본문 바로가기

벌새::Life

보안 뉴스에 실린 바이러스 제로 시즌 2 관련 기사

728x90
반응형
얼마 전 바이러스 제로 시즌 2 카페 회원님이 자신이 작성한 게시글의 사진 일부를 모 기자분이 기사에 추가한다며 허락을 구한다는 글을 보았습니다.

오늘 확인해 보니 해당 기사가 나왔고, 특정 파일에 대한 휴리스틱 오진 부분에 대한 스크린 샷에 저희 카페를 출처로 작성해 주셨더군요.

사용자 삽입 이미지

기사 내용은 잘 보았는데, 한 가지 언급할 점을 기자분이 놓친 것이 있는 것 같습니다.

해당 닥터웹의 넥슨 파일 오진은 분명 오진은 오진이지만, 정식 진단명이 아닌 사전 진단, 즉 휴리스틱 기법에 의한 진단임을 밝히는 것이 중요할 것 같습니다.

일례로 특정 exe 실행 파일이 있다고 가정을 해 보겠습니다.(여기에서 예를 드는 부분은 실제 해외 유명 업체에 문의했던 경험을 토대로 합니다.) 해당 샘플에 대한 특정 백신이 휴리스틱 진단을 합니다.

그 샘플은 일반적인 정상 파일이라는 것을 안철수 연구소에 문의해서 확인을 받았습니다. 하지만 휴리스틱 진단을 하는 업체에 문의를 하면 답변이 다를 경우가 있습니다.

즉, 해당 샘플이 악성코드로 작동하여 컴퓨터에 해를 주는 단일 파일은 아니다. 하지만 다른 악성코드에 포함된 코드 또는 해당 파일이 다른 연관 파일과 결합하여 작동시에는 달라질 수 있다는 것입니다.

이 말은 안철수 연구소나 해외 유명 업체 중에서도 깨진 파일이나 작동하는 않는 불능 파일에 대해 진단을 하지 않는 진단 정책이 있을 수 있다는 것입니다.

제가 문의한 파일의 경우에는 휴리스틱으로 진단을 하지만 실제 해당 파일은 문제가 없고, 휴리스틱 진단에 대해서는 다른 악성코드와 유사성이 강하므로 진단에서 제외하는 것은 불가능하다는 답변을 받았습니다.

기사 내용은 분명 유명 백신이라도 오진으로 인해 사용자의 원성을 듣는 부분이 높고, 특히 휴리스틱 기법을 이용하는 백신일수록 더욱 높다는 것은 인정하지만, 장단점에 대한 부분을 같이 지적해 주셨으면 더 좋은 기사가 되지 않았을까 생각됩니다.

물론 닥터 바이러스와 같이 악의적으로 오진을 하고, 절대 수정하지 않는 제품들은 제외합니다.^^
728x90
반응형