본문 바로가기

벌새::Security

F-Secure 멀티 엔진에 대한 오해

핀란드에 위치한 해외 유명 보안업체 F-Secure 제품은 멀티 엔진으로 동작하는 보안 제품으로 유명합니다.

[F-Secure 동작 엔진 구성]

  • F-Secure AVP: 7.00.171, 2008-10-03
  • F-Secure Libra: 2.04.05, 2008-09-29
  • F-Secure Orion: 1.02.41, 2008-10-03
  • F-Secure Draco: 1.01.00, 2008-09-08

  • 현재 제품의 진단 보고서에 제시되어 있는 엔진 구성을 보아도 4종류의 엔진으로 수동 검사가 이루어지고 있는 것을 확인할 수 있습니다.

    F-Secure Client Security 제품의 업데이트 항목에서 실제 다운로드 되는 종류를 살펴보면 이보다 훨씬 다양한 구성을 가지고 있는 것을 확인할 수 있습니다.

    그런데 실제 해당 제품을 사용하면서 오해할 수 있는 부분이 있기에 이 부분에 대해 살펴보도록 하겠습니다.

    [특정 악성코드 예시]


    Antivirus Version Last Update Result
    AhnLab-V3 2008.10.3.2 2008.10.03 -
    AntiVir 7.8.1.34 2008.10.03 -
    Authentium 5.1.0.4 2008.10.04 W32/Heuristic-210!Eldorado
    Avast 4.8.1248.0 2008.10.03 -
    AVG 8.0.0.161 2008.10.03 Dialer.JRB
    BitDefender 7.2 2008.10.04 -
    CAT-QuickHeal 9.50 2008.10.04 -
    ClamAV 0.93.1 2008.10.04 -
    DrWeb 4.44.0.09170 2008.10.04 -
    eSafe 7.0.17.0 2008.10.02 -
    eTrust-Vet 31.6.6127 2008.10.03 -
    Ewido 4.0 2008.10.03 -
    F-Prot 4.4.4.56 2008.10.03 W32/Heuristic-210!Eldorado
    F-Secure 8.0.14332.0 2008.10.04 Dialer.BXGU
    Fortinet 3.113.0.0 2008.10.03 -
    GData 19 2008.10.04 -
    Ikarus T3.1.1.34.0 2008.10.04 Virus.Win32.Regrun.W
    K7AntiVirus 7.10.483 2008.10.03 -
    Kaspersky 7.0.0.125 2008.10.04 Trojan-Banker.Win32.Banker.ycd
    McAfee 5398 2008.10.04 -
    Microsoft 1.4005 2008.10.04 -
    NOD32 3494 2008.10.03 -
    Norman 5.80.02 2008.10.03 Dialer.BXGU
    Panda 9.0.0.4 2008.10.03 -
    PCTools 4.4.2.0 2008.10.03 -
    Prevx1 V2 2008.10.04 -
    Rising 20.63.62.00 2008.09.28 -
    SecureWeb-Gateway 6.7.6 2008.10.04 -
    Sophos 4.34.0 2008.10.04 -
    Sunbelt 3.1.1675.1 2008.09.27 -
    Symantec 10 2008.10.04 -
    TheHacker 6.3.1.0.100 2008.10.03 -
    TrendMicro 8.700.0.1004 2008.10.03 -
    VBA32 3.12.8.6 2008.10.03 -
    ViRobot 2008.10.4.1406 2008.10.04 -
    VirusBuster 4.5.11.0 2008.10.03 -
    Additional information
    File size: 821817 bytes
    MD5...: dc7e653c4c85679f4ceabf3c186af42c
    SHA1..: 03aedf152e95b9b7ed83586cd4eda9af5c9ac5e5

    해당 샘플은 Kaspersky 엔진(AVP 엔진)에서 Trojan-Banker.Win32.Banker.ycd 진단명으로 진단을 하는 악성코드입니다.

    하지만 Kaspersky 업데이트 항목에서 확인해보면 해당 진단명은 10월 4일자 업데이트로 아직 F-Secure에서는 해당 진단을 반영하지 못하고 있습니다.

    위와 같이 AVP 엔진에서 진단하는 악성코드 진단명이지만 Kaspersky 업체로 부터 새로운 업데이트 엔진을 제공받지 못한 F-Secure에서는 해당 샘플을 실시간 감시와 수동 검사에서 진단을 하지 못하는 경우가 있습니다.

    만약 AVP 엔진이 업데이트가 된다면 해당 샘플은 실시간 감시 또는 수동 검사에서 Trojan-Banker.Win32.Banker.ycd 진단명으로 정확하게 진단을 하겠지만, 현재는 AVP 엔진은 진단하지 못하는 대신 VirusTotal 에서는 Dialer.BXGU 진단명 (Norman 엔진)으로 진단하는 것을 확인할 수 있습니다.

    하지만 실제 F-Secure 사용자가 VirusTotal을 통해 해당 샘플에 대해 확인을 하지 않는다면 위와 같은 수동 검사에서도 진단하지 못하는 결과를 통해 해당 샘플은 악성코드가 아니거나 아직 제품이 진단하지 못한다고 생각할 수 있습니다.

    보통 1PC에서는 실시간 감시를 통해 동작하는 보안 제품은 1제품을 사용할 것을 추천하고 있습니다. 이런 것과 마찬가지로 멀티 엔진을 가지고 있는 F-Secure 일지라도 외에는 될 수 없습니다.

    현재 F-Secure 제품은 실시간 감지 또는 수동 검사에서 동작하는 엔진은 Kaspersky 엔진(AVP), F-Secure 자체 엔진, Ad-Aware 스파이웨어 엔진으로 동작이 이루어지고 나머지 엔진은 수동 검사가 아닌 동적 활동에 대한 감지 기능을 가지고 있습니다. 이는 다양한 엔진의 충둘을 피하기 위한 방법으로 생각됩니다.

    실제 A라는 샘플을 각 엔진이 모두 다양한 진단명으로 진단하건데 실제 F-Secure 제품에서는 실시간 감시 엔진을 우선순위로 두어 해당 엔진의 진단명을 제시하는 방식을 취하고 있습니다.

    위와 같이 해당 샘플을 사용자가 직접 실행을 할 경우 Norman 엔진에서 Dialer.BXGU 진단명으로 해당 샘플이 악성코드라는 경고를 주고 있습니다.

    F-Secure 제품을 사용하시는 사용자 입장에서는 단순히 샘플을 마우스 우클릭 방식의 수동 검사 결과만으로 해당 제품의 진단률을 파악하는 것은 약간의 오차가 있음을 인지하시고 사용하시기 바랍니다.