AVLab 사이버보안 재단 에서 2026년 5월에 실시한 실제 환경 악성코드 테스트(Advanced In-The-Wild Malware Test)에서는 360개의 악성코드 샘플을 대상으로 14개의 보안 솔루션을 평가했습니다.
Emsisoft Enterprise Security + EDR은 100% 탐지율을 달성하여 99.6% 보호 기준에 부합하는 '우수(EXCELLENT)' 등급 인증을 획득했습니다.
이번 테스트 버전 에서는 합법적인 Windows 도구( LOLBins ) 의 사용 증가 와 원격 측정 및 사건 재구성 기능의 중요성이 강조되었습니다.
현대 공격에서 LOLBins의 진화하는 역할
5월 테스트 결과, 사이버 범죄자들이 탐지를 피하기 위해 합법적인 시스템 구성 요소를 점점 더 많이 사용하고 있음이 확인되었습니다. 가장 빈번하게 관찰된 LOLBin은 다음과 같습니다.
- svchost.exe: 19,230회 호출
- certutil.exe: 11,348
- sh.exe: 5,102
- taskhostw.exe: 4,050
- rundll32.exe: 2,695
- taskkill.exe: 2,060
이러한 도구는 파일을 다운로드하고, 코드를 실행하고, 명령을 수행하고, 공격자 인프라와 통신하는 데 사용되었습니다. 분석 결과 msbuild.exe, tor.exe, tor.exe(1,466회) , curl.exe, sftp.exe, ssh.exe, ftp.exe, nslookup.exe, git.exe및 와 같은 덜 일반적인 유틸리티도 사용된 것으로 나타났습니다
상당한 양으로 나타나는 이러한 현상은 공격자들이 인프라 분석을 방해하기 위해 네트워크 통신을 적극적으로 익명화하고 있음을 시사합니다. 또한, Microsoft가 Coreutils 도구를 통해 Linux 명령어를 기본적으로 통합한 것은 AVLab이 향후 테스트 버전에서 검토할 새로운 공격 벡터입니다.
LOLBins에 대한 지속적인 의존은 프로세스 기반 탐지만으로는 불충분함을 보여줍니다. 악성 활동과 정상적인 시스템 작업을 구분하기 위해서는 행동 분석과 포괄적인 원격 측정 데이터가 필요합니다.
위협 환경 및 표본 구성
2026년 5월 테스트에는 360개의 악성코드 샘플이 포함되었습니다. 이 중 318개는 HTTP를 통해, 42개는 HTTPS를 통해 전달되었습니다. 침해된 서버는 주로 미국(179), 독일(51), 중국(30)에 위치했습니다.
HTTPS 전송은 평판 기반 탐지 메커니즘에 여전히 어려운 과제입니다. SSL 인증서는 암호화를 의미할 뿐 안전을 보장하지는 않으며, 공격자들은 악성코드를 전달하기 위해 암호화된 채널을 점점 더 많이 사용하고 있습니다. HTTPS를 통해 전달되는 악성코드의 지속적인 존재는 URL 평판 및 블랙리스트 기반 접근 방식에 한계가 있음을 보여줍니다. 이러한 방식은 위협 정보를 확산하는 데 시간이 걸리기 때문입니다.
Emsisoft의 성능: 탐지 및 가시성
Emsisoft Enterprise Security + EDR은 360개의 샘플을 모두 차단하여 100% 탐지율을 달성하고 EXCELLENT 인증을 획득했습니다.
국방 유통:
* 웹 계층 보호(실행 전): 84.72%
* 런타임 방어(실행 후): 15.28%
교정 시간:
평균 2.69초. 이 지표는 악성 아티팩트 제거 및 시스템 변경 사항 되돌리기를 포함하여 위협을 완전히 무력화하고 시스템을 복구하는 데 걸리는 시간을 측정합니다.
본 제품은 표준 기업 구성(기본 설정, 자동 PUP 복구, EDR 활성화, 롤백 기능 활성화, 브라우저 보호 기능 활성화 )으로 테스트되었습니다 . 기본 구성으로 테스트함으로써 고객에게 제공되는 초기 사용 환경을 반영하는 결과를 얻을 수 있습니다.
5월 시험 요약 전문은 여기에서 확인하세요 .
시험 방법론 및 표준 준수
고급 실제 환경 악성코드 테스트는 연 6회 실시됩니다. 각 테스트에서는 세 가지 상호 보완적인 단계로 구성된 전체 공격 체인 시뮬레이션을 기반으로 제품을 평가합니다.
* 웹 계층 보호(사전 실행): 네트워크 계층, 파일 다운로드 중 또는 악성 리소스에 처음 접근할 때를 포함하여 실행 전에 솔루션이 위협을 차단하는지 여부를 확인합니다.
* 런타임 방어(실행 후): 코드 실행 후 제품의 응답을 평가합니다. 이 단계는 제로데이 시나리오 및 파일리스 인메모리 공격을 반영합니다.
* 복구 시간: 위협 무력화 및 시스템 복구를 포함한 전체 사고 대응에 소요되는 시간과 효율성을 측정합니다.
이 테스트는 활성 URL, 공개 위협 인텔리전스 피드, 허니팟 및 모니터링 채널에서 수집한 실제 악성코드 샘플을 사용합니다. 각 샘플은 테스트 시작 전에 중복 제거를 위해 SHA-256 해시 비교를 거치고, YARA 규칙을 사용한 정적 분석을 수행하며, Windows 11에서 동적 실행을 통해 악성 행위를 확인합니다.
AVLab은 악성코드 테스트 표준 기구(AMTSO) 의 회원 이며 마이크로소프트 바이러스 이니셔티브(MVI)의 요구 사항을 준수합니다.
결론
2026년 5월 AVLab 테스트 결과에 따르면 Emsisoft Enterprise Security + EDR은 360개의 악성코드 샘플을 모두 차단하여 상향 조정된 99.6% 인증 기준을 계속 충족하는 것으로 확인되었습니다.
공격자들이 합법적인 시스템 도구와 암호화된 통신 채널을 점점 더 많이 활용함에 따라, 원격 측정 데이터의 품질과 사건 재구성 기능은 탐지 자체만큼이나 중요해지고 있습니다.
감사합니다.
(주)소프트메일
'Emsisoft 안티멀웨어' 카테고리의 다른 글
| Emsisoft Anti-Malware, 국제 보안 인증 VB100에서 A등급 획득 및 오탐률 완전 무결 달성 (0) | 2026.05.01 |
|---|---|
| Emsisoft, AVLab 선정 '2026 올해의 제품' 수상… 최고 복구 속도 부문도 석권 (0) | 2026.04.06 |
| Emsisoft, AVLab 선정 '2026년 올해의 제품'으로 선정 및 문제 해결 시간 부문 최고상 수상 (0) | 2026.03.18 |
| [EMSISOFT] 데이타 침해 발생 이전: 사이버 사고에 대비한 조직에서의 준비 사항은? (0) | 2026.03.18 |
| Emsisoft, AVLab의 2025년 11월 테스트에서 만점 획득 (0) | 2026.02.02 |