러시아 보안 업체 Kaspersky Lab에서 제공하는 Kaspersky Internet Security 2015 한글판 버전의 시스템 트레이 알림 아이콘 메뉴에 표시된 "도구 → 애플리케이션 동작" 기능에 대해 살펴보도록 하겠습니다.
- 애플리케이션 동작 : 메인 화면(추가 도구 보기) → 도구 - 애플리케이션 제어 → 현재 동작(모든 동작 표시)
참고로 도구에 표시된 "애플리케이션 동작" 메뉴는 메인 화면에서도 접근 가능하므로 참고하시기 바랍니다.
프로그램 설치 및 설치된 프로그램 최초 실행시 알림창을 통해 실행되는 파일(애플리케이션)에 대한 신뢰 그룹(신뢰함, 낮은 제한, 높은 제한, 신뢰하지 않음)정보가 자동으로 부여되는 알림창을 볼 수 있습니다.
이렇게 등록된 애플리케이션에 대한 정보 확인 및 사용자에 의한 등록된 애플리케이션에 대한 제어를 할 수 있는 메뉴가 "애플리케이션 동작"입니다.
1. 애플리케이션 동작 : 모든 애플리케이션
"모든 애플리케이션" 항목에서는 Kaspersky Internet Security 2015 제품 설치 이후를 기준으로 설치 및 실행된 애플리케이션에 대한 모든 정보가 포함되어 있으며, 일반적으로 정상적인 프로그램의 경우에는 신뢰 그룹이 "신뢰함" 또는 "낮은 제한"으로 표시됩니다.
- 애플리케이션 : 설치된 프로그램 이름(파일 속성값 기준)
- 상태 : 실행 중 / 종료 (현재 기준)
- 서명 : 신뢰함 / 디지털 서명 안 됨 (디지털 서명 여부)
- 신뢰 그룹 : 신뢰함 / 낮은 제한 / 높은 제한 / 신뢰하지 않음
- 선호도 : 프로그램 설치 수 (Kaspersky Security Network(KSN) 참여자 수 기준)
- 최근 실행 : 애플리케이션 실행된 시간 (현재 기준)
"모든 애플리케이션" 목록에 표시된 애플리케이션 중에서 사용자가 특정 항목을 선택하여 마우스 우클릭을 통해 확인 가능한 하위 메뉴는 다음과 같습니다.
- 애플리케이션 규칙 : 선택한 애플리케이션에 대한 파일 정보, 파일 및 시스템 레지스트리, 권한, 네트워크 규칙, 제외 설정을 할 수 있습니다.(※ 애플리케이션 규칙에 대한 부분은 상당한 지식을 가진 전문가 외에는 설정이 매우 어려울 수 있으므로 다루지 않겠습니다.)
- 그룹 이동 : 선택한 애플리케이션에 대한 신뢰 그룹을 설정할 수 있습니다.
- 초기화 : 새로고침(Refresh)
- 애플리케이션 폴더 열기 : 선택한 애플리케이션이 위치한 폴더로 바로 연결하여 파일 자동 선택
이 중에서 가장 핵심적인 부분은 설치 및 실행된 애플리케이션 항목 중에서 사용자 몰래 설치된 프로그램 및 악성코드를 쉽게 찾을 수 있다는 점이며, 그룹 이동 기능을 통해 실행 중인 애플리케이션에 대한 차단을 할 수 있습니다.
예를 들어 국내에서 제작된 광고성 프로그램 "AntiSteal Uninstall"가 사용자가 제대로 인지하지 못한 상태로 설치되어 있는 상태라고 가정을 해보겠습니다.
애플리케이션 목록을 확인하던 중 실행 중인 "AntiSteal Uninstall" 관련 항목(C:\Program Files\AntiSteal\AntiSteal.exe)을 찾아 "애플리케이션 규칙" 메뉴를 실행하였을 경우 파일에 대한 자세한 정보를 확인할 수 있습니다.
Kaspersky Internet Security 2015 제품에서는 위험 레벨 수준이 안전한 파일로 표시되고 있지만, 다양한 인터넷 검색 등의 다양한 정보를 종합한 결과 광고 프로그램으로 판단하여 더 이상의 동작을 중지할 필요가 있다고 가정하겠습니다.
