이국현의 블로그

보안업계에서 처음 일하면 생소하게 접하게 되는 단어가 하나 있다.

False Positive라는 단어이다. 사실 의학에서 가져온 단어인데, 바이러스 라든가 백신이라든가 하는 단어도 의학에서 가져온 단어인 것을 생각하면 드문 경우는 아니다. 처음에 보안회사에 입사하고서 이 말이 뭔가 하고 한참 찾아 헤매였던 기억이 난다.

직역하면 한글위키에 나온대로 거짓 양성 정도가 되겠고, 의역하면 "오용,오탐" 정도로 생각하면 될 것같다. 즉 바이러스가 아닌데 바이러스로 판단하는 경우라든가 해킹이 아닌데 해킹이라고 판단하는 경우를 False Positive라고 부른다.

이와 반대로 False Negative는 바이러스가 맞는데 바이러스가 아닌것으로 판단하는 경우이다. 해킹인데 해킹이 아니라고 판단하는 경우다. 

백신이나 침입탐지도구의 성능을 판단하는 기준은 False Negative 이다. 벤치마킹테스트(BMT)에서 주로 이 기준을 가지고 판단한다. 수백,수천개의 해킹패킷이나 바이러스를 뿌리고 해당 보안제품이 이중에 몇개나 해킹이라고 제대로 판단 하는 가를 따진다. 100개의 바이러스중에 80개만을 바이러스로 탐지했다면 성능이 그저그런 제품이 되는것이다.

그리고 보안제품의 신뢰성을 판단하는 기준은 False Positive 이다. 이를 판단하기 위해서는 바이러스 말고도 정상 패킷을 섞어서 테스트를 하는데 정상 패킷을 바이러스 라고 판단한다면 이 제품은 신뢰할 수 없다라고 봐도 무방하다.

많은 백신과 침입탐지 제품들이 이 두가지 기준을 가지고 머리를 쥐어 짠다. 100% 탐지하려면 넓은 범위의 패턴을 가져야 하는데, 너무 넓은 패턴만을 사용하다보면 미처 생각하지 못한 정상적인 상황까지도 패턴에 들어가버리기 때문이다. 좁은 패턴만을 생각하면 조금만 변형된 바이러스도 탐지 못하는 경우가 생겨버린다. 좁은 범위의 패턴을 여러개 만들면 되겠지만, 많은 인력자원이 소모된다. 인공지능 탐지 기능이다, 휴리스틱이다 사전방역, zero-day protection이다 하는것들 전부 다 이런 고민들의 산물이라고 보면 된다.

안철수 연구소의 백신진단 오류는 너무 패턴의 범위를 크게 잡은 나머지 정상인 경우까지도 이놈 수상하네! 하고 바이러스로 판단해 버린 것이다. False Positive가 발생하여 제품의 신뢰성이 떨어진 대표적인 사례로 자리 잡을지도 모르겠다. 그래도 문제가 발생하면 숨기기 급급한 회사들에 비하면 공개하여 빠른 대처를 하고 있는 안철수 연구소는 바람직한 보안회사라고 생각한다.

가뜩이나 보안회사들의 경기가 어려운 마당에 이런 문제까지 터져서 암담하지만, (물론 저는 보안업계에 없습니다만) 하루 빨리 신뢰를 회복하고, 해킹 패턴 제작에 좀 더 돈을 투자해서 오탐,오용없고 탐지율 뛰어난 좋은 제품을 개발하였으면 하는 바램이다.

복구방법
http://micingamja.egloos.com/4480609

안랩 싸이트
http://home.ahnlab.com/