국내 백신업체들이 앞다퉈 국제 보안 인증에 나서고 있는 가운데 테스트 기반이 되는 샘플의 신뢰성 문제가 제기되고 있다. 국내 보안업체 대다수가 보안 인증을 통해 기술력을 검증해 보이고자 하지만, 국내 업체에게는 관련 인증기관의 테스트 기준 자체가 공정한 평가를 받기에 한계가 있다는 것이다.
16일 국내 보안업계에 따르면 가장 논란의 대상이 되고 있는 인증은 바이러스 블러틴(VB)100이다. VB100은 테스트 기관에서 수집한 와일드 리스트 악성코드 샘플을 기본으로 평가 기준에 충족하는 제품에 인증을 부여하고 있다.
문제는 인증을 위해 테스트에 이용되는 악성코드 샘플이다. 주로 유럽이나 북아메리카에서 수집되는 악성코드 샘플을 테스트에 사용하고 있어 아시아 시장 상황과는 괴리가 있다.
국제 인증의 주요 테스트 기준이 되는 와일드 리스트는 전 세계적으로 2개 지역 이상에서 실제 감염 활동이나 보고 있었던 바이러스 목록을 공인 샘플로 활용한다. 이 때문에 공신력있는 국제 인증에서는 매우 중요한 척도로 자리 잡고 있다.
VB100인증은 진단율만을 측정해 인증을 부여하고 있다. 해외 샘플위주의 테스트를 통한 진단율에만 의존하고 있기 때문에 아시아 지역 샘플을 다량 보유하고 있는 국내 보안업체들은 정확한 기술력 인증을 받는데는 한계가 있다.
보안업계 한 관계자는 “지리적 특성상 보안업체들은 아시아 지역 샘플의 수집도 다량 이뤄지는데 인증기관에서는 아시아 지역 샘플을 제대로 반영하거나 고려하지 않고 있다”면서 “일부 샘플을 인증기관에 넘겨주기도 하지만 국내 보안업체들이 인증 테스트를 받을 때 다소 불리한 점이 있다”고 말했다.
국내 보안업체가 불합리한 인증 기준 아래 절대평가를 받고 있다는 점도 VB100인증의 한계점으로 지적되고 있다. 글로벌 백신업체들과 공평한 환경에서 기술력을 평가받을 수가 없는 것이다. 국내 보안업체들이 다량 보유한 아시아 지역 샘플에 대해서는 아예 평가 자체를 받을 수 없는 것이 현실이기 때문이다.
이로 인해 공정성에 문제를 제기하는 국내 보안업계 목소리가 높다. 지난 5일 안랩이 자사 제품에 AV테스트 인증을 획득했을 당시에도 김홍선 대표는 “국제인증이 서양권 기준에 맞춰져 국내업체들이 불리한 점이 있지만 국제 인증을 획득한 것은 의미있는 일”이라고 언급한 바 있다.
또 다른 보안업계 한 관계자는 “VB100인증을 획득했다고 내세우는 업체들은 대부분 해외엔진인 비트디펜더를 듀얼로 사용하는 경우가 많기 때문에 완벽한 자체 기술이라고 이야기하기도 어렵다”면서 “최근 VB100이 AV테스트 등의 국제 인증에 비해 공신력이 떨어졌다고 평가받는 이유도 인프라와 테스트에 대한 신뢰도가 하락하고 있기 때문일 것”이라고 말했다.
관련기사
- 안랩, PC통합보안 제품 AV테스트 인증 획득2012.04.16
- 이스트소프트 알약, VB100 국제인증 획득2012.04.16
- 카스퍼스키랩, 윈도 서버용 ‘VB100’ 국제인증2012.04.16
- 카스퍼스키랩, 윈도 서버용 ‘VB100’ 국제인증2012.04.16
국내 보안 업체들이 이러한 불만에도 보안 인증 테스트에 나서는 것은 테스트 시 발견된 취약점이나 개선사항을 통해 더 나은 서비스를 제공할 수도 있기 때문이다. 또한 해외진출을 준비하는 국내 보안업체들에게는 글로벌 경쟁력을 갖추기 위해 기술력을 증명할 수 있는 기회가 되고 있어 테스트를 받아야한다.
이호웅 안랩 시큐리티대응센터(ASEC) 센터장은 “아시아 악성코드 샘플 데이터가 테스트 인증 기관에 많지 않은 것은 사실이기 때문에 국내 보안업체들도 아시아 악성코드 샘플을 인증기관에 보고하는 등 인증에 신뢰도를 높여 공정하게 기술력을 평가받고자 노력하고 있다”고 말했다.
