본문 바로가기

벌새::Software

nProtect AntiVirus Spyware 2007 : 바이러스/스파이웨어 검사와 진단

반응형
잉카 인터넷(INCA Internet) 업체에서 서비스하는 국내 보안제품 nProtect AntiVirus Spyware 2007 제품의 바이러스/스파이웨어 검사와 진단 기능에 대해 살펴보도록 하겠습니다.

해당 항목은 설정, 시작 프로그램 / IE Helper, 검역소로 구성되어 있습니다.


1. 설정

바이러스/스파이웨어 메뉴를 선택하시면 기본적으로 타 메뉴에서는 생성되지 않는 [신고하기] 버튼이 상단에 생성되어 해당 버튼을 클릭할 경우 제품에서 제공하는 지원 도구 창이 생성됩니다.

● 실시간 검사 사용


실시간 검사 기능은 시스템을 내외부적인 악성코드로 부터 실시간 단위로 검사를 진행하여 발견된 악성코드를 사용자에게 표시해 주는 기능입니다.

그러므로 사용자는 보안제품에서 제공하는 실시간 검사 기능은 반드시 활성화한 상태에서 이용하는 것이 가장 기본적인 보안제품 활용의 첫 걸음입니다.


예를 들어서 사용자가 인터넷에서 특정 악성코드를 다운로드할 경우 위와 같이 실시간 검사 기능이 해당 파일을 진단하여 사용자에게 악성코드의 경로, 진단명, 치료에 관한 안내를 하는 것을 확인할 수 있습니다.

단지 컴퓨터 환경에 따라 다르겠지만 저사양 컴퓨터에서는 해당 보안제품이 초기 검사시 엔진 초기화로 인한 로딩(Loading) 문제가 실시간 검사에서도 동일하게 동작하여 매우 느린 형태로 사용자에게 전달되므로 불편을 느낄 수 있을 것 같습니다.

● 실시간 검사 등급


해당 제품은 실시간 검사를 활성화한 상태에서 [낮음, 보통, 높음] 등급으로 세분화하고 있습니다.

기본값으로 제시한 보통 등급에서는 파일 실행에 따른 I/O 검사를 통한 악성코드 차단, 악성 레지스트리 접근 차단을 감시합니다. 등급이 높아질수록 시스템 자원에 차이가 있을 수 있으므로 기본값으로 설정하시고 사용하시는 것이 좋을 것 같습니다.

● 검사


제품의 검사 방식은 기본 검사와 전체 검사로 구분되어 있으며, 사용자가 특정 폴더만을 지정하여 검사를 할 수 있습니다.

사용자 지정 검사의 경우에도 기본 검사를 추가적으로 함께 진행하게 구성되어 있는데, 일반적으로 기본 검사는 프로세스, 스파이웨어, 시스템 주요 항목에 대한 검사를 의미합니다.


실제 검사를 진행해보면 해당 제품의 가장 큰 단점인 초기 엔진 초기화에 상당한 시간이 걸린다는 점이 제품의 전체적인 기능에 가장 큰 부담 요소로 평가됩니다.

이는 듀얼(Dual) 엔진 중 하나인 해외 보안제품 BitDefender 엔진의 300만개가 넘는 DB로 인한 문제로 시급한 해결이 요구됩니다.


실제 기본 검사를 테스트 환경에서 실행하였을 경우 저사양 컴퓨터의 경우 13분 정도 걸리는 것을 확인할 수 있었습니다.(설치된 프로그램 등 외부적인 영향이 있음을 감안하시기 바랍니다.)

해당 기본 검사에서 진단된 애드웨어를 보시면 사용자가 감염에 의한 것이 아닌 수동으로 추가한 즐겨찾기 항목 일부가 진단되는 것을 확인할 수 있습니다. 해당 사이트 자체가 ActiveX 설치 방식으로 진단 기준에 포함되는 방식으로 바로가기를 설치하는 것으로 보이는데, 개인적인 생각에는 해당 업체의 일부 진단 정책은 동의할 수 없는 부분이 아닌가 생각됩니다.

진단창 하단에서는 검사가 완료된 후 어떤 동작을 할지 사용자가 선택할 수 있도록 구성되어 있습니다.


이번에는 전체 검사를 진행해 보면, 테스트 환경에서는 2시간 50분이라는 엄청난 느린 속도를 확인할 수 있었습니다.

