백신인증 평가제도와선택시고려사항 NCSC-TR05001
MCS 특집 I 백신인증 평가제도와선택시고려사항 Ⅰ. 서론 2004년은마이둠, 베이글, 넷스카이, 새써등웜ㆍ바이러스와 Peep변종해킹사고등신변종악성프로그램에의한사이버위협이어느때보다증대한해였다. 또한 2003년말이후급격히증가하고있는악성봇은다양한변종으로진화하여그정확한변종수조차도파악하기힘든실정이다. 신종악성프로그램에의한사이버위협에대응하는방법으로여러가지가있을수있지만가장중요한것은각개인컴퓨터내악성프로그램의침입과존재여부를탐지하고제거하는것이며, 여기에활용되는것이바로컴퓨터바이러스백신 ( 이하 백신 ) 프로그램이다. 본글에서는각종백신제품에대한대표적인 인증 평가제도 를알아보고, 개인은물론국가ㆍ공공기관등에서백신선택시고려해야할사항을살펴보고자한다. Ⅱ. 백신성능인증 평가제도 백신제품에대한세계 3대인증 평가제도에는 VB100, Checkmark, ICSA가있다. 이중 VB100은백신에대한전문인증으로는가장많은백신업체가참여하고있다. Checkmark 인증은정보보호제품에적용되는인증으로백신의경우악성코드분야의 4개영역에대해인증이가능하다. ICSA는미국보안제품성능평가인증기관에서실시하고있는것으로다양한정보보안제품에대해실시하고있으며, 백신은그중 Anti-Virus Software분야에서인증이가능하다. 위세계 3대인증제도는모두민간차원에서이루어지는것으로, 국가차원에서백신제품에대해인증을부여하는것은중국 ( 공안부 ) 이유일하다. 우리나라를포함한그외국가기관의백신제품에대한웜ㆍ바이러스탐지율및성능등에대한인증 평가제도는존재하지않는다. www.ncsc.go.kr 2
백신인증 평가제도와선택시고려사항 백신의경우샘플보유수와위협탐지기술이백신능력의기준으로작용을하며샘플수집관련네트워크망이모뎀수준에서머물던 90년대초ㆍ중반의경우에는바이러스의피해에지역적인제한이있었던반면초고속통신망이발전한지금은지역, 국가간의경계가사라지고있는추세이며, 이메일을통한전파의경우언어사용권역에따라피해정도가구분되기도한다. 신생ㆍ소규모백신업체의경우인증을획득, 사용하는데상당한예산이소요됨에따라적극적인참여저조 1. VB100 VB100% 인증 (http://www.virusbtn.com) 은영국의바이러스기술연구기관인 Virus Bulletin 에서시행하는 VB100% Test 를통과한제품에주어지는백신전문인증이다. VB100% TEST는 WildList ( 뒤에상세설명 ) 에등록된바이러스샘플을단 1개도놓치지않고 100% 검색하여진단하고동시에오진율이 0% 인지를확인하는절차로진행되며, 이모든검사과정을통과한백신에게만인증을부여한다. 또한, 감염파일진단기능과함께실시간바이러스감시여부까지일일이확인하므로가장정확하고공신력있는바이러스인증으로평가되어백신제품선택의기준으로자리잡고있다. 테스트는실제리포터에의해피해사례가보고된 In the Wild (ItW) 와개념증명을포함한 Zoo Collection 을비롯다양한특성의바이러스샘플을대상으로실시한다. 세부테스트항목은 [ 표 12] 와같다. [ 표 12] VB100% TEST 항목 구분항목명설명 ItW Overall ItW Overall(O/A) 과 ItW File의평균값 In the Wild ItW Overall (o/a) 실시간감시모드테스트 (On Access Test) ItW File 실행파일을감염시키는바이러스 Macro 매크로바이러스 Zoo Collection Polymorphic 다형성바이러스 및다양한바이러스샘플웜, 트로이목마, Backdoor를포함한악성파일 Standard 바이러스등 즉, 위의세개항목은 In the Wild를대상으로 100% 탐지할때 VB100% 인증마크를부여하고, 아래의세가지항목은참고사항으로보면된다. 3 Monthly 사이버시큐리티
