SkySummer.com ::: 여름하늘 ::: 2007년 5월 백신 사전방역 테스트 by Anti-Virus Comparatives

2007년 5월 백신 사전방역 테스트 by Anti-Virus Comparatives
저작권 및 공지 CATEGORY : 보안 : 백신

6월 1일, 유명한 안티 바이러스 소프트웨어 테스트 기관인 Anti-Virus Comparatives (http://www.av-comparatives.org)에서 주요 백신들의 Retrospective 테스트 결과를 발표했다..
최근 전세계 백신 제작사들의 주목을 받고 있는 Retrospective 기능은 DB에 추가되지 않은 멀웨어들을 탐지하는 것을 일컫는다.. 눈치빠른 독자는 이쯤되면 짐작이 가능할 것이다.. 바로 휴리스틱(Heuristic) 엔진을 통한 사전 방역 기능을 말하는 것이다..

[참고] 어느 분께서 멀웨어와 바이러스가 무슨 차이가 있느냐 질문한 바 있는데,
멀웨어란 바이러스, 웜, 스크립트, 스파이웨어, 애드웨어 등등을 통털어 지칭하는 것이다..

가령, 오늘 6월 5일 오전에 바이러스 정의파일(DB)을 업데이트 했다고 가정하자.. 그런데 오후에 새로운 멀웨어가 나타났다.. 백신 벤더에서 이를 사용자에게 제공하기까지는 다소간에 시간이 걸릴 수 있다.. 따라서 일정한 시간동안 사용자들은 해당 멀웨어에 대해 완전히 무방비 상태에 놓이게 된다.. 이를 위하여 필요한 것이 기존의 바이러스 정의파일을 기반으로 미리 예측하여 위협 요소를 경고하여 주는 기능이며, 이것을 Retrospective Detect 또는 Heuristic Scan 이라고 부른다..
하루가 다르게 신종 멀웨어가 등장하는 추세를 감안하면, 사전방역 기능이 얼마나 중요한 가 납득할 것이다..
물론, 국내 A사의 비싼 장난감 백신에는 이 기능이 전무하다시피 한 것은 물론이고, 휴리스틱 기술에 대한 능력도, 관심도 없는 것으로 보인다..

테스트 조건과 방식은 다음과 같다.. (자세한 것은 여기 를 클릭하여 Anti-Virus Comparative가 제공한 PDF 파일을 참고할 수 있다..)
일단, 테스트할 백신의 바이러스 정의파일 업데이트는 2007년 2월 2일 이후로 실행하지 않았다..
2007년 2월 2일 부터 5월 2일까지 3개월간 새로 등장한 멀웨어를 20,522개를 수집한 후, 각각의 백신이 설치된 시스템을 감염시킨 후 몇 개나 검출해 내는가를 조사했다.. 샘플로 수집된 20,522개의 멀웨어는 모두 유명한(?) 것들로, 거의 모든 백신 벤더들의 DB에 추가된 것이니, 샘플 선정에 대한 시비는 여지가 없을 것이다..

테스트 결과는 아래와 같다..
일전에도 언급한 바 있지만 전세계 휴리스틱 알고리즘 중 최고를 자랑하는 NOD32가 당당하게 1위를 차지하여 유일하게 Advanced+ 등급을 부여 받았다.. 괄호안의 숫자는 검출률을 의미한다..
단순 검출률만 보면 AntiVir와 FortiClient가 71%로 가장 우수하다.. 하지만 사전진단에 있어서 고려해야할 중요한 하나는 바로 오진의 갯수이다.. 아무리 검출률이 높다고 해도, 오진이 많으면 의미가 없기 때문이다.. 이는 휴리스틱 엔진에 있어서 특히 중요한 것으로, 마구잡이로 의심요소라고 판정해 버리는 단순 무식한 방법이라면 100% 검출까지도 가능할 수 있다..
앞에 포스팅한 virus.gr 의 테스트 와 같은 Generic 방식에서는 검출률의 절대치만으로 그 백신의 우수성을 논할 수는 있으나, Heuristic 방식에서는 검출률이 높다는 이유만으로 그 백신의 우수성을 논할 수 없는 이유가 여기에 있다..
때문에, 71%를 마크한 AntiVir는 Standard 등급만을 부여받았고, FortiClient는 수천개의 오진으로 인하여 등급외로 분류되었다.. 여기서 등급외(Not Classified)란 반발을 막기위한 일종의 젠틀한 표현이다.. 간단히 말하여 "탈락"으로 이해해도 무방하다..

