본문 바로가기

벌새::Security

안철수연구소(AhnLab) Win-Trojan/Securisk 진단명 처리 방법과 문제점

국내 보안 업체 안철수연구소(AhnLab) 보안 제품에서 유해 가능 프로그램으로 진단하는 진단명 중 Win-Trojan/Securisk 진단명에 대해 사용자가 처리하는 방법 및 제품 진단에서의 문제점을 살펴보도록 하겠습니다.

업체에서 해당 진단명에 대한 안내를 살펴보면 해당 진단은 실시간 감시가 아닌 수동 검사시 진단되는 항목으로 제품을 통한 치료는 지원하지 않고 사용자가 진단된 파일(프로그램)을 수동으로 제거하도록 안내를 하고 있다고 명시되어 있습니다.

실제 수동 검사를 통해 진단된 모습을 보면 [수동 제거]로 표시를 하고 있으며, 사용자는 해당 진단된 파일이 속한 프로그램을 제어판의 [프로그램 추가/제거] 항목을 통해 문제의 파일 뿐만 아니라 프로그램 자체를 삭제하도록 하고 있습니다.

그러므로 위와 같은 진단명에 따라 일부 진단 항목은 사용자가 수동으로 처리할 필요가 있으므로 사용자는 진단된 항목의 상태 항목을 살펴볼 필요가 있습니다.

만약 진단된 파일(프로그램)이 프로그램 자체에서 삭제 기능을 제공하지 않는 경우에는 반드시 수동으로 프로그램을 삭제해야 한다는 점 역시 잊지 마시고, 업체에서는 이런 경우에는 샘플 신고를 통해 분석을 의뢰하여 치료 기능을 제공받도록 안내를 하고 있습니다.


그런데 테스트 과정에서 흥미로운 부분을 발견한 것은 특정 파일을 Win-Trojan/Securisk 진단명으로 실시간 감시를 통해 진단을 하며, 해당 파일은 [치료 가능]으로 표시를 하며 수동 제거 방식이 아닌 삭제 처리를 제품에서 해준다는 사실입니다.

이 부분은 해당 진단명에서 안내하는 부분과 다소 다르게 제품 상에서 동작하는 것으로 수동 검사에서는 수동 제거 방식을 안내하면서, 실시간 감시에서는 삭제 치료를 제공하는 다소 이중적인 동작이 아닌가 생각됩니다.


V3 365 클리닉 제품의 경우 Win-Trojan/Securisk 진단명과 같은 유해 가능 프로그램은 기본값으로 정밀 검사(수동 검사)에서 체크 해제된 상태로 설치가 이루어지며, 사용자가 체크를 해야지만 진단이 되는 진단명입니다.

하지만 추가적인 테스트를 다음과 같이 진행하였을 경우 실제 환경 설정의 유해 가능 프로그램 체크 여부와 상관없이 실시간 감시에서는 유해 가능 프로그램 진단 및 치료(삭제)를 지원하고 있는 것을 확인할 수 있었습니다.


또한 유해 가능 프로그램 진단 체크를 해제한 상태로 수동 검사를 하였을 경우에는 위에서 체크한 상태로 수동 검사를 하였을 경우와는 다르게 수동 삭제가 아닌 치료(삭제)를 지원하는 장면을 확인할 수 있습니다.

아무튼 V3 보안 제품에서의 유해 가능 프로그램 진단 자체가 매우 복잡하게 반응한다는 사실은 분명해 보입니다.

이런 식이라면 사용자 입장에서는 차라리 환경 설정에서 유해 가능 프로그램 진단 항목을 체크 해제한 상태로 이용하는 것이 오히려 편할 것 같습니다.