MCS 특집 Ⅰ 실제로 Polymorphic 항목의경우, 한개의바이러스가감염이일어날때마다전혀다른형태로나타나는특성에의해 500개의감염샘플파일을대상으로탐지토록하고있다. 그래서한개의 Polymorphic형샘플에대해탐지패턴이존재하지않는다면최대 500개의감염파일을 Loss하게되는결과를가져온다. VB100% TEST는 Windows 각버전별 (9x, 2000, XP, 2003) 과 Linux를대상으로이루어진다. 인증마크는 Windows 중 1개이상인증을획득한경우, 차년도까지사용할수있고사용비용을지불해야한다. VB100% TEST는검사를수행하는해당월의 WildList가기준이된다. 개인용백신및서버, 네트워크용백신에대한테스트도수행되고, OS 종류에따라서구분되어수행된다. 일반사용자가많이이용하는 Windows 버전에대해서는 2월, 6월, 11월에실시되고, WildList는지속적으로변경되는것이기때문에한두번의인증이아닌, 연속적으로인증을획득해야좋은백신이라고할수있다. 가. WildList 란? The WildList Organization International 은여러국가의백신업체들이테스트대상바이러스샘플을제공해주는리포터로참여하고있으며, 특정국가 지역에치중하지않고여러국적별리포터가참여하고있다. The WildList Organization International 에서는 PC Viruses In-the-Wild- Real-Time (www.wildlist.org/wildlist/rtwl.htm) 을통하여두개의바이러스리스트를유지하고있다. 첫번째메인리스트가 The WildList 로최소한두개국가이상의리포터에의해 In-the-Wild로입증된바이러스들의목록인 Main List ( 또는 WildList) 로신고리포터의약자와함께기록되어있다. 또다른바이러스리스트는 Supplemental List 로하나이상의리포터에의해보고된바이러스목록이다. 이리스트의바이러스는때때로 WildList에재등장한다. 그러한바이러스는 * 로표기한다. 국내백신업체는안철수연구소와하우리가참여하고있으며, WildList에대한참여도등을참고해보면백신업체의활동역량을가늠해볼수있다. WildList 참여국내업체목록 Sk Seok-Chul Kwon Korea HAURI ViRobot So SiHaeng Cho South Korea Ahnlab, Inc. V3. 2004년 10월현재 WildList를확인한결과리스트제공건수가안철수연구소 185건, 하우리 131건, 시만텍 345 건등으로나타났다. www.ncsc.go.kr 4
백신인증 평가제도와선택시고려사항 나. VB100% TEST 의주요백신합격률 VB100% TEST에시만텍, 맥아피, 트랜드등해외주요백신업체는 1998년부터참여하였으며, 국내백신업체는 2001년하우리를시작으로 2003년부터본격적으로참여하였는데합격인증현황은 [ 표 13] 과같다. Pass/Fail 최초참가연도 안철수연구소 2/3 2003년 하우리 1/6 2001 년 [ 표 13] 해외주요백신업체의 VB100% 인증현황 바이러스체이서 1/3 2003년 시만텍맥아피트랜드 26/6 1998 년 18/17 1998 년 마이크로 11/7 1998년 Dr. Web BitDefe 16/17 1998 년 nder 5/6 2000년 Kaspers kylab 24/13 1998년 2001년 2월 - X - O X - O - X 2001년 11월 - X - O X O O - O 2002년 2월 - - - O - O O - X 2002년 6월 - X - O O X O X X 2002년 11월 - X - O O O O X O 2003년 2월 X X O O O O O X O 2003년 6월 X O X O O O X O X 2003년 11월 O - X O O O O O O 2004년 2월 O - - O O O X O O 