Result
등급	백신 이름 (% = 총 20,522개의 멀웨어 중 검출률)	오진 (단위 : 개)
Advanced+	NOD32 (68%)	2
Advanced	AntiVirusKit (31%) F-Secure (31%) Norman Virus Control (28%) Avast! Professional (26%) Norton (24%) McAfee (24%)	5 1 8 4 0 3
Standard	AntiVir (71%) TrustPort (58%) BitDefender Professional (48%) F-Prot (31%) Dr. Web (30%) Microsoft OneCare (18%) Kaspersky (9%) eScan (9%)	14 22 12 26 36 1 1 1
Not Classified	FortiClient (71%) : 수천개의 오진으로 탈락. AVG (8%) : 낮은 검출률로 탈락.	1000개 이상 14

P/S.
이 테스트는 말 그대로 사전방역 테스트이다.. 안티 바이러스의 전반적인 테스트가 아니라, 특정 기능에 대한 테스트일 뿐이므로 전체적인 우열을 반영하지는 않는 것임을 상기할 필요가 있다..

이 글과 관련된 다른 글들 (Related Posts)

이 블로그의 모든 글 및 리뷰에 대한 저작권은 여름하늘에게 있습니다.
출처를 밝힌 여부와 상관 없이 글, 또는 리뷰의 내용을 다른 사이트에 올리는 것을 금합니다. 좋은 글이라 여겨지면 링크나 트랙백을 이용해 주세요.
참고 : 저작권 위반에 대한 법적 대응
Copyrights 2008 무단 전재/스크랩 금지.

AntiVir, AVAST, AVG, BitDefender, Generic, Heuristics, Kaspersky, Microsoft, nod32, 마이크로소프트, 멀웨어, 바이러스, 백신, 보안, 비트디펜더, 소프트웨어, 순위, 스파이웨어, 아바스트, 애드웨어, 제너릭, 카스퍼스키, 프리웨어, 휴리스틱

여름하늘 | 2007/06/05 11:38 |

트랙백(0)

이 글의 트랙백 주소 : http://skysummer.com/trackback/376

* 파스크란 at 2007/06/05 13:29 ::: Reply ::: Delete ::: ↑
확실히 Antivir가 잡긴 잘 잡아도 오진이 많은편이군요. 매번 귀찮던데 한 번 Avast로 바꿔볼까나;;;

매번 좋은 정보 감사합니다. ^^

여름하늘 at 2007/06/06 11:46 ::: Delete
무료백신 중에는 역시 AVAST만한 것이 없는 것 같습니다..

* blogito at 2007/06/05 13:47 ::: Reply ::: Delete ::: ↑
늘 많은 도움받고 있습니다. ^^

저도 AntiVir의 성능이 마음에 들어서 잠시 사용했었는데, 행동기반 탐색의 오진이 문제더군요.
저야 어느 정도의 오진은 충분히 감내하고 사용할 마음이 있었는데, 와이프가 사용하는 농협뱅킹서비스의 이니텍솔루션의 멀웨어 검색은 정말 갑갑하더군요.
아시다시피 워낙 금융계보안서비스들이 하루가 멀다하고 (쓸데없는) 업그레이드를 하는 관계로 AntiVir쪽에 계속 파일을 보내서 문제없음을 테스트해봐달라고 해도 며칠만 지나면 새로운 dll들이 나오는데 두손 들고, 지금은 와이프가 사용할 때도 별로 문제가 없는 Avast!를 쓰는 중입니다.
오늘 이 포스트를 보니 Avast!를 당분간 안심하고 써야겠습니다.

여름하늘 at 2007/06/06 11:47 ::: Delete
최근 AVAST의 행보가 돋보이는 것 같습니다..
개인적으로는 필요없는 몇가지 설정이나 옵션은 버리고, AntiVir처럼 깔끔하게 나왔으면 하는 바램도 있네요..

