울지않는벌새 : Security, Movie & Society

안철수연구소(AhnLab)의 스파이제로 업데이트 용어 : 유해 가능 프로그램

벌새::Security

안철수연구소(AhnLab) 보안 정보에 보면 위와 같이 악성코드를 대분류하고 있습니다.

바이러스의 경우에는 V3 엔진으로 업데이트가 이루어지고 있으며, 스파이웨어는 스파이제로(SpyZero) 엔진을 통하여 이루어지며 유해 가능 프로그램의 경우에는 해당 프로그램의 성격에 따라 V3 / 스파이제로 엔진에 추가되는 것으로 알고 있습니다.

이제 안철수연구소의 일일 업데이트 DB를 안내하는 문구 하나를 살펴보겠습니다.

이번 엔진에는 총 768개의 신종 악성코드에 대한 진단/치료기능이 V3에 업데이트 되었으며, 총 21개의 유해가능 프로그램에 대한 진단/치료기능이 스파이제로에 업데이트 되었습니다.

업데이트 문구에 보시면 V3 업데이트의 경우에는 신종 악성코드라는 표현을 이용하였고, 스파이제로 업데이트의 경우는 유해 가능 프로그램이라는 표현을 이용하고 있습니다.

실제 스파이제로 업데이트 항목을 예를 들어 보겠습니다.

Win-Dropper/MulDrop.103936
Win-Spyware/RootKit.32768
Win-Adware/Rogue.MsAntiSpyware2009.1122304
Win-Adware/BBNothing.368640

위와 같이 스파이웨어(Spyware), 애드웨어(Adware), 가짜 백신(Rouge) 등으로 구성된 항목에 대한 업데이트가 주를 이루고 있는 것을 보실 수 있습니다.

최초 안철수연구소에서 악성코드라고 대분류한 용어의 정의와 실제 업데이트를 소개하는 부분에서의 용어는 다소 차이점을 분명하게 나타내고 있습니다.

보안 업체의 경우 용어 사용이나 진단에 있어서 정확성이 매우 중요한 요소 중의 하나라고 볼 수 있습니다. 물론 특정 악성코드가 트로이목마 진단명인가 스파이웨어 진단명인가는 업체 진단 정책에 따라 다르게 분류할 수 있지만 큰 틀을 이루는 대분류의 경우에는 정해진 용어를 바르게 사용해야 하지 않을까 생각합니다.

12월경에 V3 365 버전에서 새롭게 추가된 진단 항목 유해 가능 프로그램은 스파이제로의 진단 항목이라고 말할 수는 없지 않습니까? 그리고 그 동안 365 버전이 스파이제로 항목에 대한 진단을 마치 하지 않았다는 말로도 들릴 수 있는 문제라고 봅니다.

그러므로 업데이트 소개 안내문에서 스파이제로에 추가된 항목은 유해 가능 프로그램이 아닌 스파이웨어라고 표현하는 것이 안철수연구소에서 정해야 할 올바른 표현이 아닐까 생각합니다.