EMSISOFT, 사이버 보안 제품 테스트 AVLab의 Adrian Ścibor와의 Q&A

AVLAB과 EMSISOFT 대담

 

사이버 보안과 관련하여 제품이 맬웨어에 대해 얼마나 잘 작동하는지 또는 작동하지 않는지를 이해하는 것은 개인 사용자와 기업 모두에게 필수적입니다. 해당 분야의 선두 기업인 AVLab Cybersecurity Foundation은 최첨단 방법론과 글로벌 허니팟 네트워크를 사용하여 보안 솔루션의 효율성을 평가하는 고급 'In-the-Wild' 악성 코드 테스트에 전념하고 있습니다.

 

 

Adrian Ścibor는 AVLab Cybersecurity Foundation의 창립자입니다. 사이버 보안 활동의 일환으로 위협에 대한 보호 솔루션 테스트를 담당하고 있습니다. 테스트 작업 외에도 Adrian은 사이버 공격으로부터 데이터와 시스템을 보호하기 위한 전략과 도구를 개발하고 테스트 방법론 개선에 중점을 두는 국제 비영리 그룹인 AMTSO(Anti-Malware Testing Standards Organization) 에 기여하고 있습니다. 

 

Adrian과의 이 Q&A에서 우리는 바이러스 백신 및 맬웨어 방지 테스트의 미묘한 세계를 탐색하고 이러한 평가가 수행되는 방법, 수년에 걸쳐 겪은 변경 사항 및 전반적인 중요성에 대해 논의합니다.

 

 

Emsisoft: 혹시 모르는 사람이 있을 경우를 대비해 안티바이러스 또는 안티맬웨어 테스트가 정확히 무엇인지 알려주세요.

 

Adrian: 수십 년 전의 테스트 방법론으로 돌아가서 자세히 설명하지 않기 위해 매우 간단하고 명확하게 설명하겠습니다. 내 생각에 그것은 오늘날 뭐라고 부르든 내부적으로 어떻게 작동하든 보안 기술을 테스트하는 것입니다. 이러한 기술은 IT 솔루션에 통합되었으며 수십 년 동안 공급업체에 의해 체계적으로 개선되었습니다. 다양한 시나리오에서 보안 기능을 테스트하면 바이러스 백신 엔진이 맬웨어를 처리하는 등의 약점이 드러날 수 있습니다. 사용자가 공급업체와 자세한 진단 데이터를 공유할 의무가 없고 건초 더미에서 바늘을 찾을 만큼 많은 진단 데이터를 한 번에 생성하지 않기 때문에 현실 세계에서 반드시 발견하기 쉽지 않은 버그가 발견되는 경우가 있습니다. 기계 정보 처리 알고리즘을 사용한 테스트는 이러한 미묘한 차이를 포착합니다. 테스트의 중요한 부분은 공급업체인 기술 엔지니어와 대화하여 잠재적인 문제를 지적하는 것입니다. 때로는 이 문제에 대해 논의해야 하며, 필요한 경우 수정 사항을 구현해야 하며, 수정 사항은 다음 소프트웨어 업데이트에서 사용자에게 전달됩니다. 흥미롭게도 때때로 방법론의 결함이 발견되는데, 공급업체는 이를 테스트 회사에 지적합니다. 이는 또한 테스트 프로세스를 개선하는 데 중요한 부분입니다.

 

 

Emsisoft: 지난 몇 년 동안 테스트가 어떻게 바뀌었나요?

 

Adrian: 보안 기술과 마찬가지로 테스트도 진화하고 있습니다. 우리는 이러한 보안 조치를 위반하려는 사이버 범죄자에 맞서기 위해 노력하고 있습니다.
기술, 운영 체제, 애플리케이션 및 테스터용 도구의 개발 덕분에 테스트는 수년에 걸쳐 극적으로 변화했습니다. 오늘날 대부분의 작업(전부는 아님)을 자동화할 수 있고, 클라우드 컴퓨팅을 사용할 수 있으며, 원격 측정 데이터에서 이전보다 더 정확한 데이터를 추출할 수 있습니다. 또한 사이버 보안에 대한 인식이 크게 향상되었습니다. 이는 더 많은 기업과 사용자가 공급업체로부터 잘 테스트된 서비스와 제품을 요구하고 있음을 의미합니다. 제가 말씀드릴 수 있는 것은 테스터와 공급업체가 협력한 결과 더 나은 품질의 서비스와 소프트웨어가 생성되어 최종 고객에게 전달되고 생산 환경이나 가정에 설치된다는 것입니다.