* 태현 at 2007/06/05 13:51 ::: Reply ::: Delete ::: ↑
개인적으로도 역시 아직은 Avast!가 무난한 것 같습니다. =)

여름하늘 at 2007/06/06 11:48 ::: Delete
돈 주고 국산 모 백신 구입하는 것보다는 훨씬 탁월한 선택입니다..

* 최수훈 at 2007/06/05 16:29 ::: Reply ::: Delete ::: ↑
여름하늘님 블로그에서 봤던 Avast! 를 쓰는 중인데 순위권에 있다니 기분이 좋네요.
Avast!덕에 몇 번 감염 위기도 넘겼고, 아주 요긴합니다.

여름하늘 at 2007/06/06 11:49 ::: Delete
정말 많은 분이 AVAST를 쓰고 계시군요..
국산업체들 긴장해야겠습니다..ㅎㅎㅎ

* WarYi at 2007/06/05 18:21 ::: Reply ::: Delete ::: ↑
역시 Nod32 가 최고인가보군요.
저희집에도 Nod32 가 있어 든든합니다 ㅇㅅㅇ;;;;

전에 카스퍼스키를 썼었는데..
툭하면 경고창 떠대서 삭제한... (...)

휴리스틱엔진과 바이러스 DB 를 종합했을때..
카스퍼스키가 좋을까요 Nod32 가 좋을까요....?

여름하늘 at 2007/06/06 11:54 ::: Delete
글쎄요..
일반적인 유저라는 전제하에, 멀웨어 감염 예방과 검출능력으로만 따지면, 둘 다 비슷합니다..
약간 무거운가, 가벼운가의 차이와 가격을 고려해야할 것 같습니다..

추가로, 휴리스틱 기능에서는 NOD32가 앞서있지만, 스파이웨어/애드웨어와 같은 분야에서는 Proactive Defence 기능이 추가된 카스퍼스키 6.0이 좀 더 뛰어납니다..

* Caude Challe at 2007/06/05 19:55 ::: Reply ::: Delete ::: ↑
이번에 테스트된 카스퍼스키는 6.0버전이고
같은환경에서 7.0 버전은 40%정도 검출해냈더군요

FortiClient 오진은 VirusTotal을 사용해보면 알수있죠
거의 모든파일을 의심파일로 분류해내더군요

여름하늘 at 2007/06/06 11:56 ::: Delete
7.0에 대한 것은 아직 관심을 두지 않고 있습니다..
베타판은 말 그대로 베타판, 즉 테스트판이니까요.. 미완의 제품을 가지고 논하기에는 아직 이른 것 같다는 생각입니다..

* 수중생물 at 2007/06/05 20:51 ::: Reply ::: Delete ::: ↑
우열을 평가하기는 힘들겠지만, 1000개가 넘는 것은 좀 심해보이는군요...

여름하늘 at 2007/06/06 11:58 ::: Delete
예, 정말 심하죠..
10명 중 도둑놈이 하나 있는데 골라봐라 했더니 9명을 고른 셈입니다..
그 아홉 중에 도둑이 있을 가능성은 높으므로 탐지율은 100%가 될 수도 있지요.. ㅎㅎㅎ

* 스카이호크 at 2007/06/06 08:13 ::: Reply ::: Delete ::: ↑
AVAST가 참 좋군요. No.1을 먹지는 않았어도 여기저기서 순위권에 가볍고 편하니까요.
지난번 리뷰 이후로 애용하고 있답니다.ㅎ

여름하늘 at 2007/06/06 11:59 ::: Delete
전반적으로 모난 것 없이 기복이 없는 성능을 보여주는 것 같습니다..
신승훈이나 이승환처럼, 실력있으면서도 꾸준한 느낌을 주는 가수에 비유할까요..^^;

* 노턴 at 2007/06/06 18:11 ::: Reply ::: Delete ::: ↑
노턴 2006 쓰는 이용자입니다.