2004년 6월 X - X O O O O O O 2004년 11월 - X - O O O X O O 2. Checkmark Checkmark는컴퓨터보안제품에대한인증마크로, Anti-Virus 업계에존재하는주요인증및비교테스트기관중하나인영국의웨스트코스트랩 (West Coast Labs) 에서수여하는인증마크이다. Technology Groups은 Content Security와 Perimeter Security으로구분된다. Content Security에는 Anti-Virus Level 1ㆍ2, Trojan, Spyware 네개의영역으로되어구성되어있다. Perimeter Security에는 Firewall, PC Firewall, Intrusion Detection, VPN 네개의영역으로구성되어있다. 이중백신이획득할수있는분야는 Content Security분야의 Anti-Virus Level 1, Anti-Virus Level 2, Trojan의 3개항목및최근추가된 Spyware 항목등총 4개항목이며, 각백신제품에따라다르게적용된다. 5 Monthly 사이버시큐리티
MCS 특집 Ⅰ Technology Groups 항목이름설명 악성코드분야 (Content Security) [ 표 14] Checkmark 의인증마크구분 Anti-Virus Level 1 Anti-Virus Level 2 Trojan Spyware WildList에등록된바이러스샘플진단테스트통과 WildList에등록된바이러스샘플진단및치료테스트통과트로이목마프로그램의진단및치료테스트통과 Trojan, Cookies, KeyLogger프로그램의진단및치료테스트통과 Checkmark 인증을획득한제품목록은 Checkmark 홈페이지 (www.check-mark.com) 에공개하고있으며, 백신제품의 Checkmark 인증획득현황은 [ 표 15] 와같다. [ 표 15] 국내외주요백신의 CheckMark 인증현황 업체명 Anti-Virus Level 1 Anti-Virus Level 2 Trojan Spyware 안철수연구소 O O O - 하우리 O O O - 시만텍 O O O - 맥아피 O O O - 트랜드마이크로 O O O - 소프트윈 (BitDefender) - - - - 다이얼로그사이언스 (Dr.Web) O O O - Kaspersky Lab O O O - Spyware 분야는항목은신설되었으나평가결과는미공개 3. ICSA ICSA인증은미국보안제품성능평가인증기관인트루시큐어 (http://www. trusecure.com) 가 ICSA(Inter-national Computer Security Association, http://www.icsalabs.com) 랩의제품평가테스트를거쳐부여하는국제보안제품성능평가인증이다. 이인증은 ICSA랩의관리자및호스트인증의신뢰성, 원격관리의안정성, 운용체계와방화벽모듈의상호연동, 모든서비스에대한감사기록저장및분석, 개발업체의기술지원등다양한테스트를통과해야받을수있다. 평가분야에는 Anti- Virus Software, Network Firewalls, IPSec Products, Cryptography Products 분야등이있다. www.ncsc.go.kr 6
