보안 소프트웨어 Double Agent 제로데이 취약점 공격. 백신 소프트웨어는 없는 게 좋은가?

보안 소프트웨어와 관련해서 Cybellum Technologies LTD 에서 공개한 Double Agent 제로데이 취약점 이야기가 있는데 카스퍼스키(Kaspersky) 제품(3월 22일), ESET 제품(3월 23일 - HIPS module version 1273) 그리고 멀웨어바이트(Malwarebytes) 는 패치를 이미 했기에 자동 업데이트 기능을 통해 현재 최신버전으로 업데이트를 한 상태라면 그리 걱정할 필요가 없다.

Double Agent 제로데이 취약점은 공격 시나리오 측면에서 관리자 권한이 획든 된 상태에서 가능하기에 과장 된 측면이 있다는 점과 백신 소프트웨어에만 국한되지 않는다는 점에서 백신 소프트웨어 회사들이 억울(?)하다는 이야기가 있다 때문에 대부분 이 취약점을 위험도 낮음으로 말하나 자가보호 기능이 있는 백신 소프트웨어가 악의적인 행위에 대한 통로가 될 수 있다는 점이 포인트가 아닐까 한다.

이미 비슷한 이유들(취약점, 낮은 레벨의 보안 설계등등)로 이런 부분에 대한 논의나 논쟁은 계속되고 있고 한쪽에서는 보안 소프트웨어를 도리어 제거하는 걸 추천하는 걸 보면서 보안 소프트웨어뿐만 아니라 취약점을 통한 권한탈취는 OS를 포함한 모든 소프트웨어에 가능한 시나리오이기에 이런 논쟁이 그리 큰 의미가 있나도 싶다. 백신 소프트웨어를 사용하지 않는 게 더 안전하다는 말도 하나의 주장일뿐 더 안전할거라는 근거는 없다. 위험요소 하나를 제거하고 위험요소 열개에 노출 될 수도 있다. 차라리 제품에 대한 투명한 정보공개와 얼마만큼 빠르게 대처 할 수 있는지를 논의하는 게 더 건설적이지 않을까?

백신 소프트웨어를 사용하지말고 제거하라? 도리어 현 시점에서는 보안 소프트웨어가 아니라 어도비 플래쉬 플레이어(Adobe Flash Player) , 오라클 자바 런타임(Oracle Java Runtime Environment)를 제거하거나 자바스크립 사용을 상황에 따라 중지하거나 콘트롤 하는 게 윈도우 환경에서는 백신 소프트웨어를 제거하는 거 보다 훨씬 더 효과적이다.

완벽한 소프트웨어(OS, 어플리케이션 모두)는 없고 취약점이 있는 건 당연하다 그러나 어떤 기준과 완성도를 가졌는지의 차이는 있다고 본다. 유명 보안 소프트웨어 자체의 취약점이 계속 논란이 되고 있는 상황이고 솔직히 버그가 없는 소프트웨어는 없다지만 이들 중 압권은 시만텍(Symantec - 노턴 Norton)과 트랜드 마이크로(Trend Micro)가 아닐까 싶기는 하다. 표준적인 보안성 준수 조치를 행하지 않았다고 비판받았던 제품의 예로는 이 2 브랜드의 제품이 아닐까 추측해 본다.

- Security vulnerabilities in Symantec and Norton 'as bad as it gets' warns researcher

- More than 200 vulnerabilities found in Trend Micro security products

보안 소프트웨어 선택시 당연히 완성도가 있는 소프트웨어를 선택하는 게 중요하고 취약점 발견시 빠르게 대처 할 수 있는 서비스를 제공하는 제품을 선택해야 한다고 본다 또한 보안 소프트웨어는 더 이상 최상의 방어 수단이 아닌 가장 마지막 단계의 보험정도라고 생각하는 게 좋다. 실제로도 그렇다.

보안 소프트웨어를 제거하고 윈도우 OS 에 기본 백신도 있으니 모든 걸 MS사에 맡기자는 일부 개발자의 생각은 상당히 위험하다고 보는 게 이건 마치 옛날 웹 브라우저는 IE로 통일/통합하는 게 웹개발에 시간을 줄이고 더 효율적이라는 주장과 하등 다를 게 없다. 소프트웨어는 경쟁을 통해서 서비스의 질이 개선되고 발전도 있다 소비자에게 득이되는 건 경쟁이고 백신 소프트웨어사들의 투명한 정보 공개와 교류이다.

- AV-Comparatives Data transmission in Internet security products

정보의 투명성에 대해 말하자면 어떤 데이터가 보안제품들을 통해 전송되는지도 중요하다. 2014년 이후 제품들에 관련해서 정보는 더 이상 없는데 Microsoft사의 경우 local IP address 까지 전송한다 실제로 local IP address 전송은 과도한 정보수집이라고 본다 또한 탐지성능도 경쟁제품들에 비해 좀 떨어진다.

다른 예로 2014년 AV-Comparatives 의 Data transmission in Internet security products 보고서 초기에는 ESET 제품의 local IP address 전송 부분은 그 자체가 미공개였다. 그 당시에 내가 ESET 제품을 사용했고 그걸 공론화해서 결국 local IP address 전송유무를 ESET에서 말했고 후에 보고서에 추가가 되었다 따라서 백신 소프트웨어의 취약점보다 백신 소프트웨어사에 사용자/소비자가 요구해야 할 것은 제품에 대한 투명성과 관리 그리고 최대한 제한적인 정보에 대해서만 전송요구이다. 제품에 대한 투명한 정보공개가 이루어진다면 결과적으로 데이터 수집이나 취약점에 대한 개선이 이루어지기에 일부 개발자나 미디어가 대책없이 백신 소프트웨어의 필요성 여부에 관여하기 보다 제품결함이나 투명성 부분에 집중하는게 옳은 방향성이 아닐까한다. 어차피 서드파티의 백신 소프트웨어의 선택과 사용유무는 개인의 선택사항이다.

개인에게 특정 회사의 제품을 설치하고 사용하라고 강요하는 것도 어이없는 일이지만 현실적으로 악성코드가 범람하는 시대에 별 대책없이 이게 더 낫다라는 식으로 개인에서 백신 소프트웨어를 제거하라고 주장하는 것도 바람직한 건 아니다.

솔직히 지금 가장 사용자/소비자가 우려해야 할 건 보안 소프트웨어보다 윈도우 10 자체라고 본다. 과도한 정보수집과 사용자가 관여할 수 있는 부분을 최소화 시키는 OS 에서 과연 안정성과 보안을 기대할 수 있는 걸까? 의구심이 들기 때문이다. 백신 소프트웨어가 필요한지 아닌지는 개인이 판단할 일이지만 OS와 소프트웨어 보안 그리고 정보수집에 대해서는 소비자의 적극적인 목소리가 필요한 시점이긴 하다.