개인적으로 여름하늘님이 올리는 글 중에서 노턴이 순위에 없어서 매번

써야 하나 말아야 하나 갈등(?)했는데 저번 글이랑 이번 글 보고 확신히 스네요..

ps. 노턴 2006 안티바이러스를 LG컴퓨터 측에서
깔아 놓은 거 같은데 실시간 보호 기능 중에
궁금한 것이 있어서 이렇게 질문드립니다.
<노턴의 경우 '노턴인터넷시큐리티'>>>'노턴안티바이러스' ...>

1.
[기본보안설정(꼭 필요한 필수 보안 항목)]
--->인터넷 윔 차단
이라고 적혀있는데 이건 무슨 기능을 하는지요??
(무슨 기능인지 안적혀있어서 초보자한테는 난감ㅠ)

2.
[웹브라우징(음악,영화,인터넷 게임 등의 다운로드 및 스트리밍에 대한 보호)]
일부 기능 적용 : 아래의 기능 중 일부만 설치되어 있습니다.(노턴 시큐리티가 아니라 안티바이러스 라서
그런듯 ㅠㅠ)

여기서 자동보호,스파이웨어 차단,개인 방화벽 차단,침입 탐지,유해 컨텐츠차단,광고차단,팝업 차단 이렇게 있는데

이 중에서 자동보호,스파이웨어 차단 기능만 쓸 수 있고 나머지 기능은 돈 주고 사라 이런식인데 나머지 기능이(개인 방화벽 차단,침입 탐지,유해 컨텐츠차단,광고차단,팝업 차단)꼭 필요한건지 궁금합니다.

여름하늘 at 2007/06/08 11:05 ::: Delete
1. 인터넷 윔 차단은 꼭 필요한 기능입니다.. 웜은 바이러스, 트로얀, 스파이웨어, 애드웨어 등과 같은 멀웨 중 하나입니다..
하지만 이들 중 가장 악질이죠.. 따라서 일부 백신에서는 웜만을 따로 불러다가 때려주는 경우도 있습니다.. 이런 이유로 노턴에서는 웜 차단이라는 항목을 별도로 구분한 것이라 여겨집니다..
초보자분들의 경우 멀웨어에 대한 다음 글을 꼭 읽어보세요..
http://skysummer.com/309

2. 개인 방화벽 차단, 침입 탐지, 유해 컨텐츠차단, 광고차단, 팝업 차단 등은 방화벽과 "일부" 안티-스파이웨어 기능을 의미합니다..
있으면 좋습니다만, 노턴이 이 부분에서 그리 우수한 평가를 받고 있지는 않습니다..
방화벽을 쓰고 싶다면 차라리 무료로 제공되는 코모도를 쓰시고, 광고/팝업 차단은 오페라, 파이어폭스, 웹마나 맥쓴과 같은 브라우저를 쓰면 브라우저 자체적으로 훌륭하게 지원해 줍니다..
단, 노턴의 개인 방화벽 차단을 쓰건, 코모도 방화벽을 쓰건, 어느 경우에서나 시스템 리소스 점유가 증가하여 설치하지 않았을 때보다 다소 버벅일 수 있습니다..

* 철새도래지 at 2007/06/07 18:54 ::: Reply ::: Delete ::: ↑
사전탐지 테스트에 카스퍼스키 사전방역은 테스트에 포함되었을까요?

제 자신의 생각에는 eScan이 카스퍼스키 엔진이고 잡아낸 것도 같고 예전 AV-Comparatives 사전방역 테스트 결과를 뒤지다 보니 카스퍼스키 5.0 버전은 사전방역이 없었을때인데도 40%를 넘었을 때도 있었고 말이죠. 그래서 카스퍼스키의 사전방역은 테스트에 반영되지 않은 것이라고 봐야 될것 같은데요.

또 다른 카브엔진 사용 제품이 결과가 좋게 나온 것에는 다중엔진 덕분이 아닌가 생각됩니다. AntiVirusKit은 카브 사전방역에 해당하는 OutbreakShield라는 것이있고 AVAST 엔진을 동시에 사용합니다. F-Secure은 자사엔진과 동시에 사용하는 다중엔진입니다.

이런한 것 때문인지 크게 차이나는 것은 아니였지만 같은 카브엔진 일지라도 각종 테스트에서 다른 결과가 나오는 것을 많이 봐왔습니다.

