올해 초 진행되었던 Titanium Maximum Security 2013 (6.0) 1년 프로모션 이벤트을 통해 받은 제품이 2013년 9월경 Trend Micro Titanium Maximum Security 2014 (7.0) 버전으로 업그레이드가 이루어졌습니다.
새로운 버전의 제품 구성 화면 및 옵션이 기존 버전과 비교하여 거의 유사하므로 사용상에는 큰 불편을 느끼지는 못할 것으로 보이며, 이번 글에서는 기존의 리뷰에 이어 의심 파일 차단 및 파일 출처를 확인하는 독특한 기능에 대해 살펴보도록 하겠습니다.
▷ Trend Micro Titanium Maximum Security 2013 : 설치 & 업데이트 (2013.1.16)
▷ Trend Micro Titanium Maximum Security 2013 : 환경 설정 - 보호 기능 설정 (2013.1.20)
▷ Trend Micro Titanium Maximum Security 2013 : 환경 설정 - 기타 설정 (2013.1.24)
Trend Micro Titanium Maximum Security 2014 (7.0) 버전에서는 기본적으로 시그니처(Signature) 및 휴리스틱(Heuristic) 기반으로 파일을 진단하고 있지만, 특정 조건에서는 의심 파일 차단창을 통해 진단되지 않는 파일을 처리할 수 있는 행위 기반 기능이 포함되어 있는 것으로 보입니다.
대표적인 사례에 맞는 파일을 선정하는데 어려움이 있었지만, 오늘(2013년 11월 13일) 업데이트된 무료 이미지 뷰어 프로그램 FastStone Image Viewer 4.9 버전을 설치하는 과정에서 좋은 예시로 활용하여 설명하도록 하겠습니다.
FastStone Image Viewer 홈 페이지에서 제공하는 설치 파일(MD5 : f8d9a80a66b91d86cc2ecd8505292f41)을 다운로드하여 Trend Micro Titanium Maximum Security 2014 (7.0) 버전을 통해 검사를 해보면 진단하지 않는 파일임을 확인할 수 있습니다.
하지만 사용자가 프로그램 설치를 목적으로 설치 파일을 직접 실행할 경우에는 "의심스러운 파일 차단됨" 창이 생성되어 사용자의 판단을 요구하는 동작을 확인할 수 있습니다.
위와 같은 동작은 실행 파일에 유효한 디지털 서명이 없거나, 클라우드(Cloud) 기능을 통해 아직 검증되지 않은 파일이기 때문에 파일 실행시 1차적으로 의심 파일로 분류할 수 있으리라 판단됩니다.
- "확인" 버튼 클릭시 : 실행 파일(FSViewerSetup49.exe) 동작 차단
- 파일 열기 : 실행 파일(FSViewerSetup49.exe) 동작 실행
- 파일 삭제 : 실행 파일(FSViewerSetup49.exe) 삭제를 통한 검역소 이동
여기에서 설치 파일을 정상적인 경로를 통해 다운로드한 점, 설치 파일을 수동 검사시 진단되지 않는 점 등을 고려하여 "파일 열기"를 선택하여 프로그램 설치를 진행해 보도록 하겠습니다.
FastStone Image Viewer 4.9 버전을 설치하는 과정에서는 Trend Micro Titanium Maximum Security 2014 (7.0) 제품에서는 어떠한 진단 동작이 이루어지지 않으며, 프로그램 설치 완료 후 "마침" 버튼을 클릭시 웹 브라우저를 자동 오픈하여 FastStone Image Viewer 홈 페이지로 연결하는 동작이 발생합니다.
바로 이 동작에서 Trend Micro Titanium Maximum Security 2014 (7.0) 버전은 "의심스러운 소프트웨어가 차단됨" 창을 생성하며 FastStone Image Viewer 4.9 설치 파일(FSViewerSetup49.exe)을 자동으로 제거(삭제)하며, 약간의 시간이 경과하면 추가적으로 "모든 위협이 해결됨" 창이 생성되며 일부 발견된 위협에 대해 추가적인 제거(삭제)를 하였다고 알립니다.
위와 같은 일련의 의심 파일 차단과 제거(삭제)가 자동으로 이루어지게 된 원인은 사용자가 의심 파일로 분류한 프로그램을 설치하는 과정에서 웹 브라우저 오픈 등 의심스러운 동작이 발생한 부분에 대해 행위 기반 진단을 통해 원인을 제공한 FastStone Image Viewer 4.9과 이를 통해 생성된 일부 파일을 자동으로 처리한 것으로 보입니다.
우선 제거(삭제)된 위협 요소가 무엇인지 확인하기 위해 "로그" 메뉴를 통해 확인해보면 FastStone Image Viewer 4.9 설치 파일(FSViewerSetup49.exe)과 프로그램 설치로 인해 생성된 "C:\Program Files\FastStone Image Viewer" 폴더 내부 파일이 제거(삭제)된 상태로 백업되어 있는 것을 확인할 수 있습니다.
FastStone Image Viewer 4.9 설치 파일(FSViewerSetup49.exe)을 확인해보면 "실시간 검색"을 통해 파일이 제거되었음을 알 수 있으며, 이는 사용자가 설치 파일을 직접 실행하여 파일 생성 등의 동작이 이루어지는 과정에서 의심스러운 행위로 인해 제거(삭제)하는 부분이 실시간 검색 기능을 통해 이루어졌다는 의미입니다.
