본문 바로가기

벌새::Security

BitDefender DB 업데이트 수 감소 현상의 원인

해외 유명 보안제품 BitDefender 엔진을 사용하는 제품 중에서 어느날 DB 업데이트가 진행된 후 업데이트 전과 비교하여 시그니쳐(Signature) 수가 급격하게 줄어드는 현상을 목격하는 경우가 있습니다.

일례로 국내 보안업체 잉카 인터넷(INCA Internet) 업체에서 서비스하는 보안제품 nProtect Anti-Virus/Spyware 2007의 경우 바이러스 패턴은 BitDefender 엔진 + 자체 엔진(타키온 : Tachyon)으로 구성되어 있습니다.


해당 제품 역시 최근에 업데이트를 하였을 경우 490만여개에서 일시적으로 410만개 수준으로 패턴의 변화가 있었던 것으로 확인이 되었습니다.

이와 같은 현상은 왜 일어나는지 BitDefender 업체에서 제공하는 자료를 근거로 알아보도록 하겠습니다.

The number of viruses detected by BitDefender is NOT affected.
A number of signatures which each matched a single virus variant have been replaced with generic signatures which match entire viruses families. This leads to lower memory consumption by ~10 MB and a smaller size on disk (4 MB) for all BitDefender products.

내용을 정리해보면 이전에 존재하던 특정 악성코드를 진단하기 위해 각 변종에 대한 각각의 시그니쳐의 진단수가 존재하였는데, 이들 변종에 대한 진단을 Generic 진단으로 변경하여 특정 진단명 하나로 해당 악성코드 패밀리(Family)를 전부 진단하도록 수정을 할 수 있다는 내용입니다.

예를 들어 Trojan.AutorunINF.A / Trojan.AutorunINF.B / Trojan.AutorunINF.C 등으로 나누어져 있던 DB를 Trojan.AutorunINF.Gen 이라는 진단명으로 통합을 하면서 전제적인 진단 수는 감소를 하였지만 악성코드에 대한 진단에는 영향을 미치지 않는다는 의미입니다.

이를 통하여 메모리 사용량의 경우 최대 10MB, 파일 용량 대비 4MB 정도로 제품의 성능 향상을 가져올 수 있는 것으로 소개를 하고 있습니다.

비단 BitDefender 제품만 위와 같은 방식으로 최적화를 하는 것이 아니라 모든 보안제품에서 초기에는 악성코드에 대해 1:1 방식으로 업데이트를 하다가 변종에 대한 공통적인 진단 패턴이 완성되면 Gen 진단으로 통합하는 경우가 있으며 이를 통해 전체적인 제품 성능을 가볍게 하는 효과를 가져오는 것으로 볼 수 있습니다.

재미있는 것은 최근에 nProtect 제품에서 업데이트 후 위와 같이 일시적으로 DB 수가 감소하였는데, 재부팅 후에는 다시 원래대로 돌아간 모습을 보고 좀 의아하기는 합니다.
  • 빗디가 제너릭 진단을 정식진단으로 추가하는 이유 중 하나인가 봅니다.
    제너릭 진단으로 변경되면서 줄어드는 패턴 수가 상당하네요.

    제너릭 진단 방식을 안 쓰는 게 아니지만 국내 보안 업체들도 DB가 크게 증가할 앞으로를 위해서 좀 더 많이 제너릭 진단 방식을 사용해야하는 것은 아닌가 합니다.