그동안 카스퍼스키가 많이 섭섭했었는지 7.0 버전에 막강한 휴리스틱을 달고야 말았네요. 별도의 7.0 사전탐지 테스트에 35%의 성적이 나오긴 했어도 최고가 되려면 더욱 분발해야 할 것입니다. 첫 술에 배부를 수 없으니까요.

여름하늘 at 2007/06/08 11:13 ::: Delete
님이 언급하신 카스퍼스키의 사전방역 기능은 Proactive Defence를 의미하는 것 같습니다..
카스퍼스키 메인 화면의 "보호(Protection)" 아래에 있는 "사전방역(Proactive Defence)"은 레지스트리와 각종 응용프로그램을 모니터링하는 것입니다..
단어가 유사하여 착각하시는 것 같은데, 그것은 여기서 말하는 휴리스틱 진단/사전진단과는 다소 거리가 있습니다..
카스퍼스키의 Proactive Defence는 레지스트리와 프로그램을 모니터링하면서 시스템 변경이나, 스파이웨어, 또는 애드웨어를 "사전"에 차단하겠다는 의미가 강한 것이고,
일반적인 휴리스틱 진단은 DB에 없는 바이러스를 사전에 예방한다는 의미입니다..

용어의 혼란으로 많은분들이 착각하는 경우가 많습니다..
AntiVirusKit의 OutbreakShield, 비트디펜더의 레지스트리 모니터링 등도 모두 이와 같은 개념으로, 여기서 말하는 휴리스틱 진단과는 거리가 있습니다..

* 구글웜 at 2007/06/08 04:12 ::: Reply ::: Delete ::: ↑
게시물 성격과 어긋나는 것 뻔히 알면서도 여름하늘님의 조언을 구하게 됐습니다. 먼저 양해를 구합니다. 저는 시작 페이지를 늘 구글로 해 놓습니다. 여러모로 편하고 성가신 것도 없어서요. 그런데 며칠 전부터 구글 접속이 안 될 뿐만 아니라 특정 사이트들 접속도 안 됩니다. 예를 들어 주소창에 www.google.com을 입력하면 www.www.google.com.com이라는 결과가 나오면서 접속이 아예 안 되거나 dns오류라고 나옵니다. 그 밖에 사이트엔 접속이 잘 되구요. 인터넷 뒤져보니 구글을 통해 웜이 전파됐다고 하는데 딱히 치료책을 설명한 페이지도 없구요.. 정말 속이 탑니다. 저 보안 프로그램은 kaspersky 6.0.2.621 + zonealarm pro + 몇 개의 안티 애드웨어/스파이웨어 툴입니다. 어떻게 해결방법이 없겠는지요? 부탁 드립니다. 꾸벅..

여름하늘 at 2007/06/08 11:20 ::: Delete
자세히는 모르겠으나, 웜이나 바이러스에 의하여 URL Prefix 설정이 오염된 것 같습니다..
이 블로그에서 리뷰한 HijackThis로 치료가 가능합니다..
아래를 클릭하여 한 번 확인해 보시고, 다른 항목들도 찬찬히 읽어보시면 도움이 될 것입니다..
http://skysummer.com/133#13

덧) 말씀하신대로 딱히 치료방법이 없을 경우 HijackThis가 가장 유용한 프로그램이 되는 경우가 많습니다.. 이번기회에 사용법을 잘 숙지해 두시면 좋습니다..

* tt at 2007/06/08 11:41 ::: Reply ::: Delete ::: ↑
테스트가 오진의 비중을 높게 친거 같네요.
다르게 생각하면 오진이 몇개 더 나오더라도 비교적 검출률이 높은 것도 좋을 거 같은데요. AntiVir이라는 백신 별로 못들어본 거 같은데 위 결과를 보니 가장 눈이 갑니다.

여름하늘 at 2007/06/10 10:43 ::: Delete
실례지만, 님 역시 제목만 보고 댓글을 다신 것은 아닌지요?
본문과 제가 쓴 댓글을 정독해 보시지 않았다는 확신이 드네요..

* 구글웜 at 2007/06/09 05:22 ::: Reply ::: Delete ::: ↑
여름하늘님, 정말 감사합니다. 늘 도움만 받네요. 건강하세요~

여름하늘 at 2007/06/10 10:43 ::: Delete
잘 해결되신 같으니 다행입니다..

