| V3 오진으로 270건 장애신고 접수...반복되는 오진의 원인은? | 2011.03.11 | |
백신업체의 딜레마 ‘오진’...기술적 노력에도 여전히 발생
안철수연구소는 지난해 1월 12일, 전국 시군구 민원 전산망 상 필요한 프로그램을 업데이트할 때 V3 백신이 악성코드로 진단하는 오진사고를 일으킨 바 있다. 당시 안철수연구소는 사고 다음날인 1월 13일, 오진 사고에 대해 사과하고 오진 재발 방지 대책을 발표했다.
또한 지난 2008년 7월 10일에는 윈도우 XP 서비스팩3에 존재하는 Lsass.exe 파일을 악성코드로 오진해 삭제로 인한 시스템 부팅을 불가하게 하는 사고를 내기도 했다. ‘오진(False Positive)’이란 거짓 양성이란 말로, 정상파일을 거짓 악성으로 진단하는 것을 말한다. 또한 이에 반대되는 개념으로 거짓 음성이라는 뜻의 ‘미진(False Negative)’이 있는데, 이는 악성파일을 거짓으로 정상으로 판단해 진단을 하지 않는 것을 말한다. 그렇다면 왜 이런 오진 사고가 발생하는 것일까? 가장 큰 원인은 간단하게 말해 기하급수적으로 늘어난 파일의 수량 때문이다. 정상 프로그램과 악성코드의 수량 자체가 많지 않았던 과거 도스 시절에는 거의 모든 파일에 대해 일일이 분석가가 직접 분석해 처리할 수 있었다. 하지만 정상파일과 악성코드들의 수량이 매년마다 폭발적으로 늘어나면서 분석가가 처리할 수 있는 한계를 초과하기 시작한 것. 그에 따라 안철수연구소는 지난해 11월 이를 해결할 수 있는 신기술 ‘정상 파일 데이터베이스 제공 시스템 및 방법’에 대해 특허를 냈다. 이 기술은 V3 제품군에 탑재된 클라우드 컴퓨팅 개념의 기술로, 이번 3.4DDoS공격에서도 빛을 발한 ‘스마트 디펜스(AhnLab Smart Defense)에 적용돼 있다. 어떤 파일이 악성코드에 감염됐는지 여부를 진단하는 기술에는 크게 블랙리스트 방식과 화이트리스트 방식이 있다. 블랙리스트 방식은 악성코드에 감염된 파일 DB를 근거로 하는데 반해 화이트리스트 방식은 정상파일 DB를 근거로 검사 대상 파일의 감염 여부를 진단한다. V3 제품군은 블랙리스트 방식을 기반으로 악성코드를 진단했지만 ASD에 화이트리스트 방식을 추가함으로써 진단의 정확성을 높였다. 하지만 그러한 기술적 노력에도 불구하고 또다시 오진 사고가 발생했다. 이번 오진과 관련 안철수연구소 측은 “개인용 백신에만 적용한 DNS 스캔 기능에서 문제가 발생해 오진을 하게 됐다”며 “11일 11시 현재 약 270건의 장애신고가 접수됐다”고 밝혔다. 그런 만큼 이번 사고가 발생한 고객층은 기업이나 기관은 해당되지 않으며 개인 사용자들이다. 이와 관련 개인 사용자들은 “V3 제품에 대한 신뢰성을 잃었다”고 말하고 있는 만큼 향후 사후처리에 대해서도 관심이 집중된다. 이와 관련 안철수연구소 측은 “피해 보상은 아직 언급할 단계는 아닌 것 같다”며 “추이를 보고 판단할 것”이라고 밝혔다. 오진에 대한 사후처리란 말 그대로 오진이 발생한 후 처리를 말하는 것인데 이러한 오진사고가 발생하면 백신업체는 최대한 빠르게 업데이트 서버에 올라간 문제 있는 엔진을 안정화된 엔진으로 교체해 피해 확산을 방지한다. 안철수연구소는 10일, 오후 11시경 발생한 V3 엔진 업데이트 장애 문제에 대해 즉각 대응해 12시경 긴급 수정 엔진을 배포했다. 백신업체들은 매년 오진 방지를 위해서 많은 노력을 기울이고 있다. 그럼에도 끊이지 않고 이러한 오진 사고가 발생하고 있음에 따라 최근 백신업체들은 이러한 오진을 방지하기 위해서 가장 많은 노력을 쏟는 것이 정상파일 판단이다. 한편 이와 관련 업계 한 관계자는 “백신 분야에서 악성코드가 퍼지는 것을 미진단하는 것도 치명적이지만 대개는 오진이 훨씬 심각한 상황을 초래하는 것 같다”고 말하고 “보안업체는 100번을 잘 해도 한번 실수로 큰 타격을 입을 수 있다는 것을 잊지 말고 오진사고가 발생하지 않도록 백신업체는 최선의 노력을 하는 것이 무엇보다 중요하다”고 말했다. [김정완 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