검사 방식은 [엔진 초기화 → 프로세스 검사 → 엔진 초기화 → 스파이웨어 검사(레지스트리) → 전체 디스크 검사(파일)]로 이어지는 과정을 거치고 있습니다.

진단된 샘플은 무료 치료와 유료 치료로 분리하고 있는데 어떤 기준으로 분류하는지는 모르겠지만 해당 제품만의 특징 중의 하나입니다.

 
이렇게 진단된 항목에 대해 치료를 시도할 경우 치료 과정을 화면을 통해 제시하고 있습니다.


치료가 완료된 악성코드는 그림과 같이 회색으로 표시되며, 치료 완료 내역에서는 해당 샘플의 치료 방식에 대한 안내를 하고 있습니다.


해당 제품의 특징 중의 하나는 진단한 항목 중 사용자가 특정 악성코드를 선택할 경우 그림과 같이 해당 악성코드에 대한 [상세 정보 보기] 버튼이 활성화되며, 클릭시 업체 홈페이지에서 제공하는 해당 진단명과 일치 또는 유사한 악성코드 정보를 제공하고 있습니다.


2. 시작 프로그램 / IE Helper

시작 프로그램에서는 한 눈에 시작 프로그램으로 등록된 정보를 볼 수 있는 기능을 제공하며, 사용자가 특정 시작 프로그램 항목을 선택하면 하단에 자세한 정보를 제공하고 있습니다.

사용자는 선택한 시작 프로그램을 허용, 차단, 삭제 여부를 결정할 수 있습니다.


IE Helper에서는 Internet Explorer에 등록된 BHO, Toolbar, Extension 정보를 제공하며, 사용자가 선택한 항목에 대한 자세한 정보를 하단에 제시하고 있습니다.

특히 이 기능은 Internet Explorer를 통해 인터넷을 하던 중 원치 않는 광고 표시줄, 팝업, 검색바 등이 설치되어 확인할 수 있는 경우에 유용하게 활용할 수 있습니다.


3. 검역소

검역소는 제품에서 진단한 악성코드를 치료시 자동으로 백업을 하여 보관하는 장소를 말합니다.

해당 검역소는 바이러스와 스파이웨어를 구분하여 표시를 하고 있으며, 보관 중인 특정 악성코드를 선택할 경우 세부적인 정보를 확인할 수 있습니다.

검역소에 보관 중인 샘플 중 사용자가 특정 진단명에 대해 검사에서 예외 처리를 할 수 있는 기능을 제공하고 있습니다.

또한 휴리스틱 기능을 통해 진단한 샘플에 대해 사용자가 제품에서 지원하는 [신고하기] 버튼을 통해 지원 도구를 열어 샘플 신고를 추가적으로 할 수 있습니다. 단, 검역소 안에 있는 파일의 경우에는 반드시 특정 폴더로 이동을 한 상태에서 신고를 해야 하는 불편함이 존재합니다.


만약 보관 중인 악성코드가 오진으로 판명이 될 경우 다시 원래 위치로 복원을 하기 위해서는 복원 버튼을 클릭하시면 자동으로 검역소 이동 전의 위치로 설정이 됩니다.


반대로 검역소 내의 특정 파일을 원래 위치가 아닌 다른 폴더 내에 복원을 원할 경우에는 [이동] 버튼을 클릭하여 원하는 폴더를 지정하실 수 있습니다.

제품의 전체적인 진단에 있어서 진단 자체보다는 초기 진단을 위한 엔진 초기화 등 전체적인 무거움이 빠르게 검사하여 안내하는 능력과 만족도는 크게 떨어진다고 생각합니다.

728x90
반응형
  • 타키온 엔진과 빗디 엔진 조합을 어떻게든 감량을 시켜야겠네요. 초기 실행시 딜레이도 그렇고 수동 검사시 딜레이도 그렇고 요즘 사용자들이 다소 답답해 할 것 같습니다. 그나저나 전체 검사시에 압축 파일 검사를 안한 상태에서도 그 정도 시간이 걸리는 것인가요? 이 정도면 루트킷 검사를 포함하는 에프시큐어의 풀 검사와 거의 맞먹거나 뛰어 넘는 것은 아닌가 하네요

  • 검역된 상태에서 이동 버튼을 누르면 원하는 위치로 복원이 가능하실거에요^^

    • 앗.. 확인해보니 그렇군요. 타제품의 경험으로 인해 착각을 했습니다.

      이 부분은 수정을 해야겠습니다.^^