본문 바로가기

벌새::Security

AhnLab V3 vs. AhnLab SiteGuard 누가 거짓말을 하고 있을까?

사용자 컴퓨터에 안철수연구소(AhnLab) 제품인 V3 LiteSiteGuard를 설치한 상태에서 특정 사이트에 대한 상반된 반응을 일으키는 부분에 대해 살펴보도록 하겠습니다.


구글(Google) 검색을 통해 제시되는 특정 검색 결과 중 그림과 같이 중국 사이트에 대해 SiteGuard 제품에서는 안전한 사이트라고 표시를 하고 있습니다.


하지만, 해당 사이트에 실제 접속을 시도할 경우 V3 Lite 실시간 감시를 통해 VBS/Gumblar 진단명이 발견되었다는 메시지를 확인할 수 있습니다.

prototype.js(MD5 : d44e9d6bddda77a01f1ba22a89c2c16e)


해당 악성코드가 실제 악의적인 코드를 포함하고 있는지 바이러스토탈(VirusTotal) 검사를 통해 1차적인 검증을 해보면 안철수연구소 보안제품에서만 진단을 하는 것을 확인할 수 있습니다.

실제 파일 내부에서도 개인적으로 수상한 코드는 발견하지 못하였기에 이는 V3 제품의 오진으로 추정됩니다.

이런 경우 사이트가드(SiteGuard)가 정상적으로 반응하고 V3 제품의 오진으로만 봐야할지 아니면 동일한 진단 엔진을 사용하는 것을 고려한다면 V3의 잘못된 진단과 함께 SiteGuard의 일치되지 않는 부실한 안전도 검사까지 신뢰성을 얻을 수 없다고 봐야할지 모르겠습니다.

도대체 한 배에서 나온 제품이 왜 이렇게 다른 결과를 나타내는지 모르겠습니다. 설마 일부의 말처럼 실제 검사가 완료되지 않은 상태에서 안전도 표시를 하는 것은 아닌가도 싶습니다.

해당 파일은 현재 안철수연구소 오진 신고를 통해 확인 과정에 있음을 밝힙니다.

  • 세의 2009.12.21 01:40 댓글주소 수정/삭제 댓글쓰기

    아악~ 애매하다 +_+

  • 제품간 진단 기법(정책)이나 패턴 방식이 달라서 생기는 오해가 아닐까 싶네요^^

    배다른 형제 ^^

  • 가끔은 사용자에게 혼란을 줄수도 있을것 같습니다.

  • AhnLab에는 미안한 얘기지만 사실 사이트가드는 믿을게 못되는 것 같습니다.
    저의 경험에서도, 바이러스나 스파이웨어를 유포하는 사이트라도 안전하게 표시되더군요..
    반면 V3 제품에서는 바이러스 진단하고,,, 벌새님 상황과 동일하네요..

    그리고 사이트가드 프로 제품은 유료로 알고 있는데, 과연 돈을 주고 구입해야 할런지 생각해봐야 할 부분인 것 같습니다. 아직은요...

    • 해외 보안업체에서 제공하는 유사 제품을 한 번 경험해 봐야지 평가하기 좀 쉬울 것 같습니다.

      아직은 반쪽짜리 기능이 아닐까 생각됩니다.

