본문 바로가기

벌새::Security

안철수연구소의 샘플 접수 답변 메일의 바람직한 표준은?

반응형

자신이 사용하는 보안제품에서 특정 악성코드를 진단하지 못할 때 어떻게 하시는지요?

저의 경우 사용하는 보안제품 중 안철수연구소의 스파이제로(SpyZero) 고객인지라 악성코드로 의심되는 샘플이 발견되면 다른 업체보다는 안철수연구소에 꼬박꼬박 샘플 신고를 해오고 있습니다.

과거에 비해 안철수연구소의 샘플 접수에 따른 고객 답변 시스템은 많은 발전을 하였고 어느 정도 커뮤니케이션도 잘 이루어지고 있다고 봅니다.

안철수연구소에서는 샘플을 접수 받으면 자동 시스템을 통해 해당 샘플의 접수번호를 부여한 이메일을 접수와 동시에 고객에게 발송을 합니다.

그 후 해당 샘플에 대한 1차적인 검토를 통하여 샘플을 제공한 고객에게 추가적인 정보를 제공하고 있습니다.

그런데, 오늘 받은 답변 메일은 이전의 답변 메일과는 다소 차이가 있어서 적어보겠습니다.


이전에 접수하여 분석된 답변 이메일과는 다소 다른 형식으로 제공된 이메일은 앞으로 안철수연구소가 지향했으면 하는 좋은 표준을 제공해 준다고 개인적으로 평가하고 싶습니다.

현재 안철수연구소의 제품은 V3(바이러스)와 SpyZero(애드웨어, 스파이웨어)로 분류되어 있습니다.

이로 인해 접수된 샘플이 어느 쪽 DB 업데이트에 포함되는지 사전에 알 수 없었는지 이번 이메일에서는 위와 같이 접수된 샘플을 잘 분류하고 있습니다.

다른 보안업체와 다른 점 중의 하나는 안철수연구소는 접수 샘플의 최초 접수 날짜를 알 수 있게 해 준다는 점입니다.

예를 들어 SPP.exe 파일의 경우 080910이라는 숫자를 통해 2008년 9월 10일 최초로 접수된 것을 알 수 있습니다.

여기서 더욱 발전적인 답변 메일의 형태는 카브의 경우 엔진에 추가되기 이전에 답변을 통해 접수된 샘플이 어떠한 진단명으로 추가될 것이라는 것을 제공해 주는데 아직은 안철수연구소에서는 그 수준까지의 답변을 받기는 어려운 것이 현실인 것 같습니다.

위와 반대로 안철수연구소에서는 샘플 신고를 한 부분에 대해 엉뚱한(이해 못할) 답변을 하는 경우도 있습니다.


예를 들어 샘플 신고로 하나의 압축 파일에 여러 개의 샘플을 신고를 하였습니다.

얼마의 시간이 지나 위와 같은 답변을 받을 때가 있습니다. 여기에는 중요한 문제가 있습니다.

여러 개의 샘플 중 어느 샘플을 분석하였다는 정보를 제공하지 않으면서 뜬금없이 A라는 샘플에서 의심스러운 파일이 발견되었으므로 해당 경로의 파일을 압축하여 보내달라는 답변 메일이 옵니다.

저렇게 안철수연구소에서 샘플을 분석하여 경로까지 안다면 왜 고객에게 해당 파일을 재요청하는지 모르겠습니다. 당연히 분석 과정에서 생성된 파일은 안철수연구소에서 확보 가능한 파일이 아닐까 생각됩니다.

꾸준히 안철수연구소에 샘플 신고를 하는 입장에서 자신이 신고한 샘플로 인해 누군가가 컴퓨터를 고칠 수 있고 예방할 수 있다면 좋은 일일겁니다.

인터넷 상에서 다운로드를 즐기는 사용자라면 의심스러운 파일은 보안업체에 신고를 하여 해당 파일이 자신의 컴퓨터를 감염시키는지를 확인할 필요가 있다고 생각합니다.

참고로 악성코드 신고는 해당 제품 사용자만이 할 수 있고 해야 하는 일은 아닙니다. 누구에게나 개방된 서비스임을 아시기 바랍니다.
728x90
반응형