728x90
반응형
(주)에브리존(EveryZone) 업체에서 서비스하는 무료 백신 터보백신 프리(TurboVaccine Free) 1.0 버전의 악성코드 검사와 치료에 대해 살펴보도록 하겠습니다.
참고로 앞에서 살펴본 제품의 환경 설정 중 검사 설정에서 지정한 항목은 정밀 검사 옵션에 적용이 되고 있는 것을 확인할 수 있었습니다.
BitDefender 엔진의 특성 중의 하나는 검사 초기에 엔진 초기화를 진행하는 과정에서 저사양 컴퓨터의 경우 최대 1분의 시간이 소요되는데, 해당 제품 역시 1분이 경과하여 정상적으로 검사가 이루어지고 있으므로 저사양 컴퓨터에서의 BitDefender 엔진을 사용하는 보안 제품은 개인적으로 추천하지 않습니다.
1. 빠른 검사
빠른 검사는 프로그램에서 지정한 검사 절차에 따라 몇 분 이내에 시스템 중요 항목에 대해서만 검사를 하는 방식입니다.
검사 절차는 [메모리 검사 - 악성 레지스트리 검사 - 악성 쿠키 / 파일 검사 - 불필요 정보] 검사를 순서대로 진행하는 것을 확인하였습니다.
환경 설정에서 사용자가 불필요 정보 검사를 체크 해제를 하여도 빠른 검사에서는 자동으로 검사가 이루어지고 있으며, 해당 진단 항목의 경우 Unlinked Autoloading Entry 진단명을 통해 시작 프로그램으로 등록한 레지스트리 정보를 불필요 항목으로 진단하는 것을 확인할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run실제 진단된 항목의 경우 네이버(Naver)에서 제공하는 정상적인 프로그램의 시작 프로그램 등록 정보인데 프로그램에서 임의로 불필요한 정보로 진단하는 것은 사용자가 다양한 프로그램을 사용하는데 불편함을 야기할 수 있다고 생각됩니다.
- NaverMinicalendar = "C:\Program Files\Naver\NaverMinicalendar\NMiniCalendarLauncher.exe"
2. 정밀 검사
정밀 검사는 사용자가 검사 전에 검사 영역 및 검사 방식을 설정할 수 있도록 구성되어 있으며, 기본적으로 빠른 검사를 병행하여 진행하도록 구성되어 있습니다.
기본값으로 체크된 [내 악성코드 검사] 항목은 빠른 검사 영역으로 이해를 하시면 되며, 추가로 사용자가 검사할 특정 디스크 또는 폴더를 지정하여 검사를 진행할 수 있습니다.
앞에서 살펴본 환경 설정 검사 항목에서 지정한 값이 정밀 검사에 반영이 되고 있지만, 사용자가 불필요 정보 검사를 체크 해제하고 검사를 하여도 자동으로 검사가 이루어지는 점은 수정이 필요합니다.
테스트에서는 빠른 검사에서 진단된 불필요 정보가 포함되어 있으며, 추가로 Trojan.Generic.1751011 진단명으로 특정 파일을 진단하고 있습니다.
MD5 : 03a6a73f75836c363485d5cd37126513
해당 파일(MD5 : 03a6a73f75836c363485d5cd37126513)에 대한 진단은 BitDefender 엔진의 진단으로 몇 개월전에 이미 nProtect, 알약(AlYac) 업체에 신고하여 자체적으로 오진 처리를 하였는데 해당 엔진에서는 여전히 진단이 되고 있습니다.(참고로 안철수연구소에 해당 샘플에 대한 오진 여부를 재확인 중입니다.)정밀 검사에서는 압축 파일 검사를 제외하고 10GB 용량을 검사하는데 소요되는 시간이 1시간 40분 이상으로 타 보안 제품에 비해 느린 검사 속도가 아닌가 생각됩니다.
해당 악성코드 검사 방식의 가장 큰 문제점은 진단된 항목에 대해 사용자가 진단 제외 처리를 할 수 없다는 점입니다.
