본문 바로가기

벌새::Software

국내 무료 백신 : SGA24 - 환경 설정 & 악성코드 검사 및 치료

바이러스 체이서(Virus Chaser) 보안 제품으로 유명한 (주)에스지에이(SGA) 업체에서 제공하는 무료 백신 SGA24 제품의 환경 설정과 악성코드 검사 및 치료 기능에 대해 살펴보도록 하겠습니다.

1. 환경 설정

SGA24 제품에서의 환경 설정은 실시간 감시 ON / OFF 기능, 업데이트 자동 / 수동 기능, 예약 검사 설정으로만 구성된 매우 간단한 형태로 되어 있습니다.

■ 검사 상세 설정

[검사 상세 설정] 항목에서는 악성코드 검사시 파일 최대 크기값 설정, 치료시 백업 여부, 자동 치료 여부를 설정할 수 있도록 구성되어 있습니다.

실시간 감시와 바이러스 검사(수동 검사)를 통한 진단 파일 중 치료 불가 파일에 대해서는 무조건 [이동]으로 설정되어 있으며, 여기에서 이동은 검역소로 이동함을 의미합니다.

일반적인 보안 제품에서 볼 수 있는 실시간 감시 파일 확장자별 진단 분류, 압축 파일, 휴리스틱 등에 대한 설정이 전혀 없는 점이 매우 아쉽습니다.

■ 업데이트 설정

제품의 업데이트 설정과 관련하여 기본값은 수동 업데이트로 설정되어 있으며, 자동 업데이트를 설정할 경우 바이러스 체이서(Virus Chaser) 제품처럼 수시 업데이트가 이루어지는 것을 확인할 수 있습니다.

2. 악성코드 검사 및 치료

[바이러스 검사] 검사 방식은 간편 검사와 선택 검사로 분류되어 있습니다.

특이한 점은 해당 검사에서 일반적인 보안 제품에 포함된 메모리 검사, 악성 레지스트리 검사 단계가 보이지 않는 점과 진단된 파일에 대해 진단 제외 처리를 할 수 없다는 점입니다.

악성코드 검사시에는 추가적으로 VCPop.exe / ScanApp.exe 2개의 프로세스가 생성되어 검사가 이루어지는 것을 확인할 수 있으며, 저사양 컴퓨터에서는 검사시 엔진 초기화 단계에서 1분 내외의 시간이 소모되는 점은 BitDefender 엔진의 최대 약점이라고 볼 수 있습니다.

■ 간편 검사

간편 검사에서는 Windows 폴더, Program Files 폴더 내부의 파일을 검사하며 검사 시간이 1시간 이상 소요되는 것을 통해 일반적인 빠른 검사 개념은 아니라고 이해를 하시면 될 것 같습니다.

■ 선택 검사

[선택 검사] 항목에서는 검사 전에 사용자가 검사할 폴더를 선택하여 검사가 이루어지도록 구성되어 있습니다.
 
전체적으로 SGA24 제품의 가벼움에 비해 악성코드 검사는 검사 속도 개선이 필요해 보입니다.

■ 악성코드 진단 및 치료

해당 제품에서 사용하는 BitDefender 엔진에서는 터보백신 프리(TurboVaccine Free) 제품에서 발견되던 동일한 파일에 대한 오진을 보여주는 것을 확인할 수 있습니다.

Trojan.Generic.1751011 진단명의 경우 안철수연구소(AhnLab)에 문의 결과 오진으로 확인되어 진단에서 제외되었으며, 이런 점은 업체에서 외부 엔진을 사용하면서 발생하는 오진 처리 능력에 대해 해결할 문제로 볼 수 있습니다.

진단된 항목을 선택하고 [정보 검색] 버튼을 클릭할 경우, 해당 악성코드에 대한 포괄적인 설명을 확인할 수 있습니다.

■ 실시간 감시 진단

SGA24 제품의 실시간 감시를 통해 진단되는 모습은 그림과 같으며, [무시] 버튼을 클릭할 경우 해당 진단 파일에 대해 어떠한 동작을 하지 않고 그대로 현재 상태를 유지하도록 할 수 있습니다.