백신인증 평가제도와선택시고려사항 Anti-Virus Software분야는 1992년이후성능테스트를시작했으며다음과같이세부구분하여인증을부여하고있다. Anti-Virus Detection Certification Anti-Virus Cleaning Certification Anti-Virus Products for Internet Gateway Certification Anti-Virus Products for Microsoft Exchange Server Certification Anti-Virus Product for Lotus Notes Certification Anti-Virus Product for Security Service Providers On-Line Anti-Virus Certification 개인사용자가이용하는백신의경우 Detection, Cleaning 인증두분야가해당되며, 다음두가지 Module 의테스트를거친다. 1. ON DEMAND Module( 수동검사모듈 ): WildList와 ICSA Labs의일반감염, 다형성 Test Suite을 100% 탐지해내야하고, ICSA의수집바이러스의 90% 이상을탐지해야한다. 2. ON-ACCESS Module( 실시간검사모듈 ): WildList와 ICSA Labs의일반감염, 다형성 Test Suite을 100% 탐지해내야하고, ICSA의수집바이러스중 macro 바이러스의 90% 이상을탐지해야한다. [ 표 16] 국내외주요백신의 ICSA 인증현황 Anti-Virus Detection Certification Anti-Virus Cleaning Certification 안철수연구소 - - 하우리 - - 시만텍 O O 맥아피 O - 트랜드마이크로 O O 비트디펜더 - - Dr.Web O - Kaspersky Lab O - ICSA 인증테스트는유료로진행되며 VB100%, Checkmark보다는일부글로벌백신업체의제품만이인증에노력하고있다. 7 Monthly 사이버시큐리티
MCS 특집 Ⅰ 4. 중국공안부 국가기관차원의백신제품인증은중국공안부인증이유일하다. 정보보안제품에적용되는기본보안인증뿐만아니라바이러스샘플에대한탐지율까지평가하여등급을부여한다. [ 표 17] 국내외주요백신의중국공안부인증현황 회사이름 인증제품이름 분야 V3Pro 2002 Deluxe(2003/01) 안철수연구소 V3 VirusBlock(2003/05) 백신 V3 VirusBlock 2005 IS(2004/04) 하우리 바이로봇매니지먼트서버 VMS(2003/10) 백신 잉카인터넷 nprotect Desktop PC Firewall 뉴테크웨이브 바이러스체이서 5.0 백신 Symantec AntiVirus Corporate Edition 8.0 Norton AntiVirus 2002 시만텍 Norton AntiVirus 2003 백신 Norton Antivirus Enterprise Edition 8.0 Norton AntiVirus Corp Ed 7.0 for Windows NT 4.0/2000 Kaspersky Lab Kaspersky antivirus 백신 트랜드마이크로 PC-cillin007(2000) 백신 맥아피 VirusScan 9x/NT/2000 4.5 백신 5. 우리나라의현황 가. 정보보호시스템평가인증제도국내정보보안제품에대한평가는정보화촉진기본법제15조 ( 정보보호시스템에관한기준고시등 ) 에근거하여현재개정된정보보호시스템공통평가기준 ( 정통부고시 2003-52호 ) 에의거한국정보보호진흥원의평가를거쳐국가정보원의인증을받도록되어있다. 이러한정보보안제품에는침입탐지시스템, 침입차단시스템그리고공통평가기준이적용된가상사설망등네트워크정보보호제품군이있다. 나. 국가공공기관정보통신보안성검토제도 한편평가인증제도와는별도로, 전자정부구현을위한행정업무등의전자화촉진에관한법률시행령제34조 ( 행정정보등의보호조치 ) 및국가정보통신보안기본지침제11조 ( 정보통신보안성검토 ) 국가 공공기관 www.ncsc.go.kr 8
