728x90
반응형
(주)에브리존(EveryZone) 업체에서 서비스하는 무료 백신 터보백신 프리(TurboVaccine Free) 1.0 버전의 악성코드 검사와 치료에 대해 살펴보도록 하겠습니다.
BitDefender 엔진의 특성 중의 하나는 검사 초기에 엔진 초기화를 진행하는 과정에서 저사양 컴퓨터의 경우 최대 1분의 시간이 소요되는데, 해당 제품 역시 1분이 경과하여 정상적으로 검사가 이루어지고 있으므로 저사양 컴퓨터에서의 BitDefender 엔진을 사용하는 보안 제품은 개인적으로 추천하지 않습니다.
1. 빠른 검사
검사 절차는 [메모리 검사 - 악성 레지스트리 검사 - 악성 쿠키 / 파일 검사 - 불필요 정보] 검사를 순서대로 진행하는 것을 확인하였습니다.
환경 설정에서 사용자가 불필요 정보 검사를 체크 해제를 하여도 빠른 검사에서는 자동으로 검사가 이루어지고 있으며, 해당 진단 항목의 경우 Unlinked Autoloading Entry 진단명을 통해 시작 프로그램으로 등록한 레지스트리 정보를 불필요 항목으로 진단하는 것을 확인할 수 있습니다.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run실제 진단된 항목의 경우 네이버(Naver)에서 제공하는 정상적인 프로그램의 시작 프로그램 등록 정보인데 프로그램에서 임의로 불필요한 정보로 진단하는 것은 사용자가 다양한 프로그램을 사용하는데 불편함을 야기할 수 있다고 생각됩니다.
- NaverMinicalendar = "C:\Program Files\Naver\NaverMinicalendar\NMiniCalendarLauncher.exe"
2. 정밀 검사
기본값으로 체크된 [내 악성코드 검사] 항목은 빠른 검사 영역으로 이해를 하시면 되며, 추가로 사용자가 검사할 특정 디스크 또는 폴더를 지정하여 검사를 진행할 수 있습니다.
앞에서 살펴본 환경 설정 검사 항목에서 지정한 값이 정밀 검사에 반영이 되고 있지만, 사용자가 불필요 정보 검사를 체크 해제하고 검사를 하여도 자동으로 검사가 이루어지는 점은 수정이 필요합니다.
MD5 : 03a6a73f75836c363485d5cd37126513
정밀 검사에서는 압축 파일 검사를 제외하고 10GB 용량을 검사하는데 소요되는 시간이 1시간 40분 이상으로 타 보안 제품에 비해 느린 검사 속도가 아닌가 생각됩니다.
해당 악성코드 검사 방식의 가장 큰 문제점은 진단된 항목에 대해 사용자가 진단 제외 처리를 할 수 없다는 점입니다.
이는 해당 업체에서 직접 분석한 DB가 아닌 BitDefender 엔진을 통해 진단하는 것이 대다수를 차지하는 점을 고려한다면 매우 무책임한 제품 구성으로 휴리스틱 진단을 통한 문제에서 사용자들의 판단이 매우 필요한 제품으로 볼 수 있습니다.
■ 로그 보기
3. 마우스 우클릭을 이용한 수동 검사
4. 악성코드 치료하기
치료가 완료된 파일은 백업을 통하여 검역소에 보관이 되며, 검역소 접근은 외부 메뉴에 존재하지 않고 정밀 검사 메뉴 내부에 존재하므로 사용자가 찾기 어렵게 구성되어 있습니다.
검역소
검역소의 또 다른 문제점은 등록된 목록을 마우스로 확장하여 세부적인 내용을 볼 수 없도록 되어 있으므로 매우 이용에 불편을 주고 있습니다. 이는 터보백신 프리(TurboVaccine Free) 제품 자체의 모든 항목에서 동일하므로 수정이 필요한 부분입니다.
5. 실시간 감시
일반적인 보안 프로그램에서는 실시간 감시 창에서 치료 기능 이외에 치료를 하지 않고 창을 닫는 버튼과 진단 제외 처리를 바로 연결할 수 있도록 편의를 제공하는 것과는 매우 차이가 있습니다.
또한 Windows 탐색기를 통해 해당 악성코드가 존재하는 폴더에 접근하였을 경우 해당 파일 한 개만 존재하여도 실시간 감시가 동작하지 않을 정도로 민감도가 매우 떨어지며, 해당 파일을 사용자가 선택하여 파일 속성을 확인하여도 실시간 감시가 동작하지 않는 것도 확인하였습니다.
더욱 문제는 일반적으로 악성코드 파일이 실시간 감시에서 진단될 경우 해당 파일을 웹 사이트 업로드를 시도하면 차단되어 업로드 자체가 안되는데, 해당 제품에서는 실시간 감시창을 통해 진단을 하면서 정상적으로 웹 사이트에 업로드가 되는 취약점도 존재합니다.
전체적으로 제품의 검사와 치료 방식에서는 심각할 정도의 오진은 존재하지 않지만, 진단된 파일에 대한 제외 처리가 없다는 점과 실시간 감시 기능이 매우 취약하다는 점은 개선이 필요합니다.
728x90
반응형