[이동] / [삭제] 버튼은 진단된 파일을 검역소로 이동하며, [치료] 버튼은 해당 악성코드의 종류에 따라 삭제 또는 치료 기능을 제공합니다.

■ 마우스 우클릭 수동 검사


마우스 우클릭 수동 검사 방식은 사용자가 검사를 원하는 폴더(파일)을 선택하여 마우스 우클릭을 통해 생성된 하위 메뉴 중
[VCPop으로 검사] 메뉴를 통해 검사를 하실 수 있습니다.

검사 화면은 위에서 소개한 간편 검사와 동일한 진단 방식으로 구성되어 있습니다.

개인적으로 SGA24라는 제품명으로 출시하면서 세부적으로 VCPop이라는 명칭을 사용하는 점은 수정할 부분이 아닌가 생각됩니다.

 

해당 SGA24 제품에서의 가장 큰 문제는 간편 검사가 너무 장시간을 요구하는 검사 방식으로 구성되어 있다는 점과 레지스트리 검사가 존재하지 않는다는 점이 아닌가 생각됩니다.

제가 제품을 처음 소개할 때에는 BitDefender 엔진과 자체 엔진이라고 소개를 하였지만, 실제 진단명으로 구분이 되는 부분이 없을 것으로 추정되며 전적으로 BitDefender 엔진에 의존하는 것으로 생각됩니다.

 

  • 어떻게 보면 좋을 수 도 있는 거지만 환경 설정이 너무 단순한 제품 같더군요. 게다가 카페에 올라온 글을 보니 압축 파일 검사는 아예 불가능 한가봐요.

    • 네.. 저도 검사 과정을 보니 압축 파일을 풀어서 하는 것은 보지 못했습니다.

      검사에서 8MB 이하의 파일에 대해서만 검사하도록 지정해서 그런지는 모르지만..

      알약이나 V3 Lite와는 다르게 터보백신 프리와 SGA24는 너무 환경 설정이 그렇더군요.

  • 벌새님 알약 , V3lite 과는 전혀 다릅니다...


    1>알약 -> 해외바이러스 , 국내바이러스 2가지를 탐지해서 치료 할수 있습니다.

    2>V3lite-> 국내바이러스 만 탐지하여 치료 합니다... <해외바이러스 한테는 많이 취약 합니다>
    >특히: V3 백신은 너무 안정화가 되다 보니..정작 잡아야될 바이러스도 많이 놓치곤 합니다..<

    3>터보백신-> <국내터보엔진 . BitDefender >2가지 엔진을 사용하여 검사 합니다..

    4>네이버백신 -> < 카스퍼스키8.0 , 하우리 > 터보백신과 동일하게 2개엔진을 동시에 사용합니다..

    • 안녕하세요.

      제가 안랩측을 대변하는 것은 아니지만, 바이러스를 진단하는 것을 떠나서 샘플 수집 능력에서 보면 알약측과 비교해서 안랩측은 해외 샘플 수집 능력이 더 탁월합니다.

      그리고 알약은 비트 엔진에 매우 의존적이며, 알약 진단의 상당수는 비트 엔진의 힘이지 알약 자체의 힘은 아닐 것이라고 생각합니다.

      알약은 자체 진단을 강화하기 위해 이미 세계적으로 인정받은 엔진과 DB를 받아오는 것이므로 당연히 국내 보안업체의 진단보다는 우월한 위치에 존재합니다.

      이는 터보, 바체, 하우리, 잉카 역시 비슷하다고 봅니다.

  • 벌새님

    제가 해외사이트 많이 접속 하는 편이라서 바이러스. 악성코드 많이 감염 되어 봐서 아는데요
    V3백신 일부는 30개는 정상적으로처리 되었지만.. 그외 189개는 제대로 처리 하지 못하고.. 계속 V3 감시
    부분이 자동 종료 되는 현상이 있었습니다..