  • 구글링이나 기타 검색시 사이트가드가 검사하지 않은 사이트들을 사이트가드는 일단은 녹색으로 표시는 하는 것으로 보입니다 . 그러나 제가 예전에 사이트가드 1.0 시절에 한 테스트를 복기해 보면 , 사이트가드는 자신이 차단하지 않고 있던 - 즉 , 악성코드 배포지인지 사이트가드가 몰랐던 사이트를 사이트가드 사용자가 방문시 그 걸 발견하고 , 자동으로 사이트가드 서버로 그 내용을 전송합니다 . 그렇게 되면 역시 사이트가드를 사용하는 이후 방문자들은 해당 사이트 접속이 차단되는 것으로 보입니다 . 이는 사이트는 물론 다이렉트 다운로드 주소등에도 반영되어 사이트가드 사용자가 어떤 파일을 다운로드 받고 사이트가드 안전 다운로더로 검사한 결과 해당 파일이 악성코드라고 검사된다면 , 해당 다운로드 링크는 그 이후의 사이트가드 방문자에게는 차단됩니다 . 다운로드 받으려 할 시 , 아시죠 ? 빨간 경고창 . 그 걸 일단 출력합니다 . 그러나 사용자가 억지로 다운로드 받으려고 계속 실행시는 뚫린 것으로 기억합니다 . 물론 경고 보고 계속 시도할 사용자야 별로 없을터이니(꼭 받으려면 인터넷 익스플로러 다운로더로 받으면 되니까..) 이 부분은 중요 부는 아닌 것으로 보이고요 ...결론적으로 말해서 사이트가드는 악성코드 유포지의 첫 방문자는 사이트가드의 실시간 감시로 보호를 하고 동일 사이트에 그 이후의 방문자에게는 경고를 출력하는 방식을 택한 것으로 보입니다 . 이런 방식이라면 의문이 생기긴 합니다 . 어떤 악성코드 유포지 첫 방문자는 왜 미리 경고받지 못하고 , 마루타(?)가 되어야 하는가 ? 물론 , 실시간 감시의 보호를 받긴 하지만요 ....또 그 이후 방문자는 경고부터 보게되는데 , 해당 사이트에서 악성코드 유포가 멈출 경우 어떻게 감지할 것인가 ? 물론 사이트가드도 사이트가드 실시간 감시가 검사하는 외에도 , 자동 방문 스캔도 하고(추측) , anti-phishing.org 정보도 이용(확실)하고 그리고 stopbadware.org와 비슷한 어떤 정보 제공 단체도 이용할 것(추측)이라고 추측되지만 , 분명한 것은 자체적인 웹 정보를 늘릴 필요는 있어 보입니다 . 그러나 ! 방문하는 사이트 및 다운로드에 대한 실시간 감시 결과를 서버로 "자동" 전송해 이후 방문자들을 차단하는 방식은 사이트가드가 최초로 시도한 개념으로 개인적으로는 추측하고 있습니다 . 이 것이 진보적인 방식인 것만은 부정할 수 없는 것이겠죠 ....

    • 방문자 2010.03.26 19:45 댓글주소 수정/삭제

      사이트가드측에서 말하는 페이지당 실시간 검사라는 말은 자동으로 모든 사이트를 검사하여 사용자에게 통보 하는 게 아니라 어떤 사용자가 먼저 특정 웹사이트를 접속 하였을 시 그 사이트의 보안 상태(정확히는 접속 페이지)를 자동 점검하여 안랩 서버로 전송하여 위험한 스크립트등을 발견 하였을 시 다른 사용자로 하여금 추가적인 피해를 받지 않도록 보호 한다는 말이로군요.

      그렇다면 안전검색에서 보이는 수 많은 사이트의 녹색 이미지 중 실제로는 검사하지 않은 웹페이지를 구라로 보여주고 있으며 누군가 대신 안전 검색 체크를 위해 접속 해 줄것을 기다리고 있다고 봐도 되겠군요.

      님의 말을 듣고 생각 해 보니 검색 엔진에 등록된 수만개의 사이트를 일일히 그 때 그때 자동으로 검사한다면 웹페이지 로딩 속도가 급격하게 저하 되는 현상이 있을터인데 2.0으로 되면서부터는 그런 증상이 없이 빨라졌다고 생각했더니 다 이유가 있었군요.

      테스트되지 않은 사이트라면 노턴의 세이프웹처럼 솔직하게 말하는 게 더 낫지 않나 생각합니다. 세이프웹은 테스트 되지 않으면 물음표로 보여 준 후 테스트 되도록 예약 되었다는 문구가 나옵니다. 사이트가드는 누군가 꼭 접속을 해야만 하는.. 그러다 신종 악성코드에 감염되면 책임 지실려나..

    • 제가 지금까지 AVG에서 제공하는거나, 안랩에서 제공하는거나 사용해 보면서 느낀 점은 실제 제품의 진단과 웹 보안 프로그램과의 진단 차이도 많이 나고 잘 맞지 않는 것이 더 많은 것 같습니다.

      그나마 안랩쪽이 실시간이라는 것 같은데 해외쪽은 과거 기록을 근거로 나와서 좀 현실감이 떨어지는 것도 같습니다.