의심스러운 파일의 악성 여부를 국내외 안티 바이러스(AntiVirus) 엔진을 통해 손쉽게 확인이 가능한 바이러스토탈(VirusTotal) 서비스가 새로운 디자인으로 개편이 이루어졌습니다.
참고로 바이러스토탈(VirusTotal) 서비스에 등록된 엔진은 현재 총 43개이며, 국내의 경우 안철수연구소(AhnLab) V3, nProtect, 하우리 바이로봇(Hauri ViRobot)이 포함되어 있습니다.
● 파일 검사(Scan a file)
메인 화면에서는 기본적으로 특정 파일을 선택하여 검사를 할 수 있으며, 기존의 20MB 업로드 용량 제한이 32MB로 상향된 점이 특징입니다.
● URL 검사(Scan an URL)
해당 화면 하단에는 "scan an URL" 버튼을 클릭할 경우, 그림과 같은 화면으로 변경되어 사용자가 입력한 특정 URL 주소를 기반으로 검사가 이루어집니다.
URL 검사에서는 총 18개의 URL Scanner 엔진을 통해 입력한 URL 주소의 악성 여부를 빠르게 확인할 수 있습니다.
참고로 URL 주소는 반드시 특정 파일이 포함된 주소(예, h**p://www.abc.co.kr/a.exe)를 입력해야 하며, 단순히 특정 웹 사이트 주소(h**p://www.naver.com)를 입력해서는 검사가 되지 않습니다.
● Hash 값을 이용한 검사
해시(Hash) 값을 이용한 검사에서는 사용자가 파일이 존재하지 않을 경우 MD5, SHA1, SHA256 값만을 이용하여 검사하는 방법으로, 반드시 해당 Hash 값을 가진 파일이 기존에 바이러스토탈(VirusTotal) 서비스에 등록되어 검사가 이루어졌을 경우에만 결과를 확인할 수 있습니다.
● 파일 검사 예시
실제 특정 파일을 업로드하여 검사된 부분을 살펴보면, 우선 바이러스토탈(VirusTotal) 서비스는 해외 서비스이므로 업로드 속도는 느린 편입니다.
파일 업로드가 완료된 시점에서 기존에 검사된 내용이 없는 경우에는 자동으로 검사 화면으로 넘어가며, 그림과 같이 기존에 이미 검사된 기록이 존재할 경우에는 "Reanalyse(재검사)" 또는 "View last analysis(이전 검사 결과 보기)" 버튼을 통해 사용자가 메뉴를 선택할 수 있습니다.
실제 검사 속도는 개편 전과 비교하여 상당히 빨라진 점을 확인할 수 있었으며, 기존과 비교시 달라진 화면 구성에 대해 살펴보도록 하겠습니다.
우선 맨 상단의 화살표(▽)를 클릭하시면 숨겨진 파일 기본 정보(Hash 값, 파일 크기, 파일 형태)를 확인할 수 있습니다.
또한 상단 우측에서는 검사한 파일의 결과를 확인한 후 사용자가 파일에 대한 평판(Reputation)을 선택할 수 있습니다.
검사 결과 하단에서는 "Additional information" 메뉴를 통해 바이러스토탈(VirusTotal) 서비스에 등록된 외부 검사툴을 통해 검사한 파일의 추가적인 정보를 확인할 수 있습니다.
그 중에서 눈에 띄는 정보에는 검사한 파일이 바이러스토탈(VirusTotal)에 최초 등록된 날짜 확인(First seen by VirusTotal), 가장 최근 검사일(Last seen by VirusTotal), 검사 파일 이름(File names) 기능입니다.
특히 개편 전에서는 검사 파일명(최대 25개) 기능이 존재하지 않았었는데 이번에는 동일한 파일에 대해 어떤 파일명으로 검사가 이루어졌는지 확인할 수 있는 장점이 있습니다.
일반 사용자들도 PC를 사용하는 과정에서 수상한 파일이 사용자가 이용하는 백신 프로그램에서 진단되지 않는다고 함부로 실행하지 마시고, 해당 서비스에 등록하여 악성 여부를 추가로 확인하는 습관을 가지시는 것도 매우 좋은 방법입니다.