* newvirus at 2007/07/03 11:04 ::: Reply ::: Delete ::: ↑
좋은 글과 정보 많이 보고 갑니다.
고맙습니다.

* 항해시대 at 2007/07/29 21:29 ::: Reply ::: Delete ::: ↑
여름하늘님께 항상 좋은 정보만을 얻어가는군요^^
avast! 유저로써 괜찮은 순위 만족감이 느껴집니다.
2가지 질문이 있는데요...
컴터 키자마자 윈도우작업관리자를 켜보면 프로세스가 40개 정도 됩니다.
avast!가 스파이웨어까지는 잡아주지 못 하죠?
그래서 스파이 웨어 프로그램 하나 설치 하려는데...무료로 하나만 추천해 주세요.
그리고 넷마블이나 주식같은거 할 때 키보드 암호화인가요? 그거 뜨잔아요?
이것만 떳다하면 소위말하는 렉이라고 해야하나요? ㄱ를 한번 누르면 인식을 못할때도 있고 한번에 ㄱㄱㄱ 3번 눌려지기도 합니다. 한번눌럿을 뿐인데..ㅡㅡ;
이것도 스파이웨어 때문에 일어나는 현상인가요? 알고 계시다면 답변 좀 ㅜ;

* 백신 at 2007/09/08 02:27 ::: Reply ::: Delete ::: ↑
Active Virus Shield by AOL version 6.0.0.299 : 카스퍼스키 엔진을 사용한다고 하는데, 수록되어 있는 파일을 스캔하는 것은 되는지 모르나 인터넷 사용하면서 오고가는 데이타를 스캔하는 실시간 탐색이 안되는 것 같습니다. 그런데, 치료는 되는가요?

전에 존알람 인터넷 서큐리티 사용(V7.0.362.000 이하의 버전)해보았는데 시스템이 감염된 적이 있었습니다. 요즈음의 V7.0.362.000는 써보면 브라우저 부팅이 느리고, 어떤 때에 네로 V7.0.8.2와 궁합이 안맞는지 시스템 재부팅 현상을 일으킵니다. 아마도 네로 설치가 제대로 안되었을 때 일어나는 현상으로 추측되나 네로와는 조금 안맞는 듯 합니다. 네로 v7.10.1.0에서는 아직까지 이상현상이 없습니다.

F-Secure (안티바이러스, 안티스파이웨어 필터겸용) 괜찮고요 코모도 방화벽과도 잘 맞습니다. 카스퍼스키도 괜찮은데 코모도에 에러가 나며, AOL과는 괜찮은 것 같습니다.

노턴 안티바이러스는 전에 꽤나 느렸는데 요즈음에는 제법 빨라진 듯 합니다. 노턴에 트랙웨어를 잡아내는 기능이 있는지는 모르나 사용하려면 별도의 안티트랙웨어(안티멀웨어, 안티스파이웨어 등의 종류, 필터 : Spybot. Ad-aware 등)를 같이 사용하는 것이 좋을 듯 합니다. 메이커에 따라서 겸용 제품도 있지만 분리되어 있는 것이 필요에 따라서 좋은 것을 선택해서 사용할 수 있으므로 유연성, 속도 등에서 유리한 부분도 있는 것 같더군요.

* 물레방아 at 2008/01/20 11:33 ::: Reply ::: Delete ::: ↑
V3 사용하다가 NOD32로 갈아탄지 1년 첨에는 단지 가볍다는데 끌려서 사용햇는데..
1년동안 아무탈없이 조용히 지낸것이 NOD32의 힘이랄까 ? 제 컴에서 1등공신노릇을 톡톡히 하고 있습니다. 위의 테스트결과를보고 선택 잘햇다는 생각이 듭니다.
여름하늘님 브러그를 접한지 6개월정도 됏는데 이제사 인사드립니다.
항상건강하시고 늦었지만 무자년 새해 복많이 받으시길 바랍니다.

이름
비밀번호
홈페이지
	비밀글로 등록 댓글, 트랙백 관련 공지 이메일 연락처
내용