 

 

Emsisoft: 일부 사람들은 테스트 비용이 일반적으로 공급업체에서 지불되기 때문에 테스트가 편향되어야 한다고 우려합니다. 이에 대해 어떻게 대응하시나요?

 

Adrian: 저는 이러한 의심을 이해할 수 있습니다. 또한 내부에서 테스트가 어떻게 수행되는지, 그리고 서버 유지 관리, 라이센스 비용 및 직원 급여 등 테스트에 필요한 비용이 얼마나 되는지 알지도 못했습니다. 또한 공급업체가 결과를 조작하다가 적발되어 테스트 업계 전체에 해를 끼치는 심각한 사건을 이미 목격했습니다. 반면에 소위 후원 테스트라고 하는 동전의 다른 측면도 있습니다. 이러한 테스트는 투명하게 라벨이 지정되어야 합니다. 제 생각에는 이것이 언론법 규정에 의해 개선되고 있다고 생각합니다.

 

벤더가 테스트 비용을 지불한다는 사실은 나쁜 것이 아닙니다. 다른 서비스와 동일하지만 추가적인 기술, 콘텐츠 관련 요구 사항으로 규제될 수 있습니다. 테스트 규정은 AMTSO(Anti-Malware Testing Standard Organization)에서 처리하지만 테스트하고 사실에 근거한 의견을 제시하기 위해 이 조직에 속할 필요는 없습니다. 이미 언급했듯이 개별 테스트에는 라벨이 지정되어야 합니다. 이는 문제의 공급업체가 비용을 지불하고 그 대가로 마케팅 혜택을 기대하지만 부정행위를 하는 것은 전혀 다른 일입니다. 나는 결과가 당사자 중 어느 한 쪽에게 만족스럽지 않은 경우 단순히 출판되지 않을 것이라는 점에 동의할 이유가 없다고 생각합니다. 어쨌든 소프트웨어의 버그를 지적하고 업데이트를 발행함으로써 이점이 파생될 것이라는 점은 당연합니다. 유료로 준비되는 기사나 블로그 리뷰도 마찬가지다.

 

또 다른 상황은 실험실이 테스트에 참여할 공급업체를 선택하거나 초대하는 경우입니다. 내 경험상 테스트 비용을 청구하지 않는다고 말할 수 있습니다. 우리는 기술 피드백, 콘텐츠 개발, 공급업체가 사용하는 마케팅 자료(예: 인증서, 로고, 기타 파일)에 대한 비용을 청구합니다. 공급업체는 테스트에 참여하지 않기로 선택할 수도 있고 이의를 제기할 수도 있으므로 불일치가 발생할 경우 모든 것을 문서화하는 것이 좋습니다.

 

 

Emsisoft: 제품이 테스트에서 좋은 성능을 보인다면 현실에서도 좋은 성능을 발휘할 것이라는 뜻인가요?

 

아드리안: 상황에 따라 다릅니다. 이것이 바로 다양한 테스트 회사의 목적입니다. 그들은 다양한 각도에서 소프트웨어를 테스트하므로 특정 실험실에 동의할 필요가 없습니다. 이것이 바로 프로덕션 환경에서 솔루션이 무엇을 달성할 수 있는지에 대한 더 크고 포괄적인 그림을 제공하기 위한 다양한 유형의 테스트입니다. 테스터가 보안 조치를 우회할 수 있다면 공격자는 실제 시나리오에서도 성공할 수도 있습니다.

