본문 바로가기
AhnLab 칼럼

같은 얼굴 다른 이름, 악성코드 작명법은?

by 보안세상 2020. 4. 21.

2009.11.09

 


왜 백신은 다른 진단명을 가질까 ?
‘Kido’, ‘Conficker’, ‘Downadup’, ‘DOWNAD’는 V3에서 Win32/Conficker.worm.173318 로 진단하는 샘플의 다른 백신 제품의 진단명이다.  악성코드명으로 보면 같은 이름에도 접두어나 변형이 각 업체마다 제각각이라 통일성을 찾기 힘들다. 악성코드 진단명은 왜 회사마다 다르며 통일방안은 없을까?

 

 

제각각인 악성코드 진단명
각 백신에서 사용하는 악성코드 진단명이 다른건 업체별로 고유의 악성코드 진단명명법이 있기 때문이다. 크게 악성코드 진단명은 악성코드에 대한 특징을 나타내는 접두어, 악성코드 이름, 변형으로 나뉠 수 있다. 접두어는 회사별로 표시 방식이 다르며 악성코드 진단명은 해당 악성코드를 분석한 분석가가 결정하며 분석가가 다를 경우에 진단명이 달라질 수 있다. 변형은 해당 업체에서 처리되는 순서대로 부여된다.

 

 

진단명 통일 시도
악성코드 진단명 통일은 1991년 한차례 이뤄졌다. CARO (Computer Antivirus Researchers Organization) 멤버들이 컴퓨터 바이러스 이름안(computer virus naming scheme)를 만든다. 일부 업체는 이 기준에 따랐지만 새롭게 등장하는 다양한 악성코드를 표현할 수 없는 문제가 발생했고 닉 피츠제랄드(Nick FitzGerald)는 2002년 AVAR 컨퍼런스에서 새로운 진단명안을 마련한다. 

 


마이크로소프트, F-시큐어 등의 업체에서 이 안과 유사한 방식으로 진단명을 짓고 있다.

 

 


진단명 통일의 어려움

진단명 통일에는 다음과 같은 어려움이 존재한다.

 

첫째, 각 회사마다 고유의 명명법이 존재한다.
현재 각 백신업체는 고유의 명명법이 존재하며 공통 진단명을 이용하기 위해서는 표준안이 만들어지고 이 표준안을 모든 업체가 따라야 한다. 하지만, 현실적으로 각 업체는 자신들의 방식을 유지하고 개선하려하고 있다.

 

둘째, 동시에 발견된 악성코드는 진단명이 다를 수 있다.
명명법 표준안이 만들어져도 결정적인 악성코드 이름이 달라지면 소용 없다. 하지만, 새로운 악성코드가 여러 업체에서 동시에 접수되었을 때 다른 회사가 어떤 진단명을 사용하는지 참고할 수 없다면 제각각인 이름이 정해질 수 있다.

 

셋째, 한번 정해진 이름을 바꾸기 어렵다.
악성코드 진단명이 한번 정해지면 제품에 반영되고 홈페이지 정보로 올라간다. 필요에 따라 언론에 보도자료로 배포되기도 한다. 한번 정해진 악성코드 이름이 언론을 통해 알려진 경우 혼란이 커져 더더욱 변경하기 힘들다.

 

넷째, 악성코드가 너무 많이 발견되고 있다.
진단명이 동일해도 하위에 붙는 변형 정보가 달라질 수 있는데 가장 큰 이유는 변형 정보를통일하기 어려울 만큼 현재 악성코드가 너무 많이 발견되고 있다. 따라서, 진단명까지 통일해도 어떤 업체에서는 Foo.C 라고 명명하고 다른 업체에서는 Foo.F라고 지을 수 있다.

어렵지만 가야할 길
대다수의 사용자들은 악성코드명에 크게 관심을 가지지 않는다. 하지만, 악성코드 진단명에 관심을 가지거나 같은 회사에서 여러 백신 프로그램을 사용할 경우 같은 악성코드를 다르게 불러 혼란이 발생할 수 있다. 악성코드 진단명 통일안은 계속 시도되고 있지만 쉽지 않는 것도 현실이다.



악성코드 분석가 차민석

안철수연구소에서 악성코드 분석 및 연구를 하고 있으며 “안랩 칼럼니스트”로 활동 중이다. ‘쿨캣’이라는 필명으로 더 알려져있으며, 보안 업무 외 정치, 경제, 사회, 역사, 상식 등에도 해박한 지식을 갖추고 싶어하는 화려하진 않지만 알찬 30대 미혼 청년이다.

위 글은 안랩닷컴  

  페이지에서도 제공되고 있습니다.
안랩닷컴 보안정보 中 보안포커스 / 전문가 칼럼
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=2&menu_dist=3&seq=15231&columnist=0&dir_group_dist=0&dir_code=보안에 대한 더 많은 정보 안랩닷컴에서 찾으세요 :D