최근의 악성코드는 하루가 멀다 하고 신·변종이 대량으로 출현하고 있고, 공격 기술과 방식도 점점 정교해지고 있습니다. 그렇다면 이에 대응하는 안티바이러스(백신) 제품의 탐지 성능은 제조사의 홍보나 마케팅 자료에서 제시하는 것처럼 실제로도 드라마틱한 대응 효과와 점점 성능이 좋아지고 있을까요?
저희 연구팀은 단발성 테스트가 아닌, 장기간·분기별 동일 조건으로 평가를 통해 이 질문에 답하고자 하며, 본 글에서는 2024년 3분기부터 2025년 4분기까지 수행한 PC 안티바이러스 탐지 성능 테스트 결과를 종합적으로 분석하였습니다.
안티바이러스 성능 테스트 악성코드 및 평가 시나리오
테스트에 사용한 악성코드는 분기별 3개월 동안 자체 및 악성코드 DB 사이트에서 수집한 악성코드를 무작위로 선정하여 테스트하였고, 수집된 악성코드는 실행파일 악성코드, 문서파일 악성코드, 랜섬웨어로 구분하여 성능 테스트를 수행하였습니다.
그림 1 PC 안티바이러스 성능 테스트
테스트 대상 안티바이러스 및 평가 테스트베드
테스트에 사용한 PC 안티바이러스 제품은 개인 사용자 제품으로 선정하였고, 이들 중 국내·외 시장 점유율이 높고 Windows 운영체제에 설치가 가능한 제품으로 선정하였으며, 총 20개 후보군 중 랜덤하게 9개 제품을 선정하였습니다. 본 블로그에서는 제품명 대신 A~I로 표기하였습니다.
테스트베드는 방화벽 내 각 안티바이러스가 설치된 9대의 PC, 테스트 로그 저장과 컨트롤을 위한 PC 1대로 구성하고, 안티바이러스가 설치된 9대의 PC에는 사람의 개입을 최소하기 위하여 악성코드 다운로드 및 실행을 자동화 수행하는 자체 개발한 Agent 프로그램이 설치되고 테스트 로그가 저장되는 1대의 PC에는 9대의 PC에 설치된 Agent에 명령과 악성코드를 전달을 위한 Controller를 설치하여 테스트를 수행하였습니다.
다운로드 탐지 성능 분석
전체적인 안티바이러스들에 대한 각 분기별 다운로드 탐지율을 살펴보면 전체적으로 탐지율이 상승하고 있으며, 2024년 대비 2025년 평균 탐지율이 뚜렷하게 상승하고 있음을 볼 수 있습니다. 2024년에는 50% 정도의 탐지율이 2025년에는 70% 이상 탐지율이 나타나고 있으며, 특히 랜섬웨어와 실행파일(exe)의 경우 90% 내외의 탐지율을 보이고 있습니다. 하지만 문서형 악성코드 다운로드 탐지율은 여전히 50% 내외의 탐지율을 보이고 있어 문서형 악성코드에 대한 주의가 필요할 것으로 판단됩니다.
각 제품별 탐지율을 살펴보면 C, D, E, F, I 제품이 가장 안정적으로 높은 탐지율을 보이고 있으며, 이들 제품은 2024년 말부터 70~80% 이상 안정적으로 유지하고 있고, 2025년 4분기에는 다수 제품이 90%를 초과하는 탐지율을 보이고 있습니다. 이 수치를 기반으로 판단해 보면 이들 제품군은 탐지 시그니처, 클라우드 평판 분석 등을 이용하여 악성코드 다운로드를 사전에 차단할 수 있는 기술이 적용되었을 것으로 추정할 수 있습니다.
A, B 제품의 경우 초반에는 낮은 탐지율을 보였으나 지속적으로 개선하여 최근에는 80% 이상의 탐지율을 보이고 있으며, G, H의 경우 분기별 편차가 크고, 특히 H 제품은 최근에는 탐지율이 올라가기는 했으나 전반적으로 낮은 탐지율을 보여 구조적인 한계가 존재할 가능성이 있을 것으로 조심스럽게 예상되어 집니다. 그러나 2025년 하반기로 갈수록 제품 간 편차가 줄어드는 경향을 보이고 있어 전체적으로 성능이 향상됨을 알 수 있습니다.
H 제품의 경우 2024년 3분기에는 다운로드 테스트에서 제외되었는데, 이는 다운로드시 파일 탐색기로 다운로드 폴더에 위치하지 않으면 탐지되지 않는다는 점을 인지하지 못하고 테스트를 수행한 실수가 있었기에 2024년 3분기는 제외하고 그 이후 성능 테스트 결과만 집계하였습니다.
실시간(실행) 탐지 성능 분석
실시간(실행) 탐지 성능은 다운로드 탐지 성능 대비 절반 이하 수준으로 낮은 탐지율을 보이고 있고 분기별 변동폭이 크고 일관성이 부족하며, 일부 유형은 오히려 탐지율이 하락하는 형태를 보이고있습니다. 또한 문서형 악성코드의 경우 낮은 탐지율로 미루어 짐작하건대 매크로·스크립트 기반 공격에 대한 탐지의 미흡함이 확연히 들어나는 것으로 판단됩니다. 다만 실행 파일(exe) 탐지율은 잠시 탐지율이 하락하는 듯했으나 점차 개선되는 경향을 보이고 있습니다.
안티바이러스 제품별 실시간 탐지 성능을 살펴보면 C와 D가 상대적으로 우수한 성능을 나타내고 있고 A, B, G, H의 경우 10% 대의 낮은 성능을 보이는 기간도 존재하여 실시간 탐지에서는 매우 취약함을 나타내는 것으로 보입니다. 이는 행위 분석 시간 부족, 오탐에 대한 부담 등으로 행위 기반 탐지 엔진이 적극적으로 차단을 수행하지 않는 것으로 추정해 볼 수 있습니다.
글을 마치며
본 악성코드 성능 테스트 결과를 통해 안티바이러스의 성능은 점차 좋아지고 있는지에 대한 궁금증을 조금이나마 해소할 수 있었으며, 안티바이러스 제품들이 다운로드 탐지에 대해서는 전반적으로 기술이 향상되고 있음을 확인할 수 있었고, 제품 간 편차도 줄어드는 것을 확인하였습니다. 랜섬웨어 및 실행파일(exe) 파일에 대한 대응력이 향상되고 있으나, 여전히 문서형 악성코드 다운로드에 대해서는 낮은 탐지율을 보이고 있어 아쉬움이 남는 포인트입니다. 또한 안티바이러스 제품들이 실시간(실행) 탐지에 대해서는 여전히 한계점을 보이고 있으며, 특히 문서형 악성코드, 지연 실행형 악성코드, 랜섬웨어 초기 행위 차단에 대한 혁신적인 기능 보완이 필요할 것으로 보여집니다.
앞으로도 저희 연구팀은 분기별 동일 조건 테스트와 다양한 테스트 시나리오를 통해 안티바이러스 제품에 대한 성능을 테스트하고 결과를 지속적으로 공유할 예정이니 많은 관심 부탁드립니다.
KAIST 사이버보안연구센터 사이버위협분석팀 연구원으로 데이터 수집 및 분석, 소프트웨어 테스팅 연구를 주로 수행하고 있다.
KAIST 사이버보안연구센터 사이버위협분석팀 연구원으로 악성코드 분석 프로그램 및 연구를 수행하고 있다.
KAIST 사이버보안연구센터 사이버위협분석팀 연구원으로 악성코드 분석 프로그램 및 연구를 수행하고 있다.