본문 바로가기

벌새::Software

해외 무료 백신 : Microsoft Security Essentials(MSE) 2.0 : 자체 보호 기능

반응형
마이크로소프트(Microsoft)사에서 제공하는 무료 백신 Microsoft Security Essentials(MSE) 2.0 버전의 자체 보호 기능에 대한 문의가 있어서 간단하게 몇 가지 살펴보도록 하겠습니다.

기존의 MSE 1.0 버전이 출시되었을 당시 악성코드로부터 자신을 보호하기 위한 보안 제품의 자체 보호 기능이 미약하다는 말로 인하여 사용을 기피하시는 분들이 있었던 것으로 기억합니다.

그렇다면 MSE 2.0 버전에서의 자체 보호 기능의 존재 여부와 동작 방식에 대하여 프로세스 부분과 파일 부분에 대해 살펴보도록 하겠습니다.
MsMpEng.exe : Antimalware Service Executable
msseces.exe : Microsoft Security Client User Interface

MSE 2.0 버전의 프로세스는 메모리에 상주하는 2개의 프로세스가 존재하는데, 실시간 감시 기능을 담당하는 MsmpEng.exe 프로세스와 시스템 트레이 아이콘을 표시하는 msseces.exe 프로세스로 구분할 수 있습니다.

악성코드가 MSE 제품이 설치된 환경에서 설치에 성공하기 위해서는 MsMpEng.exe 프로세스를 강제 종료하도록 제작될 것이며 이 부분에 대한 자체 보호 기능을 확인하기 위해 강제 종료를 시도해 보았습니다.
해당 프로세스가 강제 종료되면 자동으로 시스템 트레이 상에 존재하는 MSE 아이콘은 붉은색으로 변경되면서 그림과 같이 팝업창을 통해 프로그램 서비스가 중지되어 컴퓨터를 모니터링하고 있지 않다는 메시지가 생성됩니다.

사용자가 [지금 시작] 버튼을 클릭하면 자동으로 종료된 MsMpEng.exe 프로세스가 재실행되며 이를 통해 실시간 감시 기능이 재활성화되도록 구성되어 있습니다.

만약, msseces.exe 프로세스가 종료될 경우에는 어떤 현상이 발생하는지 확인을 해보면 해당 프로세스는 MSE 보안 제품은 UI을 담당하고 있으므로 종료시 팝업창을 통해 다시 시작하도록 메시지가 노출되지 않습니다.

대신 시스템 트레이 상에 존재하던 MSE 보안 제품 아이콘이 사라지는 현상만을 보이고 있습니다.

이런 상태에서 과연 MSE 보안 제품이 PC를 보호하고 있는지 실시간 감시 기능을 확인해 보도록 하겠습니다.
먼저 사용자는 시스템 트레이에서 제거된 MSE 보안 제품의 UI를 재실행하기 위해서는 프로그램 목록에 제시된 [Microsoft Security Essentials] 항목을 클릭하여 시스템 트레이 아이콘 생성 및 제품 메인 화면이 생성되도록 할 수 있습니다.
MSE 보안 제품 메인 화면에 보시면 비록 msseces.exe 프로세스가 종료되어 UI 상으로는 표시되지 않았었지만, 정상적으로 종료된 시점에서 사용자 PC에 존재하는 위협 요소에 대해 실시간 감시를 통해 정상적으로 차단을 하고 있었던 것을 확인할 수 있습니다.

그러므로 전체적으로 프로세스 종료에 대한 MSE 자체 보호 기능은 정상적인 타 보안 제품과 마찬가지로 정상적으로 동작한다고 판단됩니다.
하지만 MSE 보안 제품이 설치된 폴더(C:\Program Files\Microsoft Security Client) 내에 위치한 제품 관련 파일에 대한 강제 삭제시에는 일부 중요 파일들이 임의로 삭제되는 문제가 발견되므로, MSE 보안 제품에서는 폴더(파일), 레지스트리 자체 보호 기능은 존재하지 않는 것으로 판단됩니다.

그러므로 유명 보안 제품에서 제공하는 자체 보호 기능보다는 만족스럽지 못한 자체 보호 기능으로 인하여 보안 제품이 진단하지 못하는 바이러스의 경우 제품 자체가 감염되는 경우가 발생할 수 있지 않을까 판단됩니다.

 

728x90
반응형