다.


현재 중앙 서버에 누적된 DNA 데이터베이스 총 수량이 1,800만이 넘어선 상태이며, 이 중에서 악성 데이터베이스는 900만개 이상으로 정상적인 프로그램보다는 악성 프로그램이 전 세계적으로 더 많이 만들어졌다는 것을 간접적으로 확인할 수 있습니다.

매일 새롭게 나오는 각종 프로그램 또는 파일 단위를 기준으로 지금의 상황은 정상적인 프로그램보다는 악의적인 목적으로 제작된 것들이 더 많은 것이 현실입니다. 물론 그 중에서는 보안업체의 진단정책의 변화로 과거에는 진단하지 않던 부분이 추가된 부분도 간과할 수는 없겠지만 전체적으로 봤을 때에는 공개된 악의적인 취약점 코드를 이용하여 악성코드를 자동으로 만들어내는 도구(Tool)의 힘이라고 볼 수 있습니다.

하단에는 Push 업데이트 정보가 실시간으로 체크가 되고 있는데, 새벽시간대에 잠시 확인해보면 대략 1~2시간 단위로 업데이트가 이루어지고 있는 것으로 추정됩니다.

Push 업데이트에 대해 잠시 살펴보면(사실 전문가가 아니라서 아래의 이야기 중 틀린 부분이 있을 수 있습니다.) 해외 보안제품 중 Symantec Norton 제품에서 Push 업데이트를 실시하고 있는 것으로 알고 있습니다.

기본적으로 보안제품은 자동 업데이트를 지원하고 있으며, 환경설정에서는 최소 단위인 1시간부터 사용자 컴퓨터에 설치된 보안제품이 업데이트 서버에 접속을 하여 주기적으로 새로운 Virus Definition File(DB 파일)의 생성 여부를 체크하고, 새로운 업데이트가 존재할 경우 사용자 컴퓨터로 해당 파일을 다운로드하여 설치하는 방식으로 동작합니다.

하지만 최근과 같이 방대한 양의 악성코드가 출현하는 시점에서 1시간 단위 업데이트로는 보안 위협에 효과적으로 대처할 수 없다고 판단하여 노턴의 경우 최근에는 Push 업데이트를 통해 15분 단위로 업데이트를 추가하여 변종에 빠르게 대처한다고 알려져 있습니다.

그렇다면, AhnLab Smart Defense 제품의 Push 업데이트는 무엇이 다를까요?

ASD 제품은 현존하는 제품들과는 다르게 클라우드 컴퓨팅(Cloud Computing) 방식을 통하여 업데이트 파일을 사용자 컴퓨터에 설치된 보안제품이 서버에 접속하여 다운로드를 하는 방식이 아닌, 해당 업체는 수집된 악성 DNA 데이터베이스 정보를 중앙 서버에 업데이트를 하고 사용자는 실시간으로 자신의 컴퓨터를 감시하면서 Network Scan 방식으로 감염 여부를 확인한다는 점이 틀립니다.

즉, 이로 인하여 새롭게 추가된 업데이트에 대해 다운로드를 통한 설치 방식보다 더 빠르게 변종에 대처할 수 있으며(일반적으로 보안업체는 신고된 악성코드 샘플을 접수하여 분석하고 배포 엔진을 개발하여 배포를 한다고 이것이 바로 사용자 컴퓨터에 적용되는 것이 아닙니다. 그 이유는 배포 시점에서 사용자 컴퓨터의 보안제품이 업데이트를 체크해야 하는 시간 간격이 존재하므로 실제 최종 사용자에게 도달할 때까지는 더욱 많은 시간이 소요될 수 있습니다.) 점점 늘어가는 DB의 무거움을 해결할 수 있는 최선의 방법 중의 하나라고 볼 수 있습니다.

위와 같은 동일한 명칭의 Push 업데이트도 ASD 제품의 방식이 조금 더 효과적으로 대응할 수 있는 방법임에는 틀림없지만, 악성코드 중에서 감염된 환경에서 실제 설치된 보안제품의 업데이트를 방해할 경우 클라우드 컴퓨팅 기술은 과연 어떻게 이런 업데이트 방해 동작을 해결할 수 있을지 개인적인 의문이 들기도 합니다.

또한 업데이트된 정보가 오진을 유발할 경우에도 일반적인 업데이트 배포 방식보다 더욱 빠르게 피해가 발생할 수 있다는 점도 보안업체의 빠른 업데이트의 약점이 아닐까 생각됩니다.

반응형