    • 안녕하세요.

      저 역시 일부로 해외 사이트 중 감염 사이트를 많이 접속해 보았지만, 실제 제로데이 취약점이 아닌한 사용자가 보안 패치만 제대로 한 상태라면 보안 제품에 관계없이 감염으로 연결되지는 않는다고 봅니다.

      단순히 보안 제품의 품질에 대한 테스트 차원에서 보안 패치를 제대로 하지 않은 상태로 접속하면 보안 제품의 진단 상태에 따라 그런 식으로 반응이 일어나겠지만, 정상적인 보안 패치만 사용자가 잘해도 그런 감염은 쉽지 않다고 생각합니다.

      그리고 제가 아는 상식선에서는 보안 제품을 죽이는 그런 수준의 경우 해외 악성코드는 국내 보안 제품을 Kill 목록에도 포함시키지 않을 정도로 국내 제품에 대한 인지도는 떨어지는 것으로 압니다.

      단순 샘플 개수를 기준으로 이건 잡고 못잡고 수준은 역시 국내 제품이 떨어지는 것은 분명합니다. 뭐 이건 제가 변명할 부분이 아니라고 생각하고.. 아무튼 제가 생각하는 보안은 보안 제품이 우선이 아니라 사용자가 얼마나 자신이 사용하는 OS / 응용 프로그램의 보안 패치를 충실하게 하면서 기타 악의적인 파일 다운로드 및 실행을 줄일 수 있느냐가 핵심이지 보안 제품 진단 문제는 개인적으로 후순위라고 봅니다.

      예를 들어 특정 취약점을 이용한 유포 방식을 통해 사용자가 특정 사이트 접속시 감염으로 연결된다면 이는 해당 취약점에 대한 보안 패치만 했다면 사실 보안 제품이 해당 악성코드 진단 여부와 상관이 없다고 생각하는게 제 소신이거든요.

  • 벌새님... 저희집 컴퓨터 보안패치 다되어 있는 상태 입니다... 서비스팩3 버전 쓰고 있구요... ^^


    얼마전에 저희집 컴퓨터에 백신으로 위장한 악성코드 2개정도 감염 되어 많이 고생한적이 있었습니다
    감염 됬을때 V3lite 백신 설치 되어 있었는데... 실시간 감시부분이 종료되어 있었고.. 아무리 더블클릭
    해도.. 실행 조차 되지 않았고 손상 되었다는 메세지만 2~3개 뜨곤 했었습니다..

    --> 네이버백신 으로 말끔히 치료하여 문제가 해결 <--

    네이버백신은 <실시간감시> <프로세스> 쉽게 종료되지 않아.. 악성백신 치료할때 도움이 많이 되더군요
    더군다나 엔진2 동시에 돌리니.. 효과를 많이 봤습니다...

    벌새님.. 윈도우 패치 하면 물론 감염되는것이 힘들겠지만....그래도 감염되는것은 따로 있더군요.
    <백신으로 위장한 악성코드>정말 이거 감염되면... 애 많이 먹습니다..

    • 제가 언급하는 핵심은 자동 감염입니다.

      악성코드 유포 방식 중에는 아예 취약점 패치가 존재하지 않는 공격 방식으로 단순히 접속만으로 감염되는 것이 있으며, 또 다른 하나는 일종의 사회 공학적 방법으로 말씀처럼 무엇으로 위장한 파일을 사용자가 직접 실행을 하도록 유도하는 것입니다.

      취약점 패치는 사용자가 시스템에 적용하면 문제가 해결되지만 사용자가 직접 실행하는 부분까지는 기계적으로 처리하기 어렵죠.

      이런 부분은 사용자의 보안 의식 탓이지 보안 제품 탓을 하기에는 이 세상에 완벽한 제품은 없으리라 생각됩니다.

      이 백신이 세계적으로 참 잘 진단한다고 아무 파일이나 백신을 믿고 실행을 한다면 그 컴퓨터는 오래 버티지 못할꺼라고 생각합니다.