울지않는벌새 : Security, Movie & Society

avast! Free Antivirus 7 버전의 자동 샌드박스 문제점 (2012.2.24)

벌새::Software
해외 무료 백신 avast! Free Antivirus 7 버전이 출시되면서 한글판 기준으로 기존에 제공되던 "오토 샌드박스(Auto Sandbox)"의 기능이 "자동 샌드박스"로 이름이 변경되었습니다.

  해외 무료 백신 : avast! Free Antivirus 7.0.1407 정식 버전 출시 (2012.2.24)

  avast! 오토샌드박스 기능으로 인한 알툴즈 삭제 문제 (2011.8.21)

해당 샌드박스(Sandbox) 기능은 특정 파일(프로그램)이 실행될 경우 avast! 백신 프로그램이 실행 파일에 한하여 자동으로 악성 여부에 대한 판단을 하는 보안 기능입니다.

중요한 점은 avast! 진단 정책에 부합되지는 않지만, 안전성 여부가 검증되지 않은 파일인 경우에는 샌드박스(가상화) 모드로 실행하여 실제 PC에 영향을 주지 않도록 하고 있습니다.

예를 들어 특정 소프트웨어 설치 파일을 실행하였을 경우 샌드박스로 실행할 경우에는 설치를 진행하여도 실제 사용자 시스템에는 파일이 생성되지 않는 방식입니다.

그런데 avast! 7 버전으로 넘어오면서 avast! 6 버전과는 다소 다른 동작 방식으로 샌드박스 기능이 실행되는 과정에서 초기 버전의 버그(Bug)가 발견되고 있기에 변화된 동작 방식과 문제점에 대해 살펴보도록 하겠습니다.

사용자가 특정 프로그램을 실행할 경우 시스템 트레이 알림 아이콘 상단에 그림과 같은 "avast!가 의심 프로그램을 분석하고 있습니다."라는 메시지와 함께 파일명과 분석 시간이 표시되는 것을 확인할 수 있습니다.

해당 메시지 창이 생성된다는 점은 샌드박스 모드로 해당 파일을 1차적으로 실행하여 분석을 진행하고 있다는 의미이며, 해당 프로그램에 대해서는 안정성이 검증되지 않은 상태라고 이해를 하시면 됩니다.

분석은 대략 10초 내에서 완료되며 분석이 완료되는 시점에서 사용자가 실행한 프로그램은 무조건 종료됩니다.

여기에서 사용자는 다음번 해당 프로그램 실행시 샌드박스에서 실행할 것인지 정상적인 모드로 실행할 것인지 선택을 할 수 있습니다.

만약 샌드박스에서 프로그램을 실행하도록 설정을 한 경우에는 다음번 프로그램 실행시 붉은색 테두리로 둘러싸인 형태로 동작하는 것을 확인할 수 있습니다.

문제는 사용자가 "정상적으로 열기" 항목을 선택한 다음 해당 프로그램을 실행할 경우 계속적으로 종료되는 현상이 발생하는 것을 목격할 수 있습니다.

자동 샌드박스의 환경 설정 항목을 확인해보면 "자동 샌드박스에서 제외할 파일" 목록에 사용자가 "정상적으로 열기"를 선택한 경우 제대로 등록되지 않고 "기"라는 문구로 등록되는 문제를 확인할 수 있습니다.

이로 인하여 사용자가 프로그램을 실행하여 샌드박스가 아니라 정상적으로 실행할 수 없는 문제가 발생하여 프로그램 설치시 문제가 발생할 가능성이 존재합니다.

이런 경우에는 자동 샌드박스 환경 설정에서 사용자가 직접 "자동 샌드박스에서 제외할 파일" 목록에 샌드박스 처리가 되는 실행 파일을 등록하여 문제를 해결할 수 있습니다.

해당 문제가 모든 avast! 7 버전에서 발생하는 것으로 보이지는 않지만, 일부 시스템에서 발생할 것으로 보이므로 샌드박스 기능으로 정상적인 소프트웨어 동작에 방해가 된다면 임시조치 방법으로 활용하시기 바랍니다.

마지막으로 샌드박스 기능으로 프로그램을 실행하여 동작하여도 특별히 문제가 있지는 않지만, 파일 저장 또는 설치시 실제 PC에 반영이 되지 않으므로 샌드박스 모드로 이용시 주의하시기 바랍니다.