2025년 안티바이러스 기능 및 성능 분석 연구는 PC와 모바일 안티바이러스 제품에 대해 단순히 탐지 성능 분석에 초점을 맞추기보다는 여러 중요 요소를 고려하고, 발표와 블로그 등 이메일과 유선 등 다양한 채널에서 받은 실질적 사용자 의견/궁금증을 반영하여 진행하였습니다. 이렇게 연구팀에서 중요하게 고려한 요소는 그림 1과 같으며 특히, 안티바이러스의 탐지 성능에 있어 필수적인 기능으로 신속한 업데이트와 유지보수에 대해 장기간 반복적인 테스트를 통해 기능에 대해 집중적으로 살펴보았습니다.
그림 1. PC/모바일 안티바이러스 중요 요소
또한, 지난 연구와 크게 달라진 사항으로는 성능 평가에 앞서 사용자와 기업의 의견을 수렴한 것이라 할 수 있습니다. 이는 최근 저희 블로그나 관련 보도 자료를 통해 다양한 의견을 받고 있었고, 관련 연구를 기반으로 발표를 통해 받았던 질문을 정리하여 본 연구에 적극 반영했다는 것입니다. 다양한 질문을 큰 카테고리로 정리한 결과는 그림2와 같습니다.
그림 2. 사용자와 기업의 안티바이러스에 대한 궁금증
본 안티바이러스 기능 및 성능 테스트에서는 PC와 모바일을 대상으로 나누어 각각 2~3개의 성능 테스트 시나리오를 아래와 같이 정의하고 테스트를 진행하였습니다.
PC
1) 분기 별(3개월) 신규 악성코드 실시간 및 탐지 정확도
2) 유료/무료 버전 안티바이러스 테스트(단일 분기)
3) (분기) 실행파일(EXE), 문서파일(doc, ppt, xls, pdf 등), 랜섬웨어 탐지 성능 비교
Mobile
1) 1년간 수집된 악성 앱에 대한 실시간 및 정밀검사 테스트
2) 그룹A/그룹B 모바일 안티바이러스 테스트(VirusTotal 엔진 제공 여부)
PC/모바일 안티바이러스 성능 테스트 대상 및 방법
테스트에 사용할 PC 안티바이러스 제품은 개인 사용자 버전의 제품으로 선정하였으며, 이들 중 국내 및 국외 시장 점유율이 높고 Windows 운영체제에 설치가 가능한 제품에서 무료와 유료 안티바이러스 버전이 모두 있는 제품으로 선정하여 테스트를 진행하였습니다.
- (PC 기준1) 유료/무료 버전이 모두 있는 안티바이러스 제품
- (PC 기준2) 국내 및 국외 시장 점유율이 높고 Windows 설치 가능 제품
⇒ 약 20개의 후보 제품에서 9개를 임의로 선정하여 테스트 진행
- (모바일 기준1) 다운로드 횟수 및 상위 별점 제품
- (모바일 기준2) Android 운영체제 및 태블릿 설치가 가능한 제품
- (모바일 기준3) VirusTotal 내 엔진 제공 및 미제공 제품 각 3개씩
⇒ 11개의 후보 제품에서 6개를 임의로 선정하여 테스트 진행
그림 3. 안티바이러스 성능 테스트 대상 선정 방법
(첫 번째 샘플) 최근 3개월 동안 무작위로 수집한 악성코드에서 매 분기 테스트 이전에 특정한 조건 없이 무작위로 선택하였으며, 악성코드가 PC에 다운로드 될 때나 PC에서 악성코드를 실행하여 실시간 탐지 성능 테스트로 사용됩니다.
(두 번째 샘플) 모바일 안티바이러스 테스트를 위한 샘플입니다. 모바일 안티바이러스 성능 테스트는 안드로이드 운영체제를 기준으로 수행하였으며, 2024년 한 해 동안 인터넷, VirusTotal, 보안 기관 및 기업 등 다양한 경로 수집된 앱 설치 파일인 APK 파일을 샘플로 사용하였습니다. 이 샘플 중 VirusTotal에서 제공하는 엔진 중 탐지 개수가 가장 많은 TOP 100개를 선정하여 직접 모바일 안티바이러스에 설치하고 탐지 결과를 확인하는 실험으로 사용됩니다.
