본문 바로가기

벌새::Software

nProtect AntiVirus Spyware 2007 : 환경설정 - 바이러스 / 스파이웨어

잉카 인터넷(INCA Internet) 업체에서 서비스하는 국내 보안제품 nProtect AntiVirus Spyware 2007 제품의 환경설정 중 [플러그인 - 바이러스 / 스파이웨어] 관련 설정에 대해 살펴보도록 하겠습니다.

바이러스 / 스파이웨어 항목은 설정, 실시간 검사, 일반 검사로 구분하여 설정을 하도록 구성되어 있습니다.


1. 설정

● 메신저 검사


메신저(Messenger) 검사 기능은 국내에서 가장 많이 사용하는 메신저 프로그램을 통해 사용자간 주고받는 파일을 실시간으로 검사할 수 있는 기능입니다.

기본값으로 Daum, MSN, NateOn, Windows 메신저가 모두 활성화된 상태이므로 자신이 사용하는 메신저 항목을 선택하여 주시면 됩니다.

● 검역소 설정

검역소란 보안제품이 특정 악성코드를 진단하여 치료시 해당 파일을 안전지대(검역소)로 백업을 하는 공간입니다. 검역소의 필요성은 증가하는 악성코드로 인하여 보안제품이 진단한 항목이 실제 악성코드가 아닌 정상 파일인 경우가 있을 수 있으므로 안전을 위해 치료시 검역소에 보관을 하도록 설정되어 있습니다.

해당 검역소에서 보관 중인 파일의 기간과 용량을 사용자가 설정을 통해 지정할 수 있습니다.

참고로 검역소에 보관 중인 악성코드의 경우 파일 암호화를 통해 악성코드가 활동할 수 없도록 차단을 하므로 안심하시기 바랍니다.

● 예약 검사 설정


예약 검사는 사용자가 특정 예약 시간을 설정하면 자동으로 해당 시간에 맞춰 시스템을 검사하는 기능입니다.

해당 제품에서는 예약 검사시 검사 화면을 백그라운드(Background) 방식을 통해 감출 수 있는 옵션을 제공하고 있으며, 예약 검사의 방식도 상세하게 제공하고 있습니다.

보안제품은 실시간 검사 단위에서 모든 악성코드를 판별할 수 없으므로 반드시 주기적인 검사를 하시는 것을 추천합니다.

● 안티-루트킷 엔진 사용


루트킷(Rootkit)과 같은 악성코드 기능을 통해 자신을 보안제품의 진단에서 감출 수 있는 부분을 위해 개발된 안티-루트킷 엔진을 통해 최신 악성코드를 예방하고 있습니다.

지원 도구에서 수동으로 루트킷 검사를 실행하였을 경우 tsrkscan.exe 프로세스의 동작을 통해 해당 제품의 루트킷 스캐너(Rootkit Scanner)의 버전 정보를 확인할 수 있습니다.

● 이동식 저장장치 검사

이동식 저장매체인 USB와 같은 하드웨어를 컴퓨터에 연결할 경우 보안제품이 자동으로 해당 저장매체를 검사하는 기능을 제공하고 있습니다.

● 고급


보안제품이 스파이웨어(Spyware)를 치료한 후 변경된 시작 페이지를 사용자가 지정한 방식으로 수정해 주는 기능입니다.

기본값으로 빈 페이지(about:blank)가 설정되어 있으므로 사용자가 원하는 시작 페이지를 입력할 수 있습니다.


해당 제품은 기본값으로 특정 폴더, 파일에 마우스 우클릭을 통해 생성된 하위 메뉴에서 [nProtect 바이러스/스파이웨어 검사] 항목을 선택하시면 선택한 영역에 대한 검사를 진행할 수 있도록 되어 있습니다.

nProtect 제품의 진단명 중에서 악용 가능 프로그램(Abuse-Worry)에 대한 진단은 사용자가 선택할 수 있으며, 기본값으로 체크되어 있습니다.

예를 들어 Abuse-Worry/W32.KeyGen.172032 진단명과 같은 악용 가능 프로그램은 실제 사용자가 판단하여 해당 파일의 실행 여부를 결정할 수 있으며, Keygen과 같은 파일에 대한 진단은 업체 진단 정책에 따라 달라질 수 있습니다.


진단명으로 검사에서 예외 처리를 할 수 있는 항목은 제품의 일시적인 오진으로 불편을 겪을 경우 잘 활용하실 수 있습니다.

설정을 하실 때에는 바이러스, 스파이웨어 종류를 선택한 후, 제외할 진단명을 포괄적으로 적용할 수 있도록 * 기호를 통해 입력하실 수 있습니다.
 
해당 기능을 확인하던 중 발견한 문제점은 경로명으로 지정시 초기에 경로명에 체크를 하였다가 다시 한 번 체크를 해제할 경우 하단의 예시 부분이 비활성화 되는 부분을 발견하였습니다. 실제 초기값으로 경로명에 체크가 되어 있지 않은 상태에서 예시 부분이 활성화된 형태로 표시되고 있습니다.


해당 제품은 자체 엔진인 타키온(Tachyon)과 해외 보안제품 BitDefender 엔진의 듀얼(Dual) 엔진으로 구성되어 있습니다.