 

제가 여기서 지적하고 있는 것은 뉘앙스, 즉 방법론입니다. 종종 테스트 후에 제품 X나 Y가 낮은 점수를 받았다는 잘못된 정보가 언론에 유출되기도 합니다. 테스트 중에 비활성화된 보안 기능이 있는지 확인하려면 방법론을 검토하는 것이 중요합니다. 나는 때때로 이것을 관찰하고 누군가가 다른 기술을 희생하여 특정 기술을 테스트하고 싶어한다는 것을 이해합니다. 일반적으로 저는 이러한 종류의 테스트 접근 방식에 반대합니다. 공급업체가 이를 선택적으로 사용하기 위해 수십 년 동안 기술 개발에 투자하지 않았기 때문입니다.

 

 

Emsisoft: 사람들은 테스트 결과를 어떻게 해석해야 합니까? 나쁜 점수 하나가 나쁜 제품과 같나요?

 

아드리안: 늘 그렇듯, 악마는 디테일에 있습니다. 테스트에 따라 다르다고 말씀드리겠습니다. 앞서 언급했듯이 테스트에서 특정 보호 기능이 비활성화되었는지 여부와 해당 기능 없이 제품이 얼마나 잘 보호되는지 주의 깊게 살펴보아야 합니까? 보호 소프트웨어의 모든 기능에 대해 결과를 분석해야 하기 때문에 이를 다시 강조합니다. 이는 일반적으로 프로덕션 시스템에서 작동하는 방식이기 때문입니다. 또한 다양한 공급업체의 보호 기술이 크게 다를 수 있으므로 잠재적으로 관리자와 사용자에게 다양한 수준의 정보를 제공할 수 있습니다. 따라서 제품이나 서비스를 전체적으로 살펴보거나 제품이 충족해야 하는 구체적인 최소 요구 사항을 준비하는 것이 가장 좋습니다.

 

나는 소프트웨어를 선택할 때 개별 테스트 분석을 권장합니다. 보호의 효율성은 매우 중요하며 공급업체의 빠른 지원, 기술 지원, 프로그램 인터페이스, 작동 속도, 지원되는 시스템, 관리 콘솔의 기능(예: 사고에 대한 경고, 자동)과 같은 추가 기능도 중요합니다. 이러한 사고의 복구, 추가 구제책, 시스템의 취약성 표시, 잘못된 사용자 계정 구성 공개, 외부 솔루션과의 통합(예: SIEM, 디스크 암호화, 백업 등)

 

 

Emsisoft: AVLab Cybersecurity Foundation은 AMTSO(Anti-Malware Testing Standards Organization)의 회원입니다. 저게 뭐에요?

 

Adrian: 일반적으로 AMTSO는 사이버 보안의 공동 이익을 위해 함께 일하고 싶어하는 기업과 전문가를 한자리에 모읍니다. AVLab Cybersecurity Foundation과 같은 테스트 조직은 이러한 규정 개발에 크게 관여하고 있습니다.

AMTSO에 합류하기 전에도 처음에는 규정의 이점을 실제로 경험하기 전까지 테스트 규정에 대해 회의적이었습니다. 테스트 회사가 AMTSO 지침을 준수하려는 경우 투명성이 마음에 듭니다. AMTSO 덕분에 테스트 방법이 크게 개선되었으며, 흥미롭게도 우리는 멤버십을 신청하기 전에 이미 대부분의 기술 요구 사항을 충족하고 있었습니다. 이제 공급업체와의 협력을 통해 변화를 구현하고 체계적으로 이를 수행하여 도구와 절차를 개선하고 있습니다. 이제 우리는 공급업체가 무엇에 관심을 갖고 있는지 더 잘 알고 있습니다. 즉, 마케팅 명성이 아니라, 받은 인증서에 관계없이 최종 고객의 이익을 위해 제품이 지속적으로 개선되고 있다는 것입니다. 아직 아무도 더 나은 것을 생각해 내지 못했지만 우리가 다른 방향으로가는 것을 막지 않는 대중. 테스트를 통해 우리는 고객을 더 잘 보호하는 전략을 추구하고 있으며, 이미 소규모 스타트업부터 업계 최대 기업까지 협력한 경험을 갖고 있습니다.

