본문 바로가기

벌새::Software

Kaspersky Anti-Virus 2011 : 수동 검사

러시아 보안 업체 Kaspersky Lab ZAO 에서 제공하는 유료 보안 제품 Kaspersky Anti-Virus 2011 제품의  수동 검사(컴퓨터 전체 검사, 중요한 영역 검사)와 마우스 우클릭 검사 기능에 대해 살펴보도록 하겠습니다.

1. 수동 검사 : 메인 화면

Kaspersky 제품의 수동 검사 방식은 시스템 트레이 알림 아이콘에서 제공하는 메뉴를 통해서는 진행할 수 없으며, 메인 화면의 수동 검사 항목에서 컴퓨터 전체 검사(정밀 검사)와 중요한 영역 검사(빠른 검사)를 할 수 있습니다.

또한 하단 검사 영역에서는 검사를 원하는 특정 개체(파일)를 마우스로 드래그하여 바로 검사를 진행할 수 있는 기능을 포함하고 있습니다.

만약 특정 드라이브(폴더)에 대한 검사를 위해서는 [찾아보기(클릭)] 버튼을 통해 사용자가 검사를 원하는 개체를 선택하여 검사를 진행할 수 있습니다.

사용자가 검사 중 검사 진행 메뉴를 클릭할 경우 그림과 같은 상세한 검사 진행 상태를 확인할 수 있으며 검사 완료 후 동작 방식을 지정하실 수 있습니다.

만약 검사 과정에서 사용자에 의해 검사가 일시 중지되어 완료가 이루어지지 않은 상태에서 다시 재검사를 시도할 경우에는 이전에 중지된 시점부터 검사를 하거나 새로운 검사를 할 수 있는 선택창이 뜨는 점이 특이합니다.

모든 검사가 완료되면 그림과 같은 안내창을 통해 진단 결과를 확인할 수 있으며, 세부적인 진단에 대한 정보는 리포트 기능을 통해 확인할 수 있습니다.(※ 리포트 기능에 대해서는 양이 많은 관계로 차후 소개해 드리겠습니다.)

만약 검사 중에 악성 파일이 발견될 경우 검사 완료 후 위와 같은 경고창을 통해 사용자의 선택에 따라 처리 방식을 선택할 수 있습니다.(※ 시그니쳐 방식의 정식 진단의 경우에는 이미 해당 파일은 악성 파일로 판명이 난 경우이므로 삭제(치료)를 권장합니다.)

하지만 카스퍼스키 시큐리티 네트워크(KSN : Kaspersky Security Network) 진단 방식은 클라우드 방식을 통한 사전 진단이므로 차후 악성 여부가 결정될 가능성이 있습니다.(※ KSN 진단명은 UDS:DangerousObject.Multi.Generic로 표기됩니다.)

이런 경우에는 개체 격리를 통해 격리 저장소로 이동시켜 보관한 후 차후 해당 파일의 악성 여부에 따라 결정이 이루어지므로 권장값에 따르시기 바라며, 차단의 경우에는 진단된 파일에 대해 현재 위치에 그대로 둔다는 의미입니다.

실제로 KSN 진단을 한 파일에 대해 차단을 선택한 경우에는 "사용자에 의해 건너뛰기"로 표시되며 진단된 파일을 유지하게 됩니다.

이외에도 휴리스틱 진단(진단명 : HEUR:Trojan.Win32.Generic)에서도 KSN 진단과 마찬가지로 정식 진단이 아니므로 권장값은 격리 저장소에 보관입니다.

2. 환경 설정 : 수동 검사

● 수동 검사 : 일반 설정

일반 설정에서는 컴퓨터가 유휴 상태일 경우 백그라운드 방식으로 루트킷(Rootkit) 검사를 포함한 자동 검사를 할 수 있도록 설정되어 있습니다.

이동식 장치(외장 하드, USB, 디지털 카메라 등)가 PC에 연결될 경우에는 자동으로 그림과 같은 이동식 장치 드라이브가 탐지되었다는 메시지와 함께 검사 여부를 사용자가 선택할 수 있습니다.

[수동 검사 작업 바로가기] 기능은 바탕 화면에 컴퓨터 전체 검사, 중요한 영역 검사, 취약점 검사를 실행할 수 있는 바로가기 아이콘을 생성해 주는 독특한 기능입니다.

● 수동 검사 : 컴퓨터 전체 검사

컴퓨터 전체 검사(정밀 검사)는 검사 완료 후 진단된 항목에 대하여 각각의 경고창 생성을 통해 처리 방법을 물어봅니다.

일반적인 보안 제품의 경우 하나의 화면에서 쉽게 진단 내역을 볼 수 있는 것과는 다소 다르게 다수의 파일 진단이 이루어진 경우에는 다소 불편한 방식이 아닌가도 생각됩니다.