백신인증 평가제도와선택시고려사항 이정보통신망을신 증설하거나정보보안시스템을사용하고자하는사업을추진할경우국가정보원의보안성검토를거쳐안정성을확인하도록되어있다. 보안성검토대상정보보호시스템은취약점분석도구, 망전환장치, 보안OS, 생체인식, PC 침입차단 / 탐지시스템, 가상사설망, PKI, 로그관리, PC접근통제장치, PC보안관리S/W, 문서보안프로그램이다. 즉, 현재로선백신프로그램은국내평가인증체계및보안성검토대상정보보호시스템에포함되지않았고, 성능평가제도또한존재하지않는다. 그러나백신기능과 PC Firewall 기능을동시에갖고있는일부제품의경우국가정보원의보안성검토를거친제품이존재한다. 이러한제품은바이러스및악성프로그램에대한탐지율에대한인증을의미하지않으며, 일반적인정보보호제품으로갖추어야할기준을만족했다는의미이다. [ 표 18] 보안성검토필제품목록 (2004 년 9 월현재 ) 분야제품명업체명 PC침입차단 / 탐지시스템 nprotect Desktop v1.0 ㄜ잉카인터넷 PC보안관리S/W PC지기 (PC-ZIGGY) V3.1 ㄜ비전파워 다. 행정정보체계표준제도에의한행정업무용 S/W 선정제도 행정자치부에서는전자정부구현을위한행정업무등의전자화촉진에관한법률제25조 ( 표준화 ) 에의거성능과관계없이행정기관용으로적합하다고인정된 S/W에대해행정업무용 S/W로선정하여사용하도록장려하고있는데, 이중권장S/W 항목에 바이러스백신 S/W 가있고주요백신들이선정되어있다. [ 표 19] 행정업무용 S/W 선정현황 (2004 년 6 월현재 ) 분야제품명업체명 바이러스백신 S/W (14 종 ) V3Pro98 V3Pro 2002 Deluxe V SP 1 V3Web PC-실린98 노턴안티바이러스5.0 바이로봇 2.0 바이로봇 2000 PC-cillin 데이터메딕 CyberWALL2000 V 2.16 Virus Chaser V 5.0 터보백신 AI V 1.0 애니백신프로 안철수연구소 트랜드코리아시만텍코리아하우리 ( 주 ) 트렌드코리아삼원미디어 ( 주 ) 싸이웍스ㄜ뉴테크웨이브ㄜ에브리존ㄜ지오트 9 Monthly 사이버시큐리티
MCS 특집 Ⅰ Ⅲ. 국내웜ㆍ바이러스대응능력향상을위한개선방향 1. 샘플수집체계구축 국내민관군의주요전산망에서발견되는웜ㆍ바이러스샘플이지속적으로국내백신업체에제공될수있는국가차원의체계가필요하다. 일본정보처리추진기구 (IPA) 는지난해자료에서바이러스에감염된컴퓨터가한국이 63.3% 로독일 (12.8%), 미국 (26.7%), 대만 (41.1%) 등에비해감염율이월등히높은것으로발표하였다. 백신업체의바이러스샘플수집은해외에서발견된샘플이주를이루고있어, 국내백신업체의경우샘플수집역량강화를위해해외샘플획득과함께국내에실제출현한샘플수집에도주력할필요가있다. 수집방식으로는기존수동적인신고방식의수집에서한걸음나아가자동또는반자동으로수집할수있는체계가필요하다. 실제웜또는바이러스에감염되어있어도일반사용자는인식하지도못할뿐더러감염PC로부터해당샘플파일을찾아내기는더더욱어렵다. 그러므로, 이러한의심파일을자동또는반자동으로수집하여백신업체가지속공급받을수있다면탐지율을향상시킬수있을것이다. 해외백신의경우전세계에서샘플이수집되고있으므로순수국산백신에비하여탐지패턴이절대적으로많다. 반면, 국내일반사용자의경우샘플을인식해낼수있는능력이부족할뿐만아니라감염사례가발생하여도실제로샘플파일을신고하는적극적인사례는극히드물다. 2. 국가컴퓨터바이러스 DB 구축수집과더불어샘플을체계적으로분류 보유한국가차원의바이러스 DB 구축이필요하다. 다만이미바이러스 DB를보유하고있는백신업체와의정보공유문제, 바이러스샘플수집역량을수단으로한백신업체간의시장경쟁에저촉되는문제, 바이러스DB의기업자산인식문제등에대한산업정책적인합의가선행되어야할것이다. 3. 인증및활용정책 전세계적으로국가기관에서백신제품에인증을부여하는경우는중국이유일하며, 우리나라를비롯한대다수국가가국가차원의인증을제공하고있지않다. 그러나 CC인증의 PP(Protect Profile) 가만들어져있지는않으나최근일부업체에서인증제도도입을건의하여, PP작업이이루어지고있다. www.ncsc.go.kr 10