 

모든 소프트웨어에서 조만간 누군가는 보호를 우회하고 약점, 취약점을 드러내는 기술적 뉘앙스를 찾아내는 방법을 찾을 것입니다. 이것이 바로 사이버 범죄에 맞서 싸우기 위한 테스트와 협력의 목적입니다. 일상생활에서 볼 수 있듯이 규정이 항상 좋은 것은 아니지만, 조직에 합류할 때는 규칙을 준수해야 합니다. 좋은 규칙이면 좋습니다. 공교롭게도 AMTSO는 간단한 기술 테스트부터 엔터프라이즈급 제품 표준 설정에 이르기까지 다양한 수준에서 테스터를 도왔습니다. 저는 단지 사이버 범죄에 대응하는 기술 테스트에 대한 권장 사항을 언급하는 것이 아닙니다. AMTSO 덕분에 우리는 공동의 이익, 즉 최종 고객이 얻는 이익을 위해 공급업체와 더 효과적으로 협력하는 방법에 대한 교훈을 배웠습니다.

 

 

Emsisoft: 대부분의 제품은 테스트에서 꽤 좋은 점수를 받았습니다. 결과의 사소한 차이가 실제로 얼마나 중요합니까?

 

아드리안: 세부 사항은 돈입니다. 제품 X가 위협을 100% 처리했고 나머지는 99.99% 처리했다고 가정해 보겠습니다. 이론적으로 두 결과는 거의 동일합니다. 그렇죠? 그러나 하나의 제품으로 인해 사고가 너무 많이 발생하는 상황이 허용되었으며, 실제로 이로 인해 회사는 수백만 달러의 비용을 지출할 수 있습니다. 이것이 바로 세부 사항에 차이가 있는 이유입니다.

 

 

Emsisoft: 소위 '토지 생활' 공격으로 인해 맬웨어 탐지 및 테스트가 덜 중요해졌습니까?

 

Adrian: 운영 체제 공급업체의 합법적인 프로세스와 애플리케이션을 사용하더라도 무언가가 시스템에 악의적인 작업을 수행하는지 여부는 사건이 끝나면 알아낼 수 있습니다. 보안 기술이 어떻게 발전해왔는지를 고려하면, '전통적인 악성코드'와 '평범한 생활' 공격(파일리스, LOLBins)의 차이에 대해 논쟁할 필요가 없다고 생각합니다. 왜냐하면 악성코드는 합법적인 프로세스를 사용할 수 있고, 합법적인 프로세스를 사용하면 맬웨어가 수행하는 것과 동일한 작업을 시스템에서 수행할 수 있습니다. 그러므로 오늘날 공격자와 방어자 모두 노력을 기울여야 합니다. 그러나 그들은 10년 전보다 더 나은 도구를 사용할 수 있게 되었습니다.

 

오늘날의 솔루션은 공격이 적고 규모가 작았던 과거보다 더 많은 다계층 보호 기능을 갖추어야 합니다. 동시에 솔루션은 상대적으로 사용하기 쉬워야 하는데, 이는 공급업체의 개발자 및 엔지니어 부서에게는 전혀 쉽지 않습니다. 솔루션은 모든 엔드포인트에서 발생하는 사고를 즉시 식별할 수 있어야 하며, 보안 프로세스에서 중소 규모 조직을 지원할 수 있도록 사고 문제를 빠르고 쉽게 해결해야 합니다. 매우 중요한 것은 SOC(보안 운영 센터) 부서의 보안 전문가나 소규모 기업의 일선 관리자가 중요한 사고를 적시에 놓치지 않도록 오늘날 제품이 "경고로 인해 피로해지지" 않아야 한다는 것입니다.

 

 

Emsisoft: 일부 테스트는 실행 전후 감지 및 감지 시간을 나타냅니다. 차이점은 무엇이며 왜 중요한가요?

 

Adrian: 솔루션에 따라, 보안에 대한 특정 공급업체의 접근 방식에 따라 달라집니다. 예방적 보호에 더 중점을 두고 있습니까, 아니면 여전히 전통적인 탐지 방식에 머물러 있습니까? 출시 전 위협 탐지와 출시 후 위협 탐지의 차이는 기술적인 차이와 관련이 있습니다.

 

1. 보안 담당자가 관심을 가질 수 있으며 세부 사항에주의를 기울입니다.

