카스퍼스키의 SDT Relocation
이번 마소 5월호 "백신을 공격하는 악성코드" 편에서 마감 이후에 갑자기 필자메모를 하나 추가해달라길래, 작성해 드렸는데 막상 잡지가 나오고 난 뒤에 보니 그것이 편집 당해 있네요 뭫미 ;;; 재미없는 글이지만 아깝기도 하고 그 일을 고자질도 할 겸(이모 기자님 미워요 ㅠㅠ) 이렇게 블로그에 붙혀넣습니다 :)
Kaspersky 의 SDT Relocation
이번 코드게이트 2009 발표시에 크리스는 악성코드의 비 공식화된 행동이 잦아짐에 따라, 안티바이러스 개발자들의 악몽이 시작되는 것이라 표현하였다. 악몽이라니 그것은 무슨 의미일까? 악성코드는 백신을 공격하거나, 탐지되지 않게 우회할 때 프로그래밍 방법론에 있어서 정석적인 방법이 아니라 비 문서화 된 기술을 주로 이용한다. 이렇게 상대가 Undocumented 하게 구현하여 활개치고 다니게 되면, 백신을 개발하는 입장에서도 그런 변칙적인 활동을 캣취하기 위해서는 같이 Undocumented 한 기술을 사용할 수 밖에 없다.
여기서 바로 플랫폼의 한계라는 것에 대해 부딪치게 된다. 악성코드는 버그가 좀 발생하게 개발해도 무방한 프로그램이고 사용자의 PC 에 문제를 일으켜도 무시하면 그만이다. 하지만 안티바이러스는 여러 사용자의 PC에서 안정적으로 실행되어야만 하고, 문제 발생시 많은 클레임을 겪게 된다. Undocumented 기술을 사용하자니 문제가 발생하여 고객센터에 난리가 나고, 그 기술을 사용하지 않으려니 악성코드를 잡지 못하는 등 개발자들은 가치관의 혼동이 일어나게 된다.
이런 연유로 Undocumented 에 대해 안티바이러스 개발자들의 악몽이라고 표현하고 있다. Undocumented 기술이라는 것은 비 표준화된 방법이고 문서화 된 것이 없기 때문에 언제 어디서 폭탄이 터질 지 전혀 알 수 없는 위험한 기술이다. 아무렇게나 만들어도 그만인 악성코드와 안정성도 함께 고려해야만 하는 백신 개발자가 짊어지고 가는 Undocumented 사용 지불에 대한 무게는 너무도 차이가 크다. 그런 의미에서 Undocumented 한 기술의 하나인 SDT 릴로케이션 기법을 완전히 안정화시켜 정식 기능으로 사용하고 있는 카스퍼스키 안티바이러스는 정말 대단하다고 생각된다.
