정탐, 미탐, 오탐 이란?

보안에 있어서 악성 코드 및 악성 파일 등 위협이 되는것을 탐지하는 구분은 4가지가 존재한다.

아래 표와같이 구분된다.

 

	Positive	Negative
True	True Positive	False Negative
False	False Positive	True Negative

표의 단어의 뜻을 하나씩 살펴보자면 다음과 같다.

True : 옳다, 정답

False : 틀리다, 오답  
Positive : 긍정적

Negative : 부정적 
이런 단어의 뜻을 합해서 생각하면 True Positive - 긍정적인 사실, True Negative - 부정적인 사실, False Negative - 부정적인 틀림, False Positive - 긍정적 틀림이라는 의미를 가지고 있으며, 실제 단어의 의미 그대로 사용된다.

 

 

 

 

이 4가지는 정탐, 오탐, 미탐으로 분류된다,

1. 정탐
 - True Positive(TP)와 True Negative(TN)는 긍정적인 사실과 부정적인 사실이라는 뜻, 정탐을 의미 
 - 긍정적이건 부정적이건 옳게 탐지했기 때문에 정탐이라 할 수 있다.  
 - 메일로 예를 들어보자면 일반메일이 일반 메일함으로 들어오는 것은 긍정적인 사실(TP)이며 스펨메일이 스펨메일함으로 가는 것은 부정적인 사실(TN)을 의미 
 - TP와 TN둘다 일반메일과 스팸메일을 잘 구분했으므로 정탐이다.

 

 

2. 미탐

 - False Negative(FN)으로 부정적 틀림이라는 의미 
 - FN은 부정적인걸 잡아내지 못한, 탐지하지 못한 잘못된 판정을 의미  
 - 앞서 말한 메일로 예를 들자면 스펨메일임에도 불구하고 일반 메일로 분류되있는 경우이다. 
 - 미탐은 또한 단어에서 알 수 있듯이 탐지하지 못한 것이므로 악성코드를 탐지하기 위한 사람의 개입이 없다고 생각하면 된다.

 

 

3. 오탐
 - False Positive(FP)는 긍정적 틀림으로 오탐이라 한다. 
 - 오류가 아닌데 오류라고 잘못된 판정을 하는것을 의미 
 - 스펨메일이 아닌데 스펨메일로 들어가 있는 경우가 False Positive이다.
 - 오탐은 단어 자체에서 알 수 있듯이 오류로 탐지한 경우, 즉 잘못 탐지한 경우를 말한다. 

 - 잘못 탐지한 것이므로 사람이 악성코드 등을 탐지하기위한 개입이나 노력이 있었던 것이므로, 최소한의 노력이 들어간 것을 의미한다.

 

 

* 만약 오탐과 미탐중 조금 더 신경써야하는 부분이나 주의해야할 부분이 있다면 미탐에 대해 신경써야한다. 그 이유는 잘못 탐지되더라도 탐지가 되면 원인 분석을 통해 좀더 확실한 탐지가 가능하지만, 아예 탐지가 되지 않는 경우는 분석조차 할 수 없기때문에 미탐에 대해서 더욱 주의해야 한다.
* 오탐인 FP와 미탐인 FN는 정보보안기사에서 자주 출제되는 개념이므로 확실히 알아두면 좋다.