본문 바로가기

벌새::Software

해외 무료 백신 : Microsoft Security Essentials(MSE) 2.0 : 자체 보호 기능

반응형
마이크로소프트(Microsoft)사에서 제공하는 무료 백신 Microsoft Security Essentials(MSE) 2.0 버전의 자체 보호 기능에 대한 문의가 있어서 간단하게 몇 가지 살펴보도록 하겠습니다.

기존의 MSE 1.0 버전이 출시되었을 당시 악성코드로부터 자신을 보호하기 위한 보안 제품의 자체 보호 기능이 미약하다는 말로 인하여 사용을 기피하시는 분들이 있었던 것으로 기억합니다.

그렇다면 MSE 2.0 버전에서의 자체 보호 기능의 존재 여부와 동작 방식에 대하여 프로세스 부분과 파일 부분에 대해 살펴보도록 하겠습니다.
MsMpEng.exe : Antimalware Service Executable
msseces.exe : Microsoft Security Client User Interface

MSE 2.0 버전의 프로세스는 메모리에 상주하는 2개의 프로세스가 존재하는데, 실시간 감시 기능을 담당하는 MsmpEng.exe 프로세스와 시스템 트레이 아이콘을 표시하는 msseces.exe 프로세스로 구분할 수 있습니다.

악성코드가 MSE 제품이 설치된 환경에서 설치에 성공하기 위해서는 MsMpEng.exe 프로세스를 강제 종료하도록 제작될 것이며 이 부분에 대한 자체 보호 기능을 확인하기 위해 강제 종료를 시도해 보았습니다.
해당 프로세스가 강제 종료되면 자동으로 시스템 트레이 상에 존재하는 MSE 아이콘은 붉은색으로 변경되면서 그림과 같이 팝업창을 통해 프로그램 서비스가 중지되어 컴퓨터를 모니터링하고 있지 않다는 메시지가 생성됩니다.

사용자가 [지금 시작] 버튼을 클릭하면 자동으로 종료된 MsMpEng.exe 프로세스가 재실행되며 이를 통해 실시간 감시 기능이 재활성화되도록 구성되어 있습니다.

만약, msseces.exe 프로세스가 종료될 경우에는 어떤 현상이 발생하는지 확인을 해보면 해당 프로세스는 MSE 보안 제품은 UI을 담당하고 있으므로 종료시 팝업창을 통해 다시 시작하도록 메시지가 노출되지 않습니다.

대신 시스템 트레이 상에 존재하던 MSE 보안 제품 아이콘이 사라지는 현상만을 보이고 있습니다.

이런 상태에서 과연 MSE 보안 제품이 PC를 보호하고 있는지 실시간 감시 기능을 확인해 보도록 하겠습니다.
먼저 사용자는 시스템 트레이에서 제거된 MSE 보안 제품의 UI를 재실행하기 위해서는 프로그램 목록에 제시된 [Microsoft Security Essentials] 항목을 클릭하여 시스템 트레이 아이콘 생성 및 제품 메인 화면이 생성되도록 할 수 있습니다.
MSE 보안 제품 메인 화면에 보시면 비록 msseces.exe 프로세스가 종료되어 UI 상으로는 표시되지 않았었지만, 정상적으로 종료된 시점에서 사용자 PC에 존재하는 위협 요소에 대해 실시간 감시를 통해 정상적으로 차단을 하고 있었던 것을 확인할 수 있습니다.

그러므로 전체적으로 프로세스 종료에 대한 MSE 자체 보호 기능은 정상적인 타 보안 제품과 마찬가지로 정상적으로 동작한다고 판단됩니다.
하지만 MSE 보안 제품이 설치된 폴더(C:\Program Files\Microsoft Security Client) 내에 위치한 제품 관련 파일에 대한 강제 삭제시에는 일부 중요 파일들이 임의로 삭제되는 문제가 발견되므로, MSE 보안 제품에서는 폴더(파일), 레지스트리 자체 보호 기능은 존재하지 않는 것으로 판단됩니다.

그러므로 유명 보안 제품에서 제공하는 자체 보호 기능보다는 만족스럽지 못한 자체 보호 기능으로 인하여 보안 제품이 진단하지 못하는 바이러스의 경우 제품 자체가 감염되는 경우가 발생할 수 있지 않을까 판단됩니다.

 

728x90
반응형
  • 비밀댓글입니다

  • 벌새님 질문 있습니다.
    이스트 소프트 알약이 두가지 버전이 존재한다는거 아시나요.
    아무리 봐도 U+알약과 일반 알약은 차이가 거의 없어 보입니다.
    혹시 U+알약과 일반 알약은 무슨 차이가 있나요.
    궁금합니다.

    • 말씀하시는 U+알약이라는 것이 어느 통신회사에서 제공해주는게 아닌가 싶습니다.

      제가 알고 있는 지식에서는 개인용과 기업용의 진단에 있어서 큰 차이가 있다는 것은 알고 있지만, 개인용이 차이가 있다는 것은 금시초문입니다.

  • 어라 계셧군요.
    U+알약이 잡는것과 일반 알약이 잡는것이 달라서 그럽니다.
    U+에선 진단명이 조금 달라서요.
    U+에서는 A.SCT.Inbee란 애드웨어로 표시되는데
    일반 알약에서는 A.SCT.Inbee2 라고 표시되길래요.
    질문 드린겁니다.

  • 아 그러고 보니 저둘은 뭔차이 입니까
    문의 답변이 신통치 않아서 드렸습니다.