설치 파일 제거(삭제)와 함께 프로그램 생성 파일 중 자동으로 처리된 파일을 살펴보면 모두 "상관 관계 검색"이라는 방법으로 파일이 제거(삭제)된 것을 알 수 있으며, "상관 관계 검색"은 FastStone Image Viewer 4.9 설치 파일(FSViewerSetup49.exe)이 실행되어 생성한 파일을 Trend Micro Titanium Maximum Security 2014 (7.0) 버전이 추적하여 일괄적으로 제거(삭제)를 하였다는 의미로 볼 수 있습니다.
특히 "상관 관계 검색"으로 표시된 문구 아래에 "이것의 출처는 어디입니까?"라는 메뉴를 통해 제거된 파일과 연관된 파일 흐름을 알 수 있는 매우 독특한 기능을 제공하고 있습니다.
"이것의 출처는 어디입니까?" 메뉴를 클릭하면 "근본 원인 분석 보고서" 창이 생성되어 사용자가 확인하려는 파일이 어떤 파일을 통해 생성되었으며 관련 파일의 전체적인 흐름을 한 눈에 볼 수 있는 그래픽을 제공합니다.
"근본 원인 분석 보고서"의 "출처"에서는 의심 파일 차단을 통해 파일이 제거(삭제)된 원인이 프로그램 설치 완료 후 자동으로 웹 브라우저(C:\Program Files\Internet Explorer\iexplore.exe)를 오픈하여 FastStone Image Viewer 홈 페이지로 연결하려는 동작에서 비롯되었다는 것을 정확하게 표시해 주고 있습니다.
또한 "근본 원인 분석 보고서"에서는 "근본 원인" 아이콘으로 표시된 항목을 마우스 클릭할 경우 정확하게 무슨 파일이 의심 파일 진단 및 상관 관계 검색을 통해 파일들이 제거(삭제)되었는지를 표시하여 사용자로 하여금 일련의 진단에 대한 파일 흐름 및 진단 원인에 대한 이해를 시각적으로 표시해 줄 수 있다고 판단됩니다.
여기까지는 Trend Micro Titanium Maximum Security 2014 (7.0) 제품에서 행위 기반 진단을 통해 최근 확인된 안전성이 검증되지 않은 파일의 실행에 대한 의심 진단 차단과 매우 민감한 상관 관계 진단을 통한 처리에 대해 어느 정도 이해를 해주고 싶습니다.
하지만 이번 사례와 같이 정상적인 소프트웨어를 설치하는 과정에서 설치 파일 및 프로그램 설치로 인해 생성된 일부 파일을 자동 삭제하는 문제로 인해 사용자가 파일 복원을 하는 과정에서 어려움이 예상됩니다.
기본적으로 "로그(검역소)"에 등록된 파일을 복원하기 위해서는 위와 같은 간단한 절차에 따라 원래 위치로 파일을 복원 가능하며, 자동으로 복원되는 파일은 "예외 목록"에 등록되어 실시간 검색 및 수동 검사에서 진단되지 않도록 처리합니다.
모든 파일이 복원된 후 "보호 기능 설정 → 예외 목록 → 프로그램/폴더" 항목을 확인해보면 자동으로 관련 파일들이 예외 항목에 추가되어 있는 것을 알 수 있습니다.
하지만 위와 같이 파일 복원 및 예외 처리가 이루어진 이후 자동으로 관련 파일들이 모두 제거(삭제)되는 현상이 발생하는 문제가 발견되고 있습니다.(※ 위와 같은 문제는 파일 복원 후 Windows 재부팅 이후에야 정상적으로 처리가 완료되는 것으로 보입니다.)
또한 예외 처리한 이후 설치된 FastStone Image Viewer 프로그램을 실행할 경우 "C:\Program Files\FastStone Image Viewer\FSViewer.exe" 실행 파일에 대하여 여전히 "의심스러운 파일 차단됨" 창을 통해 사용자가 실행 여부를 결정하도록 하는 문제도 확인할 수 있습니다.
그렇다고 FastStone Image Viewer 프로그램이 설치된 환경에서 정밀 검사(전체 검색)를 진행해보면 어떠한 파일에 대해서도 진단이 이루어지는 것은 아니며, 의심 파일 차단창은 파일 평판과 밀접한 관계가 있으며 일련의 파일 제거(삭제)는 행위 기반 진단으로만 발생한 부분이기에 수동 검사에서는 진단되지 않습니다.
그러므로 Trend Micro Titanium Maximum Security 2014 (7.0) 버전을 사용하는 과정에서 "의심스러운 파일 차단" 창이 생성되어 파일 실행을 사용자가 결정하게 되는 순간에는 우선적으로 파일을 실행하는 것보다는 파일 다운로드 경로, 프로그램에 대한 평판, 수동 검사 등을 추가적으로 확인한 이후에 실행 여부를 결정하는 것이 좋으리라 생각됩니다.
개인적으로 Trend Micro Titanium Maximum Security 2014 (7.0) 버전의 위와 같은 일련의 행위 기반 차단 기능은 하나의 의심 파일에 대해서만 진단하는 것이 아니라 문제의 파일로 인해 추가적으로 생성되는 파일을 자동으로 추적하여 함께 처리(삭제)한다는 점에서 긍정적으로 볼 수 있으며, 특히 어떤 보안 제품에서도 볼 수 없는 "근본 원인 분석 보고서" 기능을 통해 시각적으로 진단의 원인을 추적할 수 있는 기능을 제공하기에 유익할 수 있으리라 생각됩니다.
단지 이미 알려진 유명 프로그램의 업데이트 버전을 이런 식으로 처리한다는 점은 Trend Micro Titanium Maximum Security 2014 (7.0) 제품이 웹 기반 차단의 좋은 점수를 파일 기반 진단에서 마이너 효과를 유발하고 있기에 아쉬움이 있습니다.