세부적인 설정을 살펴보면 검사 최적화 항목에서 빠른 검사를 위해 [새로운 것이나 변경된 파일만 검사] 항목에 체크를 하시고 이용하시길 권장합니다.

복합 파일(압축 파일, 설치 패키지, 삽입된 OLE 개체) 검사의 고급 항목에서는 기본값으로 100MB 이상의 파일은 검사시 압축 해제를 하지 않도록 설정하실 수 있습니다.

검사 방식에서는 휴리스틱 분석을 기본값이 아닌 자세히 또는 매우 자세히로 올릴 경우 검사시 더 많은 자원 및 시간이 소요될 수 있으므로 사용자 PC 성능에 따라 수준을 결정하시기 바랍니다.

또한 기본값으로 [루트킷 검사] 항목이 체크 해제되어 있으므로 검사를 원할 경우 체크하시기 바랍니다.

컴퓨터 전체 검사를 사용자가 지정한 시간에 자동으로 검사할 수 있도록 스케줄 지정을 할 수 있습니다.

스케줄 검사의 검사 영역은 권장 레벨에서 추가적으로 사용자가 지정한 개체를 포함시킬 수 있습니다.

● 수동 검사 : 중요한 영역 검사

중요한 영역 검사(빠른 검사)와 관련된 설정 역시 컴퓨터 전체 검사와 동일하므로 사용자가 원하는 추가적인 설정을 통해 변경하실 수 있습니다.

● 수동 검사 : 사용자 지정 검사

사용자 지정 검사는 마우스 우클릭 검사 또는 특정 개체(드라이브, 폴더) 지정 검사 방식을 의미합니다.

마우스 우클릭 방식의 검사 메뉴를 살펴보면 바이러스 검사와 격리 저장소로 이동 기능으로 구분되어 있습니다.

이 중에서 [격리 저장소로 이동] 기능은 Kaspersky 보안 제품에서 진단하지 않았지만, 분명 악성 파일로 의심될 경우 해당 파일을 격리 저장소에 강제 이동을 시킬 수 독특한 기능입니다.

격리 저장소에 사용자 추가 방식으로 등록된 개체를 확인해보면 현재 Kaspersky 제품에서 진단되지는 않고 있으며, 메뉴를 통해 검사, 복원, 전송 등을 할 수 있습니다.

여기에서 검사는 현재 시점에서는 진단되지 않으므로 차후 DB 업데이트가 이루어진 경우 격리된 샘플에 대해 자동으로 검사를 하여 최종적으로 악성 여부에 따라 처리가 이루어집니다.

전송 기능은 자동 전송 방식이 아니라 이메일 클라이언트 프로그램을 동작하는 연결만이 이루어지며 이를 통해 사용자가 직접 샘플 신고를 하도록 구성되어 있습니다.

하지만 격리 저장소에 보관된 파일 중 일정 시간이 경과한 후 정상 파일로 최종 판단이 된다는 메시지와 함께 복원을 하도록 안내하는 창이 생성될 수 있습니다.

이런 경우 복원을 다시 하였지만 차후 복원된 파일이 정식 시그니쳐 진단에 포함되는 경우가 발견이 되고 있으므로 이용시 매우 주의할 필요가 있습니다.

또한 격리 저장소에 보관 중인 파일에 대해 정상 파일로 판명되어 복원된 후 사용자가 다시 격리 저장소로 이동시킨 경우에는 정상 카테고리 항목에 등록되지만, 일부는 휴리스틱 진단으로 탐지되는 것도 확인되는 등 격리 저장소 기능에는 문제가 있습니다.

● 수동 검사 : 취약점 검사

취약점 검사는 사용자 컴퓨터에 설치된 시스템을 포함한 다양한 응용 프로그램 중에서 악성 프로그램의 공격 대상이 될 수 있는지를 검사하는 기능입니다.(※ 취약점 검사는 도구 기능에 포함되어 있으므로 차후에 소개해 드리겠습니다.)

3. 문제점

개인적인 사용 경험상 검사를 통해 진단된 항목 중 [C:\Windows\System32\Tools\InstallNext.exe] 파일(RealTek 사운드 관련 파일로 추정)의 경우 Kaspersky 제품에서만 유독 not-a-virus:RiskTool.Win32.Reboot.ar 진단명으로 진단하여 사용자를 불안하게 하는 경우가 있습니다.(※ 리스크웨어(Riskware) 진단은 기본값으로 설정된 경우는 아닙니다.)

또한 격리 저장소 동작이 다소 부드럽지 못하고 최초 검사시 진단하지 못한 샘플에 대해 차후 진단 여부에 따라 복원하는 과정에서 잘못된 판단이 이루어질 수 있다는 점은 아쉬움이 남습니다.

또한 번역상 진단된 파일을 삭제(치료)하지 않고 그대로 두는 경우를 "차단"이라고 표현하는 문구는 사용자에게 혼돈을 주는 것 같습니다.