📝 오탐과 미탐
우리가 사용하는 컴퓨터에는 수많은 프로그램과 파일이 오고가며,
당연하게도 우리가 이 프로그램 및 파일이 컴퓨터에 치명적인지 판단하기에는
어려움이 있기에 개발된 것이 컴퓨터 백신프로그램(Antivirus Software) 이다.
하지만 백신프로그램이 판단하는 과정 또한 특정 기법을 이용하여 판단하는 것이고
이러한 과정에서 정상적인 패킷을 비정상 패킷이라 판단 => 오탐(False Positive),
비정상적인 패킷을 정상이라고 판단 => 미탐(False Negative)과 같은 결과가 생길 수 있다.
이렇게 백신프로그램이 외부에서 유입된 패킷을 검사하고 판단하는 과정에서 사용되는 기법과
생길수 있는 치명적 오류, 나아가 이러한 오류를 줄이고 대처하는 방법을 알아보자.
📌 안티바이러스의 탐지 방법
1. 시그니처 기반 탐지 (Signature-based Detection)
시그니처 기반 탐지는 바이러스, 악성코드의 고유한 특성(시그니처)을 데이터베이스에
저장해 두고, 파일을 검사할 때 이를 대조하여 확인한다.
🟩 장점: 이미 알려진 바이러스에 대해 빠르고 정확하게 탐지가 가능
🟨 단점: 새로운 변종 바이러스나 데이터베이스에 등록되지 않은 신종 악성코드는 탐지하지 못함
2. 행위 기반 탐지 (Behavior-based Detection)
파일이나 프로그램의 행동을 실시간으로 모니터링하여, 의심스러운 동작을 감지한다.
(의심스러운 동작 - 시스템의 파일을 수정하거나 비정상적인 네트워크 트래픽의 증가)
🟩 장점: 알려지지 않은 신종 악성코드도 탐지 가능
🟨 단점: 오탐 (정상 패킷을 비정상 패킷이라 판단)이 발생할 가능성이 있음
현대의 안티바이러스
위 두가지 방법이 핵심이며 중요한 기법으로 사용하고있으나, 현대의 안티바이러스는
두가지 방법 외에도 머신러닝/AI 기반 탐지, 휴리스틱 분석을 통합하여 추가적인
보안 강화에 힘쓰고있다.
현재는 위 두가지 방법만 사용하는 프로그램은 거의 없으며 대부분의 최신 보안프로그램은
이들을 포함한 여러 기술을 통합적으로 사용하여 신종 위협에 대응하고 있다.
📌 오탐과 미탐
오탐과 미탐의 개념을 다시한번 정의하자면 다음과 같다.
| 정상 패킷 | 비정상 패킷 | |
|---|---|---|
| 정상으로 탐지 | True Negative | False Negative (미탐) |
| 비정상으로 탐지 | False Positive (오탐) | True Positive |
오탐(False Positive) 의 경우 합법적인 활동에 대한 경보를 발생시키기 때문에
로그나 경고가 남아있어 이를 확인하는 번거로움이 있으나 실제 공격이 아니므로
치명적인 결과를 불러오진 않는다.
하지만 오탐이 너무 많은 경우 불필요한 리소스와 시간을 낭비하고, 사용자의 합법적인
활동이 차단될 수 있기에 신경써야한다.
미탐(False Negative) 은 실제 위협이나 공격을 감지하지 못하는 경우로
이는 시스템 손상, 데이터 침해 또는 기타 치명적인 결과를 초래할 수 있다.
미탐이 많을 경우 시스템을 개선하는 것이 최우선이다.
➕헷갈리는 경우 앞의 True/False 는 결과적으로 탐지를 맞게 했는지를 의미,
뒤의 Positive/Negative 는 탐지한 것의 성격 (Positive 는 공격, Negative는 정상)을 의미한다.
즉, True Negative 와 True Positive는 각각 정상 패킷(Negative)을 정상으로 (올바르게)탐지,
비정상 패킷(Positive)을 비정상으로 (올바르게)탐지 한 것으로 해석할 수 있다.
📌 대처방법
오탐을 판단하는 방법은?
우리는 어떻게 안티바이러스가 오탐을 했다고 판단할 수 있을까?
개인이 특정 프로그램이 악성인지 아닌지 판단하는 데에는 어려움이 있을 수밖에 없다.
이는 VirusTotal 이라는 다양한 종류의 안티바이러스가 파일을 검사한 후
결과를 보여주는 사이트를 이용하면 된다.
위와 같은 사이트에서 특정파일이나 프로그램, URL, IP 주소, 도메인, 파일 해시값 등
다양한 정보가 악성인지 아닌지 판단해볼 수 있다.
이러한 방법을 통해 사용자가 하고자하는 활동이 합법적인것이 확인이 되면,
안티바이러스의 설정이나 검사항목에서 해당하는 활동을 제외시키거나 무시할 수 있다.