(세 번째 샘플) 첫 번째 샘플로부터 수집된 악성코드에서 세 가지 유형(EXE, DOC, Ransomware)별 샘플을 분류하여 성능 테스트를 수행하였으며, 기준은 VirusTotal 내 엔진들로부터 얻은 확장자 정보(EXE, DOC)와 가장 많이 탐지된 탐지명(Popular)이 Ransomware인 악성코드를 기준으로 샘플을 분류하였다.
자체 크롤링 및 악성코드 DB 사이트에서 샘플 수집
- (샘플 기준1) 130만개 샘플 중 최근 3개월간 발생한 악성코드
- (샘플 기준2) EXE, DOC, Ransomware 유형별 악성코드
- (샘플 기준3) VirusTotal 내 질의를 통한 정상/비정상 데이터 검증
테스트 베드 구축은 지난 테스트와 같으며 보이는 그림4(상)와 같이 방화벽 내 네트워크 안에는 테스트로그가 저장되는 역할과 컨트롤러 역할을 하는 서버 각 안티바이러스가 설치된 10개의 PC와 모바일 기기를 데이터 케이블로 연결하여 구축하였습니다. 이전 테스트와 마찬가지로 사람의 개입을 최소화하기 위해 그림6(하)과 같이 시나리오별 행위를 수행할 수 있는 명령 수행 소프트웨어(Controller/Agent)를 이용해 악성코드 다운로드, 실행, 압축해제, 재부팅 등 그리고 모바일 기기를 ADB(Android Debug Bridge)로 연결해 PC 10대와 모바일 기기 10대를 테스트 할 수 있도록 준비하였습니다.
그림 4. (상) 테스트 베드 환경 구축, (하) 시나리오별 테스트 도구 및 시스템 개발
[실험 1] 최근 3개월간 수집된 악성코드 분기별 탐지율 비교(2025년 2~4분기, 3회)
첫 번째 테스트 시나리오는 안티바이러스의 신속성과 유지보수에 따른 탐지율 비교를 위한 테스트이며, 최근 3개월간 수집된 악성코드를 각 분기별 총 3회 진행하였습니다. 샘플은 자체적으로 수집한 샘플 중에서 랜덤으로 선정하였으며, 분기마다 약 300~500개 이상 테스트 샘플을 사용하였습니다.
해당 실험에서는 실행과 다운로드 형태로 테스트를 진행했으며, 다운로드 테스트 방법은 테스터가 컨트롤러를 통해 설정된 악성코드를 PC로 전송하며 전송 위치는 임의로 만든 임시 폴더입니다. 해당 위치에 악성코드롤 다운로드하여 탐지 결과를 분석하며, 실행 테스트는 사전에 예외 폴더에 있는 악성코드를 직접 실행하여 안티바이러스가 얼마나 잘 탐지하는지 확인하는 실험입니다.
해당 블로그에서는 분기별 실험에 따른 실시간 탐지와 다운로드 탐지 등의 결과만 공개하며, 상세 분석 결과에 대해서는 저희 센터 공식 메일로 문의하시면 친절히 답변드리겠습니다.
<실험 1 결과 – 실행>
2분기 악성코드 실행을 통한 실시간 탐지는 “F” 제품이 가장 높은 탐지율을 보였으며, 3분기와 4분기의 경우 “D” 제품이 각각 36% 52%로 가장 높은 탐지율을 보였습니다.
그림 5. 악성코드 실행 분기별 탐지율 (분기별 탐지율 상이함)
<실험 1 결과 – 다운로드>
2분기 다운로드를 통한 탐지 테스트는 “E”와 “J” 제품이 각각 48%로 가장 높은 탐지율을 보였고, 3분기의 경우 대부분 비슷한 탐지율을 보였으나 “D” 제품이 63%로 가장 높은 탐지율을 보였습니다. 4분기에서도 마찬가지로 안티바이러스 제품마다 약 50% 차이가 나는 결과가 있었지만 “E”와 “F”, “J” 제품이 98%로 가장 높은 탐지율을 보여주었습니다.