이로 인하여 환경설정에서는 사용자가 실시간 검사(감시)와 일반 검사(수동 검사)시 각각의 엔진을 선택하여 이용할 수 있도록 구성되어 있습니다.


2. 실시간 검사

실시간 검사(감시) 항목에서는 사용자가 보안제품의 실시간 검사와 관련된 세부적인 옵션을 설정할 수 있습니다.

● 실시간 검사 대상 확장자


실시간 검사에서는 반드시 검사 파일 확장자를 모든 파일이 아닌 실행 파일, 문서 파일 수준에서 설정하시기 바랍니다.

만약 실시간 검사가 모든 파일을 감시를 하게되면 성능 좋은 컴퓨터 환경이 아닌 경우 매우 시스템을 느리게 만드는 주범이 될 수 있습니다. 특히 압축 파일의 경우에도 압축 파일 내부에 존재하는 악성코드는 반드시 압축이 해제되어 활동이 가능하므로 실시간 검사에서 압축 파일까지 감시할 이유는 거의 없다고 보시면 됩니다.

대신 추가적으로 사용자가 최근 유행하는 악성코드의 확장자 일부를 실시간 검사에서 감시하기를 원할 경우 그림과 같이 추가할 수 있습니다.

테스트 과정에서 발견한 문제점은 사용자가 확장자를 입력시 반드시 입력할 확장자 앞에 . 을 표시하라고 나와 있으나 확장자만 입력하여도 어떤 경고도 없이 입력이 되는 문제가 있습니다. 즉, 예시에서 제시하는 확장자 형태를 벗어난 경우를 그대로 적용하는 문제가 있습니다.

● 실시간 검사 대상 옵션


실시간 검사에서는 검사 파일의 용량을 사용자가 제한을 하여 정해진 용량을 초과하는 파일에 대해서는 실시간 검사에서 제외 처리를 할 수 있습니다.

이 부분 역시 대용량 파일을 실시간 검사가 감시할 경우 시스템을 느리게 할 수 있는 문제에 대한 예방책입니다.

해당 제품은 BitDefender 엔진을 사용하면서 휴리스틱(Heuristic) 사전 진단 능력이 있습니다. 이로 인하여 일부 정상적인 파일을 감염 의심 파일로 진단할 수 있으므로 기본적으로 휴리스틱으로 진단하는 항목에 대해서는 반드시 보안업체에 해당 샘플을 신고하여 악성코드 여부를 재확인하는 습관이 필요합니다.

해당 제품을 초기 설치시 기본값으로 휴리스틱 진단은 해제되어 있으므로 사용자가 선택적으로 해당 기능을 활성화하여 이용하실 수 있습니다.

[네트워크 상의 파일 검사] 기능은 자세한 설명이 없어서 알 수는 없지만, 인터넷을 통하거나 공유 폴더를 통한 네트워크 상에 존재하는 파일을 검사하는 기능으로 보입니다.

해당 옵션은 기본값이 해제된 상태이므로 사용자가 원하시면 체크를 할 수 있지만, 해당 기능을 활성화한 경우 인터넷을 이용시 속도가 다소 저하될 수 있는 것으로 보입니다.

● 실시간 검사 제외 대상


위에서 살펴본 진단명을 통한 검사(실시간 검사, 일반 검사) 제외 방식이 아닌 실시간 검사에서 사용자가 원하는 특정 폴더, 파일, 확장자, 프로세스를 지정하여 제외 처리를 할 수 있도록 구성되어 있습니다.

타 제품과 달리 고급 설정에서는 프로세스 경로를 통해 포괄적인 제외 처리를 할 수 있다는 점이 특징입니다.


3. 일반 검사

일반 검사는 사용자의 수동 검사를 통해 특정 영역 또는 전체 검사시에 적용되는 부분입니다.


해당 항목은 실시간 검사와 동일하며, 단지 일반 검사시에는 사용자가 검사 파일의 용량을 일정 기준을 초과하는 경우 검사에서 제외 처리를 할 수 있다는 점이 특징입니다.

일반 검사 역시 기본값으로 휴리스틱 진단을 해제한 상태이므로 사용자가 선택하여 이용할 수 있으며, 검사 대상 확장자는 실시간 검사와는 달리 전체 파일에 대한 검사로 설정을 하는 것이 정석입니다.

  • 예전에 벌새님이 말씀하셨던 다소 민감하게 진단하는 부분은 어떻게 되었는지 궁금하네요. 요즘 바제에서도 엔프의 오진 소식은 별로 안들리는 것 같습니다.

    • 제가 설치는 몇 일전에 하고서도 아직도 전체검사 한 번 안하다가 오늘 밤에 쭉 돌리고 있습니다.ㅎㅎ

      잉카 제품은 애드웨어 진단에 있어서 제가 생각하는 것과는 좀 다른 진단정책이더군요. 마치 다잡아 제품처럼..

      그 부분을 제외하고는 특별히 오진하는 부분은 발견하지 못했습니다.

      가지고 있는 샘플도 주로 자체엔진 쪽에서만 진단을 좀하고 비트쪽은 잠잠합니다. 그만큼 자체엔진이 비트 진단분을 많이 진단하도록 노력한 것 같습니다.

      그리고 최신 샘플을 좀 가지고 있는데 생각보다는 진단이 신통치 않은 것 같습니다.ㅎㅎ