2022년 11월 AV-Comparatives는 엔터프라이즈 보안을 위한 지능형 위협 보호 테스트로 네트워크를 제어하기 위한 공격 방법 등을 평가하였습니다.

테스트는 JavaScript, PowerShell, Visual Basic 등 스크립트 언어를 활용하는 파일리스 공격을 활용하여 컴퓨터 시스템에 대한 접근 권한을 얻는 APT 공격과, 안티바이러스 탐지를 피하기 위해 예상되는 프로세스를 활용하여 메모리에서 실행되는 파일리스 공격을 포함한 총 15가지의 공격 기법으로, 현 시점에서 대부분의 컴퓨터 사용자들이 사용하고 있는 Windows10 64비트 운영체제 대상으로 진행되었습니다.

Bitdefender를 포함한 Acronis, Avast, CrowdStrike, ESET, G Data, Kaspersky, Microsoft 및 VMware 등 9개 기업들이 테스트에 참여하였으며, 각 벤더의 엔터프라이즈 보안 제품에 대한 평가가 진행되었습니다.

각 벤더의 솔루션들이 초기 공격 단계에서 공격을 얼마나 효과적으로 차단하는지 평가 되었으며, 보호 기능에 중점을 두기 위해 탐지 및 대응 기능은 평가항목에서 제외되었습니다.

평가 기준

평가는 AV-Comparatives에서 사용되는 15가지 공격에 대해서 주로 보호 기능에 중점을 두었으며, 100% 수동으로 진행되었습니다.

여러 가지 조건을 포함하는 Lockheed Martin 사이버 킬 체인 프레임워크를 따라 Windows 운영 체제의 표준 사용자 계정을 대상으로, Metasploit, PowerShell Empire 및 상용 프레임워크와 같은 익스플로잇 프레임워크와 HTTP, HTTPS 및 TCP를 비롯한 다양한 통신 등이 테스트에 사용되었습니다.

테스트에는 메모리에서 실행하여 기존 안티바이러스 솔루션을 쉽게 우회할 수 있는 파일리스 공격이 포함되었습니다. 이러한 공격은 흔히 일반적으로 사용되는 Office매크로, WMI호출, JavaScript, PowerShell 등을 통해 전달됩니다.

그리고 APT에 대한 보안 솔루션의 기능을 평가하고, 정확한 평가를 위해 제품이 특정 작업을 과도하게 차단하는지에 대한 항목도 테스트에 포함되었습니다. 여기서 중점적으로 보아야할 점은 시스템에 설치된 소프트웨어의 취약점 악용과 시스템 원격 제어를 위한 C2(Command & Control)를 설정하는 능력입니다. 공격이 시스템의 메모리에 로드되면 표준 HTTP, HTTPS 및 TCP 프로토콜을 통해 C2 세션을 설정하려고 시도합니다. 이를 통해 공격자는 사용자들의 방화벽 및 네트워크 보호를 우회할 수 있습니다. C2 연결이 설정되면 공격자는 피해자의 네트워크를 제어할 수 있으며 데이터, 플랜트 랜섬웨어 및 키로거를 유출하고 피해자의 웹캠에 접근할 수 있습니다.

평가 결과 분석

AV-Comparatives 테스트는 보안 솔루션이 지능형 공격으로부터 시스템을 보호하는 능력을 평가하며, 15가지의 테스트 시나리오는 각 보안 솔루션의 예방 항목을 평가하는데 사용됩니다.

지속적 위협에 대한 오탐을 구별할 수 없는 제품은 사용자들의 보안에 큰 지장을 줄 수 있기 때문에 평가 항목에 중요한 요소 중 하나입니다.

정확한 탐지가 안된다면 불필요한 시간을 소모하게 되고 보안 운영에도 어려움이 있습니다.

비트디펜더의 평가 결과

아래 테스트 시나리오를 참조해보면 비트디펜더는 15개의 모든 테스트 시나리오에서 최고 점수를 기록했고, 하나를 제외한 모든 시나리오에서 C2 연결을 성공적으로 차단했습니다.

AV-Comparatives에서 제공하는 차트에서 탐지가 발생한 시기(실행 전, 실행 중, 실행 후)를 자세히 살펴보면 비트디펜더는 테스트의 53%에서 실행 전에 위협을 중지했습니다. 비교를 위해 다른 기업의 평균은 27% 정도였으며 일부 기업들은 실행 전에 위협을 탐지하지 못했습니다.

비트디펜더는 공격 예방율이 무려 92%를 기록했고 다른 기업의 평균은 72%의 결과를 기록했습니다. 이 결과는 기업의 보안 위험이 4배나 높게 노출될 수 있다는 의미입니다.

실행 전 단계에서 공격을 차단할 수 있는 보안 솔루션은 시스템을 안전하게 유지시킬 수 있고 또한 공격자가 침입하기 어렵습니다. 아래 표를 보게 되면 비트디펜더는 사이버 공격에 대한 가장 효과적인 방어를 제공합니다.

실행 전(PRE) : 위협이 실행되지 않고 시스템에서 비활성화된 경우

실행 시(ON) : 위협이 실행된 이후

실행 후(POST) : 위협이 실행되고 인식된 경우

결론 비트디펜더는 사이버 공격에 대한 최고의 예방 기능과 파일리스 공격에 대한 보호 기능을 제공하고 있습니다. 또한 악의적인 행위가 탐지되면 실행 전 단계에서 프로세스를 종료하여 피해가 발생하지 않도록 합니다. 추가적으로 비트디펜더 XDR은 최고의 예방 기능과 함께 시스템, 네트워크, 클라우드 워크로드, ID 및 생산성 애플리케이션 전반에서 의심스러운 활동을 식별하는 강력하고 확장된 탐지 및 대응 도구도 제공하고 있습니다. 결론적으로 비트디펜더는 사이버 위협 보호를 원하는 기업을 위한 최고의 선택입니다.