그림 6. 악성코드 다운로드 분기별 탐지율 (분기별 탐지율 상이함)
[실험 2] 무료 안티바이러스 vs 유료 안티바이러스 비교
두 번째 테스트 시나리오는 같은 제품의 안티바이러스의 유료와 무료 버전을 테스트하는 것입니다. 영리기업이라면 유료 버전의 안티바이러스 제품을 사용하는 게 당연하겠지만, 개인은 무료 또는 유료 버전의 제품을 스스로 선택하여 사용할 수 있습니다. 이는 견해에 따라 다른 데, 한 조사에 따르면 안티바이러스 제품을 당연히 무료 소프트웨어로 인식하고 있거나, 유료 안티바이러스 제품 구매 자체를 부담스러워하는 경우가 대부분으로 조사되었습니다. 또한, 응답자 중 많은 수가 기본 Windows에 설치된 디펜더 또는 무료 안티바이러스만으로도 내 PC/모바일 기기가 보호될 것이라는 생각을 가진 것으로 나타났습니다. 저희 연구팀은 무료 제품과 유료 제품 동일 제품을 각각 준비하여 동일한 샘플을 이용해 테스트를 진행했습니다. 테스트 방법은 이전과 동일하게 테스터의 컨트롤러를 통해 중앙서버에 있는 악성코드를 각 PC에 동시에 전달하도록 하여 테스트를 진행하였습니다.
<실험 2 결과 – 무료 안티바이러스 vs 유료 안티바이러스>
안티바이러스 제품의 유료와 무료 버전을 대상으로 기능 및 성능 테스트 진행하였고, 제품별 비교 분석에 대해 일반화한 총괄 분석 결과는 표 1과 같습니다.
표 1. 무료 안티바이러스와 유료 안티바이러스 비교
| 특성 | 무료 안티바이러스 | 유료 안티바이러스 |
|---|---|---|
| 비용 | 무료 | 유료 (구독 또는 일회성 구매) |
| 기본 악성코드 탐지/제거 | 지원 | 지원 |
| 실시간 탐지 기능 | 제한적 | 지원 |
| 고급 위협 탐지(예 : 클라우드. 머신러닝 등) | 제한적 | 지원 |
| 랜섬웨어 보호 기능 | 대부분 없음 | 지원 |
| 방화벽 | 대부분 없음 | 지원 |
| 이메일 보호 기능 | 대부분 없음 | 지원 |
| DB 및 성능 업데이트 | 우선 순위 낮음 | 우선 순위 높음 |
| 고객 지원 서비스(원격, Q&A 등) | 일부 미지원 | 지원 |
| 다중 기기 보호 | 대부분 단일 기기 | 다중 기기 지원(1~5↑) |
| 광고 | 있음 | 없음 |
| 시스템 성능 영향 (CPU, Memory 등) | 제품마다 다름 | 최적화 |
| 기타:VPN, 비밀번호 관리자 등 | 대부분 없음 | 일부 지원 |
무료 제품의 경우 그림 7 그래프 제품명에 (F)로 표시하여 구분하였고, 악성코드를 직접 실행하여 실시간 탐지 성능 결과를 나타내었습니다. 아래 결과에서 보시는 바와 같이 A 제품과 B 제품은 유료와 무료의 탐지율이 크게 차이 나지 않았지만, 대부분의 제품이 무료보다는 유료 제품이 확연하게 높은 탐지 성능을 보이는 것을 확인할 수 있습니다. 특히 C 제품의 무료 버전의 경우에는 거의 동작하지 않는 수준에서 탐지 성능이 저조했으며, D 제품의 경우 탐지율이 약 2배 이상 차이 나는 것을 알 수 있었습니다.
