ESET백신 이셋코리아
FAQ

홈 > FAQ





 
작성일 : 15-05-26 17:42
사전방역(proactive detection)과 사후방역(reactive detection)이 무엇인가요?
 글쓴이 : ESTC
조회 : 1,737  
현대의 안티바이러스 솔루션은 대부분 사전방역 기능과 사후방역 기능을 모두 포함하고 있습니다. 
말 그대로 사전방역이란 알려지지 않은 악성코드에 대한 방어 능력이며, 사후방역이란 이미 알려진 악성코드에 대한 방어 능력입니다. 

과거의 안티바이러스 솔루션은 대부분 사후방역 기능에 의존하여 악성코드를 진단했습니다만, 최근 인터넷의 발달에 따른 
제로데이 공격에 대한 방어와 더불어 ATP 공격(지능적이고 지속적인 위협)등에 악성코드가 이용됨에 따라 사전방역의 중요성이 크게 대두되고 있습니다.

물론, 알려지지 않은 공격을 방어할 수 있다는 측면에서 사전방역의 필요성을 무시할 수는 없지만, 사전방역은 다음과 같은 한계점을 가지고 있기 때문에 사용의 범위를 적절히 조절해야만 합니다.

1. 악성코드 시그니쳐 기반의 진단이 아니라 다양한 휴리스틱(백신 엔진 정의(패턴)에는 진단 근거가 없지만 악성 행동을 하는 파일들을 차단하는 기능) 진단 방법을 사용함에 따라 시스템의 리소스 점유율이 매우 높고 동작 속도가 느리다고 볼 수 있습니다. 따라서 저 사양의 PC나 작업 부하가 높은 PC에서는 사전방역 기능의 효과가 반감될 수 있습니다.

2. 무시할 수 없는 오진율(false-positive)입니다. 정교하게 잘 만들어진 휴리스틱 엔진이라 할지라도 시그니쳐 기반의 진단 방법에 비해 오진율이 높을 수 밖에 없습니다. 
예를 들어, 환자의 혈액을 분석해 감염 여부를 확인하는 방법이 사후방역이라 하면, 환자의 상태를 보고 감염 여부를 추측하는 방법이 사전방역의 기반이라 할 수 있는데, 진단의 정확도가 떨어질 수 밖에 없으며, 오진에 따른 부작용도 있을 수 있을 것입니다. 
이러한 오진 및 그 부작용을 줄이기 위해 이상 행위 발견 시 계속적으로 사용자에게 확인을 요청하게 되는데, 이는 사용자의 업무 효율을 크게 떨어뜨리는 요인으로 작용합니다.  

사후방역 만으로도 악성코드 진단율을 100%로 올릴 수 있다면 가장 이상적이겠지만, 현실은 그렇지 못합니다. 
새로운 악성코드가 피해를 입히기 전에 해당 악성코드의 샘플을 빠르게 입수한 후 이에 대한 시그니쳐를 DB화해야 하기 때문이죠. 
따라서, 사전방역과 사후방역의 비율을 적절히 조절하는 것이 현대 안티바이러스 솔루션의 성능을 결정짓는 중요한 요소라 볼 수 있습니다.      

ESET의 안티바이러스 솔루션은 최고의 사전방역/사후방역 기술을 최적의 비율로 적용함에 따라, 가장 가볍고 가장 빠르며 매우 정확한 진단 능력을 보유하고 있으면서도 제로에 가까운 오진율을 나타내고 있습니다. 
이는 ESET의 우수한 기술력을 잘 나타내고 있다고 볼 수 있을 것입니다.