태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

2011.03.11 04:56

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

보안관련소식2010.09.01 13:15


Anti-Virus 제품의 오진문제는 어제 오늘일은 아니지만, 종종 유명 메이저 급 제품들의 오진 뉴스가 새로운 이슈로 부상하고 있고, 그에 따른 많은 의견들이 게시 되고 있기도 합니다. 이러한 오진 사고는 제품 사용자층이 많으면 많을 수록 좀더 다양하게 알려질 수 있겠지요.

출처 - http://blogsabo.ahnlab.com/15


많은 Anti-Virus 업체들과 연구원들은 이러한 오진(오탐지)을 최소화하기 위해서 부단히 노력하고 있고, 그에 필요한 다양한 기술연구에 매진하고 있습니다.

오진 위험성에 대해서 100% 완벽하게 자유롭거나 완전 무결성한 패턴을 만들기가 쉽지 않은 것은 발전되는 Anti-Virus 기술과도 전혀 무관하다고 볼 수도 없습니다.

이는 Anti-Virus Engine, Scanner, Pattern 기술 등이 다양하게 발전함과 동시에 사용자의 요구를 충족시키기 위한 기반기술이 필요해짐에 따라 더욱 더 증가하고 있다고 볼 수 있습니다.

왜냐하면 악성코드의 기하급수적인 변종 출현과 국지성 공격 등은 사전 방역시스템적인 Anti-Virus 기술적 변화를 꽤하고 있고, 그에 따라 다양한 변형/사전/일괄 탐지 기술(Heuristic, Generic, Proactive, Behave Detection 등)이 도입되거나 논의 되고 있기 때문이지요.

보고되지 않은 변종에 대한 대응능력이 증가하면 증가할 수록 비례적으로 오진의 확률도 증가하게 되며, 이는 한시적인 문제가 아닌 연속성을 내포하고 있습니다.

어떠한 악성코드와 100% 매칭되는 코드를 Pattern(Signature)화 하였을 경우 오진의 확률은 0%에 근접하게 되겠지만 변종에 대한 능력을 향상시키기 위해서는 99.9%~??.?% 매칭되는 악성코드까지도 탐지할 수 있도록 하는 기술적 접근을 시도하게 됩니다.

0.1%의 코드가 다른 변종을 탐지하기 위한 충족조건 과정 중에는 반대로 0.1%의 오차로 인한 오탐지가 발생할 수 있다는 결론이 가능 한것이지요.

SHA1 이나 MD5 등의 HASH 로 100% 매칭되는 무결성한 악성코드만 패턴화 한다면 그 만큼 오진의 확률은 감소하겠지만 변종에 대한 사전 방역 기능은 전무하거나 상대적으로 줄어든다고 볼 수 있을 것입니다.

오진을 0%화하기 위해서 100% 매칭되는 악성코드만 Database화 한다면 매우 Ideal한 Anti-Virus 제품이 될지도 모르지만, 현실적으로 이러한 방식은 단순 변형을 진단하지 못하는 상대적 딜레마에 놓이게 되며, 1개를 막고 2개를 놓치는 상대성 오류를 범하게 될지도 모르겠지요!

실행압축을 하거나, 다형성 악성코드이거나, 변종이 수시로 제작되어 유포되는 형태가 있다면 사용자와 Anti-Virus 제작사 모두 이를 업데이트하지 않고 탐지하고 무력화하기를 원하기 때문입니다.

따라서 이러한 악성코드의 시대적 트랜드와 이를 적절히 차단하기 위한 Anti-Virus 기술이 지속적으로 연구되고 발전되어야 하는 이유일 것이고요.

 우리 속담에 "빈대 잡으려다 초가 삼간 태운다"라는 말이 있지요.

만약 Anti-Virus 제품이 시스템의 중요 파일을 악성코드라고 탐지하고 삭제한다면? 어떠한 일이 발생할까요?

사용자 입장에서는 자신의 컴퓨터에 존재하는 악성코드를 제거하기 위한 목적으로 Anti-Virus 제품을 사용하지만 반대로 한번의 오진사고는 사용자의 중요한 Data를 손실시키거나 운영체제에 치명적인 오류를 유발시켜 오히려 사용자에게 피해를 주는 악성프로그램으로 전락하는 최악의 운명을 맞게 될지도 모릅니다.


이러한 사고를 사전에 예방하고 최소화하기 위한 일련의 과정은 보통 White List 나 Black List 라고 구분된 검증 시스템을 활용하여 시스템의 중요 파일을 진단하지 않도록 예외처리하거나 진단목록에 포함되지 않도록 하는 형태로 이용될 수 있으며, 일명 Clean Set 이라는 것도 이와 유사하다고 보면 됩니다.

특히, 최근에는 다량의 악성코드를 개별적으로 연구원이 정밀분석을 거치고 업데이트를 하지 못하는 환경적 구조가 있고, 자동화 업데이트 기능을 통한 자동 패턴 추출 프로그램 등이 활용되고 있습니다.

다른 제품의 진단 여부를 기준화하여 그 기준에 부합될 경우 악성코드 판단을 하는 것인데 그 과정에서 연쇄적인 오진사고 등이 발생하는 경우도 종종 발생하기도 합니다.

자체적인 검증, 품질 관리 시스템을 도입하고 꾸준히 관리하는 것이 이러한 사고를 미연에 예방할 수 있는 밑거름이 되지 않을까 싶습니다.

[취재수첩] 백신 오진과 기업경쟁력
http://www.ddaily.co.kr/news/news_view.php?uid=63121



 

Posted by viruslab
보안관련소식2007.12.12 09:55


False Alarm

1. False Positive (양성 오류) : 정상파일을 바이러스라고 오진한 경우 [오탐지]
2. False Negative (음성 오류) : 바이러스를 정상파일이라고 오진한 경우 [미탐지]

둘다 있어서는 안될 오진이겠죠?

그외에.. Fake Alarm, Fake Alert 등도 있는데..

Grayware(Rogueware) 등에서 감염도 안된 시스템을 마치 감염되었다고 경고하거나 허위 진단화면을 보여주어 소액결재 등으로 유도할 때 나오는 형태입니다.

속지 말아야 겠네요.
Posted by viruslab