현재 제약없이 실행되는 "C:\Program Files\AntiSteal\AntiSteal.exe" 파일의 신뢰 그룹을 "낮은 제한 → 신뢰하지 않음"으로 변경합니다.
- 신뢰함 : 파일 및 시스템 레지스트리(운영 체제/중요한 데이터) 읽기/쓰기/생성/삭제 허락, 다른 프로세스에 접근/시스템 변경 권한 허락
- 낮은 제한 : 시스템 파일의 매우 중요한 설정의 쓰기/생성/삭제 거부, 일부 권한 사용자 확인 후 처리 또는 거부
- 높은 제한 : 운영 체제의 쓰기/생성/삭제 거부, 일부 권한 사용자 확인 후 처리 또는 거부
- 신뢰하지 않음 : 전체 거부
이렇게 신뢰 그룹이 변경된 경우에는 해당 파일에 대한 자동/수동 실행시 액세스 권한 문제로 실행되지 않으며, 사용자는 손쉽게 프로그램 제거를 할 수 있습니다.
2. 애플리케이션 동작 : 실행 중
"실행 중" 항목에서는 현재 실행 중인 애플리케이션 항목을 표시하며 사용자가 특정 애플리케이션에 대한 "프로세스 종료" 기능을 제공하고 있습니다.
그러므로 특정 악성 애플리케이션을 발견한 경우 ① "그룹으로 이동 → 신뢰하지 않음" 변경 ② "프로세스 종료" ③ "애플리케이션 폴더 열기"와 같은 절차에 따라 동작 중인 애플리케이션을 종료한 후 파일을 찾아 제거할 수 있습니다.
사용자가 선택한 특정 애플리케이션 항목의 "실행 순서" 메뉴를 실행할 경우 해당 애플리케이션이 어떤 애플리케이션을 통해 최종적으로 실행되었는지 시간순으로 확인할 수 있으며, 이를 통해 "C:\Program Files\AntiSteal\AntiSteal.exe" 파일이 시스템 시작시 작업 스케줄러(Task Scheduler Engine)을 통해 동작하게 되었음을 엿볼 수 있습니다.
3. 애플리케이션 동작 : 시작시 실행
"시작시 실행" 항목에서는 Windows 시작시 자동 실행되는 애플리케이션 항목을 표시하며, 부팅이 완료된 후 지속적으로 실행 중 또는 종료된 부분까지 표시하고 있습니다.
이를 통해 사용자는 악성 애플리케이션을 찾아 자동 실행되지 않도록 신뢰 그룹을 "신뢰하지 않음"으로 변경할 경우 부팅시 최초 실행을 차단할 수 있습니다.
■ 애플리케이션 "최초 보고"의 부정확성 문제
Kaspersky Internet Security 2015 버전은 Kaspersky Security Network(KSN)를 통해 사용자 PC에서 수집된 파일에 대한 정보를 서로 공유할 수 있습니다.
그런데 애플리케이션 규칙에 표시된 파일 정보 중 "최초 보고"를 보면 파일이 Kaspersky Security Network(KSN)를 통해 보고된 날짜를 표시하지 않는 문제를 발견할 수 있습니다.
예를 들어 어제는 해당 애플리케이션의 최초 보고가 4시간 전이라고 표시되었지만, 오늘은 1분 미만 전이라고 표시될 수 있습니다.
이런 부정확한 최초 보고 정보로 인하여 사용자에게 혼동을 유발할 수 있다는 점을 유념하시고 정보를 확인하시기 바랍니다.
■ 알림창 생성 시간 문제
Kaspersky Internet Security 2015 제품이 설치된 환경에서 프로그램 설치 및 실행시 그림과 같은 신뢰 그룹 지정과 관련된 다양한 알림창이 생성될 수 있습니다.
그런데 생성된 알림창은 게눈 감추 듯 너무 빨리 생성되었다가 종료되는 문제로 인하여 사용자가 내용을 확인하기 매우 어려우며, 설정값에서도 알림창 생성 시간을 설정하는 항목이 존재하지 않습니다.
특히 Kaspersky Internet Security 2015 제품이 프로그램 설치시 내부 검사 동작으로 인해 시스템이 일시적으로 작업량이 증가할 경우 알림창은 더욱 빠르게 사라지는 문제가 발생하고 있다는 점은 제품 사용자에게 불편을 유발하고 있습니다.