백신인증 평가제도와선택시고려사항 해외인증기관에서백신제품에대한 PP가확정되고, CC인증이추가되고있으며, 우리나라도 CCRA 가입을추진하고있어 CCRA 가입이확정되는내년에는해외에서인증을받은백신제품들이국내에서경쟁력을가질것으로예상된다. 이러한추세를반영하여국내에서도백신제품에대한인증평가프로파일작성작업등을점진적으로추진해나가야할것으로보인다. 정보보호프로그램중백신제품에대해서평가인증체계가마련되지않은이유는평가기준을제정하기어렵기때문이다. 백신의주요기능은최신출현하는웜ㆍ바이러스에대한신속한탐지가중요한데, 이러한탐지율을평가하기위한공정한기준을마련하는것이어렵기때문이다. 공정한기준이란현실세계와가장근접하는평가항목과테스트환경, 그리고테스트바이러스샘플목록선정을의미하는것으로, 국가차원의샘플수집체계, 국가바이러스DB 구축과결부되어국가차원의테스트환경구축체계가유기적으로이루어져야만될것으로보인다. 4. 공공기관 ( 개인포함 ) 의백신구매가이드 탐지율이높은해외백신을그냥그대로사용하기어려운이유는바로언어와사후서비스이다. 또한국내기관및기업체에서의서비스요구사항을신속히반영할수있어야한다. 원격으로점검하는것은한계성이존재하므로사고발생시신속한대응을통해서원인을분석하고해결해야한다. 백신자체의탐지율이외에도백신구매시에고려해야할사항은다음과같다. 특정사안별전용백신제공여부 국내연구인력비율 (Communication 가능한개발인력보유현황 ) Call 센터및기술지원인력보유현황 감염신고시탐지패턴업데이트의신속성 바이러스제품에대한해외주요인증연속획득여부 기업및공공기관의경우공정한 BMT 실시 5. 백신제품시장공정경쟁을통한기술개발재투자유도 우수한백신제품이란결국기술개발투자를통해발전된신기술습득에의해서가능하다. 그러나국내백신업체들의경우수익모델을찾아 SI사업에투자한다거나자체기술개발을보류하고해외기술도입으로 11 Monthly 사이버시큐리티
MCS 특집 Ⅰ 전환하는등기술개발에집중하기가쉽지않은것이냉엄한현실이다. 이는백신제품시장의과당경쟁으로인한저가입찰등으로기업인건비지급마저도빠듯한상태로기술개발에재투자하기힘든것에기인하며, 이에따라백신업체의핵심기술인력이잇달아퇴사하는등기술력저하의악순환으로이어질위험이있다. 따라서공정한기준에의해평가받는기술력있는제품이적정한가격으로판매될수있는합리적인백신제품시장을형성하는것이무엇보다도중요한근본과제이며이를위한정책수립과기업들의적극적인개선노력이필요하다. 참고문서 1. IDC에서발표한백신의세계시장점유률발표 1. http://news.naver.com/news/read.php?mode=lsd&office_id=031&article_id=0000047086& 1. section_id=105&menu_id=105 2. Virus Bullentin 1. http://www.virusbtn.com 3. VB100 인증현황 1. http://www.virusbtn.com/vb100/archives/products.xml 4. Checkmark 홈페이지 1. http://www.check-mark.com 5. 트루시큐어홈페이지 1. http://www.trusecure.com 6. ICSA Cetification 1. http://www.icsalabs.com/html/certification/index.shtml 7. ICSA Anti-Virus Software 1. http://www.icsalabs.com/html/communities/antivirus/certifiedproducts.shtml 8. 중국안티바이러스응급대응센터홈페이지 1. http://www.antivirus-china.org.cn 9. 행정자치부전자정부구현행정정보체계표준 1. http://www.mogaha.go.kr 10. 국가사이버안전센터보안정보평가인증 1. http://ncsc.go.kr www.ncsc.go.kr 12