울지않는벌새 : Security, Movie & Society

해외 무료 백신 : AVG Anti-Virus Free Edition 2011 - Identity Protection 기능

벌새::Software
체코 보안 업체 AVG Technologies에서 제공하는 무료 백신 AVG Anti-Virus Free Edition 2011 버전에 처음으로 도입된 행동 기반 방식의 Identity Protection 기능의 실제 동작을 살펴보도록 하겠습니다.

Identity Protection 기능에 대한 소개는 환경 설정에서 이미 하였으므로 해당 내용을 참고하시기 바라며, 테스트에서는 원래 AVG Anti-Virus Free Edition 2011 버전의 Anti-Virus / Anti-Spyware DB에서 정식으로 진단되지 않는 악성 프로그램(파일)을 이용해야 하지만 개인이 쉽게 찾기 어려운 사정상 다음과 같은 방식을 이용하였습니다.

테스트에 사용된 샘플은 AVG 보안 제품에서 Generic4.ASGD 진단명으로 진단되는 애드웨어(Adware) 설치 파일을 통해 확인을 하도록 하겠습니다.

또한 순수한 Identity Protection 기능만을 확인하기 위해 Resident Shield 기능을 비활성화하여 진단 DB를 이용한 차단을 하지 않도록 설정하였습니다.

테스트 파일을 이용하여 프로그램 설치를 진행하면 실제 사용자 PC에 정상적으로 프로그램이 설치되는 과정에서 그림과 같은 Identity Protection 경고창을 통해 설치 파일에 대해 위협 요소로 진단되는 창을 생성하는 것을 확인할 수 있습니다.(해당 경고창은 위에서 제시한 Resident Shield 경고창과는 다른 UI로 구성되어 있는 것을 쉽게 확인할 수 있습니다.)

Identity Protection 경고창에서는 해당 파일을 사용자가 바이러스 저장소로 격리 처리를 할 것인지 아니면 정상적인 프로그램이므로 허용을 할 것인지 선택을 하도록 구성되어 있습니다.

만약 사용자가 해당 프로그램은 정상적인 프로그램이므로 Identity Protection 기능을 통한 진단에서 허용을 할 경우 환경 설정(고급 AVG 설정)의 Identity Protection 허용 목록에 그림과 같이 등록되어 차후 해당 프로그램(파일)이 실행될 때 진단되지 않도록 설정할 수 있습니다.

하지만, 만약 Identity Protection 경고창에서 해당 위협 요소에 대해 사용자가 [저장소로 이동]을 선택할 경우에는 그림과 같은 메시지를 생성하며 Resident Shield를 이용한 저장소 이동 방식과는 다르게 다음과 같은 자동화 절차를 거쳐 사용자 PC에 생성된 프로세스, 파일, 레지스트리 항목을 제거합니다.

최종적으로 Identity Protection 기능을 통해 진단된 해당 설치 파일을 통해 생성된 각종 설치 흔적을 제거하였고 사용자는 [세부 정보 표시...] 메뉴를 통해 세부적인 정보를 확인할 수 있습니다.

세부 정보에서는 종료된 프로세스, 삭제된 파일, 삭제된 레지스트리 정보를 쉽게 확인할 수 있도록 구성되어 있습니다.

결론적으로 실시간 감시(Resident Shield) 기능을 통한 특정 파일 진단은 해당 파일만을 제거하는 기능을 제공하지만, Identity Shield 기능을 통한 진단에서는 설치 초기 단계가 아닌 특정 프로그램(파일)이 설치되어 동작하는 과정에서 위협 요소가 발견될 경우 진단된 파일을 포함하여 관련 파일 전체를 제거할 수 있는 기능을 제공합니다.

테스트에서는 이미 AVG 업체에서 악성 프로그램으로 진단(분석)된 파일을 이용하여 테스트를 하여 아쉬운 점은 있지만 해당 기능의 대략적인 동작 방식은 이해가 되셨으리라 생각됩니다.