BitDefender Antivirus Free Edition | 저사양에선 비추천
다량의 멀웨어 앞에서 낭패를 보인 비트디펜더
<BitDefender Antivirus Free Edition PCMark 7> |
오늘은 거두절미하고 테스트 결과에 대한 소감부터 말해야겠다.
BitDefender Antivirus Free Edition은 ‘후오롱 인터넷 시큐리티(Huorong Internet Security)’를 테스트한 이후 가장 무거운 안티바이러스 소프트웨어다. 비록 PCMark 7 점수는 그렇지 않다고 말하지만, BitDefender Antivirus Free Edition은 실시간 감시 프로세스가 다량의 멀웨어(악성 코드) 파일을 발견했을 때 vsserv.exe라는 BitDefender Security Service 프로세스가 CPU 사용률 100%에서 내려올 생각을 하지 않는 문제를 일으켰다. 어딘가에서 병목 현상을 일으킨 것으로 보인다.
zip 형식으로 압축된 멀웨어 샘플 2,000개를 압축 푸는 시간도 매우 느렸고, 압축 푸는 작업이 다 끝나는 동안 비트디펜더의 실시간 방어 기능이 탐지 및 제거한 악성 코드 파일은 고작 35개뿐이었다.
보통은 이 상태에서 실시간 방어 기능이 제대로 작동한다면 계속해서 악성 코드 파일 수가 줄어야 한다. 지금까지 내가 수행한 모든 안티바이러스 실시간 감시 테스트에서 그래왔다. 그러나 비트디펜더 무료 버전은 35개의 악성 코드를 제거한 것을 끝으로 더는 임무 수행을 하지 않았다. 그런데도 vsserv.exe의 CPU 사용률은 100%에서 내려오지 않았다.
병목 현상은 멀웨어 파일을 수동 검사로 제거하고 나서도 계속되었고, 윈도우(이 경우는 VMware 가상머신)를 리부트할 때까지 지속하였다. 이뿐만 아니라 비트디펜더 업데이트 프로세서인 downloader.exe가 작동할 때도 50%의 CPU 사용률을 보여주었다(CPU가 두 개니까 50% 사용률은 1개의 CPU를 독차지한 셈이다).
안티바이러스(또는 안티멀웨어) 소프트웨어에 대한 지난 몇 차례 테스트에서 비트디펜더 엔진을 사용한 제품이 유독 무거운 인상을 주었는데, 원본을 사용해보니 그 한결같은 무거움이 어디서 오는지 알 것 같다.
[테스트 설정]
• VMware에 설치한 윈도우 이미지: Windows 7 Ultimate SP1 AIO x864 Lite by TheOprekin(2020년 4월 업데이트까지 완료된 이미지)
• VMware 하드웨어 설정: 2CPU, 4G Ram, 20G 동적 HDD(On SSD)
• PCMark 7 v1.4.0, Ransim v2.1.0.3
• 멀웨어 샘플은 「GridinSoft Anti-Malware 테스트 및 간단한 리뷰」 이후 2,000개 파일 변동 사항 없음
• BitDefender Antivirus Free Edition v1.0.17.178
비트디펜더 엔진이 무겁게 느껴지는 이유 1
<BitDefender Antivirus Free Edition 설치 용량> |
멀웨어 샘플 파일 수는 2,000개지만 2,000개의 총용량은 344MB 정도밖에 안 되는 작은 파일들이다. 도대체 무엇이 비트디펜더 실시간 방어 기능을 먹통으로 만들었을까?
전문가가 아니라 뜬구름 잡는 소리일 수도 있지만, 기본적인 기능만 있는 안티바이러스 소프트웨어가 하드디스크에서 차지하는 공간이 무려 2GB나 된다는 것을 볼 때, 악성 코드 탐지 프로세스를 지나치게 데이터베이스에만 의존하는 것 같다는 생각이 든다 (비트디펜더 엔진을 사용한 알약의 설치 용량도 1GB에 가깝다). 그러니까 멀웨어를 패턴, 행동, 행위 분석을 기반으로 한 지능적인 탐지(휴리스틱 탐지 기법Heuristic Detection Tech 같은)가 아니라 초창기 안티바이러스 제품처럼 바이러스 DB(파일 기반의 탐지 기법File Base Detection Tech)에만 의존한다는 말이다(이 두 기법에 대한 자세한 설명은 「[악성코드 탐지-2] 파일기반의 탐지 기법」 참고).
악성 코드의 행위, 행동, 패턴 인식을 기반으로 한 탐지는 기존 악성 코드의 패턴이나 코드가 완전히 바뀌지 않는 이상 변종이 생겨도 기존의 DB로 탐지해낼 가능성이 크다. 하지만, 특정 형식의 시그니처(Signature)나 헥사코드(Hex Code)만으로 악성 코드를 탐지한다면 코드가 조금만 변해도 새로운 DB를 추가해야 한다. DB가 크면 클수록 그것을 이용해 악성 코드 파일을 분석하고 탐지하는 데 소모되는 자원도 증가할 것이다. 비효율적이다. 악성 코드 하나를 진단하고자 차례나 색인이 없는 두꺼운 사전을 뒤져 시그니처를 찾는 격이랄까?