 

2. 경쟁업체의 장점을 파악한 공급업체의 경우 매우 초기 단계에서 위협을 더 효과적으로 포착하기 위해 무엇을 해야 할까요?

 

3. 실행 전 단계에서 위협을 차단하는 데 항상 좋은 결과를 얻을 수 있는 것은 아니므로, 이는 실행 후 단계에서 제품이 위협을 얼마나 잘 처리하는지 여부와 얼마나 잘 처리하는지에 대한 또 다른 정보입니다. 제 생각에는 이것은 어떤 이유로 시스템에 침입하여 실행된 위협으로부터 문제의 소프트웨어를 실제로 보호한다는 것을 보여주기 때문에 매우 중요합니다. 제로데이 위협을 탐지하는 공급업체의 모든 마술과 정확성이 여기서 시작된다고 생각합니다.

 

 

Emsisoft: 테스트 결과 외에 사람들이 보안 솔루션을 선택할 때 무엇을 찾아야 합니까? 

 

아드리안: 아, 이건 광범위한 주제군요. 기업 규모와 복잡한 인프라, 원격 근무자 등의 경우와 개인 사용자용 소프트웨어를 더욱 세분화하여 기업용 솔루션 선택을 명확하게 구분해야 합니다. 개인 사용자의 경우에는 동일한 업무용 제품 판매업체의 테스트를 안내받을 수도 있습니다. 그러나 항상 그런 것은 아닙니다. 비상업용 컴퓨터용으로 설계되지 않은 모듈에 대한 세부 정보를 조사하여 문제를 더 복잡하게 만드는 것을 방지하고 싶습니다. 물론, 공통 기능에는 여전히 공급업체의 지원, 평판, 획득한 테스트 점수, 특정 언어로 된 인터페이스 가용성, 주요 직원을 위한 추가 모듈(예: 은행 보호), 솔루션 가격, 다양한 유형의 운영 체제에 대한 지원 등이 포함됩니다. Windows , macOS, Android 등 오늘날 우리 각자는 사용하는 장치가 한두 개 이상일 수 있으며 종종 가족 전체를 보호하고 싶어합니다.

 

회사의 경우 서버 컴퓨터 인프라의 특정 요구 사항에 대해 관리자 콘솔에서 기능의 가용성을 살펴보겠습니다. SIEM 등 추가 서비스와의 통합. Windows가 아닌 워크스테이션(macOS, Linux)에 대한 EDR 보호 지원에 대해 설명합니다. 산업용 시스템의 경우 맞춤형 보호 구현 가능성과 데이터 흐름 모니터링을 통해 네트워크 프로토콜을 포괄하는 가능성에 주목할 가치가 있습니다. 여기에 원격 관리 기능, 사고가 발생한 컴퓨터 격리, 침입 추적 검색, 관리 작업 자동화 등이 추가되었습니다. 물론 이는 단지 예일 뿐입니다. 요구 사항에 대한 자세한 분석은 특정 회사에 대한 요구 사항의 사전 개발, 위험 분석에 따라 결정되어야 합니다.

 

 

요약

 

사이버 보안을 탐색하는 것은 복잡할 수 있으며 제품과 테스트 결과에 대한 표면적인 이해 이상이 필요합니다. Adrian이 지적한 것처럼 보안 솔루션 선택은 테스트 결과뿐만 아니라 최종 사용자의 특정 요구 사항, 인프라 및 운영 환경을 고려한 포괄적인 분석을 통해 이루어져야 합니다.

 

AVLab Cybersecurity Foundation은 세심한 테스트 프로세스와 AMTSO가 정한 것과 같은 최고 표준 준수를 통해 사이버 위협에 대한 집단적 방어를 강화하는 데 중추적인 역할을 합니다. 투명성, 혁신 및 공급업체와의 협력에 대한 그들의 헌신은 사이버 보안 커뮤니티가 한 발 앞서 나가도록 보장하여 관련된 모든 이해관계자에게 안정적이고 효과적인 보호를 제공합니다.

 

https://www.emsisoft.co.kr 

랜섬웨어 예방 EMSISOFT EDR (위협 탐지 및 대응)