이는 해당 업체에서 직접 분석한 DB가 아닌 BitDefender 엔진을 통해 진단하는 것이 대다수를 차지하는 점을 고려한다면 매우 무책임한 제품 구성으로 휴리스틱 진단을 통한 문제에서 사용자들의 판단이 매우 필요한 제품으로 볼 수 있습니다.
■ 로그 보기
정밀 검사 내부 항목 중에서 로그 보기 메뉴는 (실시간) 검사, 업데이트, 유틸리티와 관련된 로그(Log) 기록을 볼 수 있지만, 세부적인 내용 확인을 위한 마우스 확장이 불가능한 점은 수정이 필요합니다.
3. 마우스 우클릭을 이용한 수동 검사
터보백신 프리(TurboVaccine Free) 제품에서는 특정 폴더(파일)에 마우스 우클릭을 통한 메뉴 중 [터보백신프리로 검사하기] 항목을 이용하여 수동 검사를 할 수 있습니다.
수동 검사 창은 그림과 같이 구성되어 있으며, 파일 1개에 대한 검사 역시 엔진 초기화로 인하여 1분 가량 소요되는 문제는 저사양 컴퓨터의 해결할 문제로 볼 수 있습니다.
4. 악성코드 치료하기
사용자가 진단된 항목에 대하여 [치료] 버튼을 통해 치료를 시도하면 치료가 완료 되었음을 그림과 같이 표시하는 것을 확인할 수 있습니다.
치료시에는 반드시 환경 설정에서 [치료시 백업] 항목에 체크를 하시고 치료를 하시기 바랍니다.(해당 항목은 기본값으로 체크되어 있습니다.)
치료가 완료된 파일은 백업을 통하여 검역소에 보관이 되며, 검역소 접근은 외부 메뉴에 존재하지 않고 정밀 검사 메뉴 내부에 존재하므로 사용자가 찾기 어렵게 구성되어 있습니다.
검역소
검역소 내부에는 악성코드(애드웨어, 스파이웨어), 바이러스, 불필요 파일 항목으로 구분되어 백업이 되어 있으며, 사용자가 백업된 파일에 대해 복원을 시도할 경우 원래 위치하던 장소로만 복원이 되는 것을 확인할 수 있습니다.(일반적인 보안 제품에서는 복원시 원래 위치 또는 사용자가 지정한 위치로 복원이 가능합니다.)검역소의 또 다른 문제점은 등록된 목록을 마우스로 확장하여 세부적인 내용을 볼 수 없도록 되어 있으므로 매우 이용에 불편을 주고 있습니다. 이는 터보백신 프리(TurboVaccine Free) 제품 자체의 모든 항목에서 동일하므로 수정이 필요한 부분입니다.
5. 실시간 감시
제품의 실시감 감시 기능을 통해 악성코드를 진단한 모습은 그림과 같으며, 해당 창에서는 [치료] 버튼만을 제공하여 실제 진단된 상태에서 일반 사용자들이 무조건 치료하는 실수를 유발할 수 있습니다.
일반적인 보안 프로그램에서는 실시간 감시 창에서 치료 기능 이외에 치료를 하지 않고 창을 닫는 버튼과 진단 제외 처리를 바로 연결할 수 있도록 편의를 제공하는 것과는 매우 차이가 있습니다.
또한 Windows 탐색기를 통해 해당 악성코드가 존재하는 폴더에 접근하였을 경우 해당 파일 한 개만 존재하여도 실시간 감시가 동작하지 않을 정도로 민감도가 매우 떨어지며, 해당 파일을 사용자가 선택하여 파일 속성을 확인하여도 실시간 감시가 동작하지 않는 것도 확인하였습니다.
더욱 문제는 일반적으로 악성코드 파일이 실시간 감시에서 진단될 경우 해당 파일을 웹 사이트 업로드를 시도하면 차단되어 업로드 자체가 안되는데, 해당 제품에서는 실시간 감시창을 통해 진단을 하면서 정상적으로 웹 사이트에 업로드가 되는 취약점도 존재합니다.
전체적으로 제품의 검사와 치료 방식에서는 심각할 정도의 오진은 존재하지 않지만, 진단된 파일에 대한 제외 처리가 없다는 점과 실시간 감시 기능이 매우 취약하다는 점은 개선이 필요합니다.
728x90
반응형