그림 7. 유/무료 안티바이러스 성능 테스트 결과 (유료 > 무료)
[실험 3] 분기별 랜섬웨어 탐지 성능 및 결과
안티바이러스가 얼마나 랜섬웨어에 대해 잘 탐지하고 대응할 수 있는지에 대해 우리 연구팀에서도 궁금하였고, 많은 블로그 독자와 기업(기관)에서 의견을 주어, 실험을 통해 분석한 결과를 블로그에 기 게재하였습니다. 실험 3에 대한 랜섬웨어 탐지 결과는 아래의 블로그에서 자세히 확인할 수 있습니다. [이전 블로그 바로가기]
[실험 4] 모바일 안티바이러스 성능 테스트(정밀검사, 실시간 검사)
4번째 실험은 모바일 안티바이러스 성능 테스트를 위한 실험입니다. 실험은 기존 PC와 같으며 다른 점은 직접 모바일 기기에서 케이블을 연결하여 ADB를 통해 모바일을 제어하도록 하였고, 악성 앱 설치와 다운로드 등 테스트 수행에 필요한 작업을 자동화하여 더욱 공정하게 테스트하도록 하였습니다. 모바일 기기는 인터넷이 가능한 WiFi를 연결해 모바일 안티바이러스가 온라인 상태가 되도록 하여 테스트를 진행하였으며, 테스트는 직접 앱을 설치해서 탐지 결과를 확인하는 실시간 테스트와 내장 메모리에 악성 APK를 옮겨놓고 스캔 검사를 돌리는 정밀검사 두 가지 타입으로 테스트를 진행했습니다.
<실험 4 결과 – 정밀검사>
그림 8. 모바일 안티바이러스 정밀검사 결과 (VirusTotal 엔진 제공 제품 > VirusTotal 엔진 미제공 제품)
<실험 4 결과 – 실시간 탐지>
그림 9. 모바일 안티바이러스 실시간검사 결과 (VirusTotal 엔진 제공 제품 > VirusTotal 엔진 미제공 제품)
글을 마치며
우리 연구팀은 이번 실험을 통해 개인 사용자와 기업들의 안티바이러스에 대한 궁금증을 상세히 파악할 수 있었으며, 궁금증에 대한 해결을 위해 직접 시나리오 생성하고, 테스트를 통해 다음과 같은 결론을 도출하였습니다.
각 분기별 테스트를 통해 분기에 따라 안티바이러스 제품마다 탐지율에 대한 탐지 성능 편차가 존재하였는데, 당연히 이미 출현한 악성코드에 대해 높은 탐지 성능을 보일 것으로 판단했지만 많은 안티바이러스 제품이 시간이 지날수록 탐지율이 점점 떨어지는 것을 확인할 수 있었습니다. 이는 최신 악성코드에 대해 더욱 신속 정확히 탐지해야 하기 때문에 위험도가 따라서 탐지 패턴을 가감(탐지 정책 업데이트)했으리라 유추해 보았습니다.
특히, 우리 연구팀은 이번 성능 테스트를 진행하면서 유료와 무료 안티바이러스 제품에 대한 성능 차이를 확인함으로써 무료 안티바이러스만 고집할 것이 아니라, 나의 소중한 PC와 개인정보 보호를 위해 개인용 유료 안티바이러스 제품 구매에 대해서도 고려해 봄 직하다고 생각하였습니다.
또한, 랜섬웨어의 경우 안티바이러스 제품으로 탐지가 되더라도 감염(암호화)의 위험이 있으므로 나에게 최적인 안티바이러스 제품 선정이 매우 중요하다는 것을 알 수 있습니다.
우리 연구팀은 지속해서 다양한 연구를 통해 안티바이러스 제품의 기능 및 성능을 테스트하고 방법을 공개할 예정이니, 연구에 좋은 의견과 많은 관심 부탁드립니다.
KAIST 사이버보안연구센터 사이버위협분석팀 연구원으로 악성코드 분석 프로그램 및 연구를 수행하고 있다.
KAIST 사이버보안연구센터 사이버위협분석팀 연구원으로 데이터 수집 및 분석, 소프트웨어 테스팅 연구를 주로 수행하고 있다.