비트디펜더가 꼭 그렇게 작동한다는 뜻은 아니고, 오늘 테스트하면서 겪은 증상을 보면서 퍼득 그런 생각이 떠올랐다는 말이다(혹시 몰라서 한 번 테스트를 수행했는데 마찬가지였다). 하지만, 정말로 시그니처에만 의존하는 안티바이러스라면 스마트한 시대에 스마트하지 못한 제품이다.
비트디펜더 엔진이 무겁게 느껴지는 이유 2
<단순한 인터페이스 및 설정> |
두 번째로 생각할 수 있는 것은 ‘치료’ 기능이다.
「무료 백신 알약 | 실시간 감시 테스트」에서 봤듯 비트디펜더 엔진을 사용한 알약이 무거운 이유는 바로 치료하는 데 시간이 오래 걸린다는 것이었다 (비트디펜더 무료 버전의 실시간 방어 기능은 멀웨어를 발견했을 때 ‘치료’, ‘삭제’, ‘격리’를 선택하는 설정이 없고, 일단 치료부터 시도하는 것 같다). 보통 안티바이러스 소프트웨어에 있어서 치료란 멀웨어를 삭제하거나 격리소로 이동하는 것이다. 하지만, 비트디펜더는 실제로 치료를 시도하는 것처럼 보이고, 수동 검사를 하면서 몇몇 파일은 그렇게 치료되어 더는 멀웨어로 인식되지 않는 것을 발견했다.
물론 치료가 되면 원본 파일을 살릴 수 있다는 장점이 있지만, 대부분의 멀웨어가 외부에서 온 파일임을 고려하면 치료해서 살릴 필요가 없는 파일들이다. 일단 격리소로 이동한 다음 사용자에게 치료 여부를 선택하게 한다면 실시간 보호 프로세스의 부담을 줄이고, 그만큼 리소스 사용도 줄일 수 있을 것이다.
쿼드 코어 이하 사양엔 추천하고 싶지 않은 비트디펜더 무료 버전
<뭐가 'THE LIGHT WAY'라는 말이지?> |
오늘 테스트 결과만을 놓고 볼 때, 비트디펜더 무료 버전은 듀얼 코어급 컴퓨터에서는 강력하게 비추천하는 무거운 안티바이러스 제품 이며, 쿼드 코어에서도 다량의 파일을 수시로 다루는 사용자라면 역시 추천하지 않는다.
설령 컴퓨터 사양이 좋더라도 생각해보자. 악성 코드 탐지율이 크게 차이가 나지 않는다면, 설치 용량이 2GB 정도 되는 안티바이러스 제품과 수백 메가 미만의 제품 중 어느 것을 선택하는 것이 합리적이겠는가? 혹은 비트디펜더의 탐지율이 높더라도(높은 것이 사실이지만) 사용자는 가성비를 고려해야 한다. 이 경우엔 윈도우가 느려지는 것을 감수하면서까지 비트디펜더를 사용해야 할 필요가 있는 지를 놓고 한번쯤은 고민해야 한다는 말이다. 카스퍼스키 무료 버전, WiseVector StopX, 한국산을 고집하다면 V3 Lite 같은 대안이 있는데도 말이다.
사정이 이렇고 보니 Ransim 테스트를 통과한 것도 랜섬웨어 행위를 감지했다기보다는 엄청난 데이터베이스의 위력은 아닐까 하는 의심이 든다. 물론 이렇게라도 방어에 성공했으니 다행이긴 하다. 하지만, DB에만 의존하면 한 번 세상에 공개된 악성 코드는 방어할 수는 있어도, 새로운 악성 코드에 노출되었을 땐 속수무책일 수도 있다. 휴리스틱(heuristic) 엔진이 괜히 있는 것이 아니다.
엄청난게 유명한 제품이 사용을 만류하고 싶을 정도의 처참한 결과를 내놓았으니 내 테스트가 의심스럽기도 하다. 어쩌면 오늘의 결과는 무료 제품에만 국한된 것일 수도 있다. 고로 다음번엔 유료 제품 Bitdefender Antivirus Plus 2020 평가판으로 테스트해볼 요량이다. 참고로 비트디펜더 제품은 윈도우 7 시절에 AMD 시스템에서 블루스크린을 띄우는 치명적인 버그가 있었기 때문에 내가 지금껏 사용하지 않았다.
비록 보잘 것 없지만 광고 수익(Ad revenue)은 블로거의 콘텐츠 창작 의욕을 북돋우는 강장제이자 때론 하루하루를 이어주는 즐거움입니다
0 comments:
댓글 쓰기
댓글은 검토 후 게재됩니다.
본문이나 댓글을 정독하신 후 신중히 작성해주세요