바이러스 검사 소프트웨어

위키백과 ― 우리 모두의 백과사전.

바이러스 검사 소프트웨어는 악성 소프트웨어를 찾아내서 제거하는 기능을 갖춘 컴퓨터 프로그램이다. 바이러스 백신 프로그램, 앤티바이러스 소프트웨어라고도 한다. 원래 목적은 바이러스만 잡는 것이었으나, 현대에는 악성코드, 피싱 공격, 트로이 목마, 웜 등도 검출한다. 바이러스 검사 소프트웨어는 보통 다음과 같은 두 가지 기술을 사용하여 이를 수행한다:

• 바이러스 데이터베이스의 정의와 일치하는 바이러스를 확인하기 위해 파일의 내용을 살핀다.
• 감염으로 표시될 가능성이 있는 컴퓨터 프로그램에서 의심이 가는 행동을 찾아낸다. 이 기술은 발견적 분석이라고 부른다. 이러한 분석은 자료 포착, 포트 감시 등의 방식을 포함할 수 있다.

보통 상용 바이러스 검사 소프트웨어는 이 두 가지 기능을 모두 사용한다.

목차 1 접근 방식 1.1 사전 데이터베이스 1.2 의심스런 동작 1.3 다른 접근 2 바이러스 검사 프로그램의 오진 3 같이 보기 4 참조 5 바깥 고리

[편집] 접근 방식

[편집] 사전 데이터베이스

바이러스 데이터베이스 접근에서 바이러스 검사 소프트웨어가 파일을 찾아내면, 바이러스 검사 프로그램을 만든 사람이 정의해 놓은 "알려진 바이러스"의 데이터베이스를 참조한다. 파일 안의 코드 일부가 데이터베이스의 바이러스와 일치하면, 바이러스 검사 프로그램은 다음의 과정 가운데 하나를 수행할 수 있다.

1. 파일 안의 바이러스 자체를 제거하여 파일을 고치려고 시도한다.
2. 파일을 차단한다. (다른 프로그램이 해당 파일에 접근할 수 없으며, 바이러스는 퍼지지 않는다.)
3. 감염된 파일을 삭제한다.

[편집] 의심스런 동작

의심스러운 동작이 접근한다고 하여 알려진 바이러스를 확인하려고 시도하지는 않지만, 모든 프로그램의 동작을 감시한다. 이를테면, 어느 프로그램이 실행 프로그램에 데이터를 기록하려고 한다면 바이러스 검사 소프트웨어는 이러한 의심스러운 동작을 사용자에게 알리고 무엇을 할 것인지 물어 본다.

사전 데이터베이스 접근과 달리, 의심스런 동작의 접근은 데이터베이스에 없는 새로운 바이러스에 대한 보호를 제공한다. 그러나 수많은 오진이 일어날 수 있으며, 사용자는 모든 경고에 둔감해지게 된다. 사용자가 경고가 뜰 때마다 "허용"을 누르면 바이러스 검사 소프트웨어는 어떠한 작업도 수행하지 않는다. 그러므로 현대에 나온 바이러스 검사 소프트웨어는 이 기술을 되로고 적게 사용한다.

[편집] 다른 접근

어떠한 바이러스 검사 소프트웨어는 다른 종류의 발견적 분석을 사용한다. 이를테면, 제어권을 어떠한 실행 파일에 이행하기 전에 시스템이 호출하는 새로운 실행 파일의 코드의 시작 부분을 가상으로 구현하려고 할 수 있다. 해당 프로그램이 자가 정정 코드를 사용한다거나 바이러스인 것처럼 보인다면 바이러스가 실행 파일을 감염시킬 가능성이 있다고 추측할 수 있다. 그러나 이러한 방식은 많은 오진을 낳을 수 있다.

다른 감지 방식의 경우 샌드박스를 사용하여 수행한다. 샌드박스는 운영 체제를 가상으로 구현하여 이 시뮬레이션 안에서 실행 파일을 실행한다. 프로그램을 종료한 다음, 소프트웨어는 샌드박스를 이용하여 바이러스로 보이는 변경 사항을 분석한다. 컴퓨터 성능 문제 때문에 이러한 종류의 검출은 사용자가 요청할 때에만 이루어진다. 또한 이러한 방식은 바이러스가 비결정적이며 실행시 다른 동작을 수행할 경우 실패할 가능성도 있다.^[1]

[편집] 바이러스 검사 프로그램의 오진

2007년 12월 연구는 바이러스 검사 소프트웨어의 효율성이 수년 전에 비해 얼만큼 줄었는지를 보여 준다. (특히 "제로데이" 공격 등과 관련하여) 독일의 컴퓨터 잡지 c't에 따르면, 바이러스를 잡아낼 확률이 20~30%로 떨어졌으며, 전년에 40~50%였던 것에 비해 대조적이다. 오직 한 대의 제품만이 신뢰할만한 68%의 검진율을 기록했다.^[2]

이러한 문제는 바이러스를 제조하는 사람들의 의도가 바뀜에 기인한다. 몇 해 전까지만 해도 바이러스가 감염된 사실은 명백하였다.

[편집] 같이 보기

• 컴퓨터 바이러스
• 악성코드

[편집] 참조

1. ↑ http://www.securityfocus.com/infocus/1866
2. ↑ http://www.channelregister.co.uk/2007/12/21/dwindling_antivirus_protection/

[편집] 바깥 고리

• 몇 가지 바이러스 검사 소프트웨어를 비교하는 곳:
  • AV-Comparatives
  • AV-Test
  • VirusBulletin
• 50대 바이러스 검사 소프트웨어 순위
• Carnegie Mellon's CERT coordination center
• Virus Information including EICAR/Virus Bulletin