일반적으로 악성코드로부터 시스템을 보호하기 위하여 실시간 감시 기능을 제공하는 안티 바이러스(AntiVirus) 제품을 설치하는 것이 필수적이며, 일부 사용자 중에는 실시간 감시 기능이 있는 2개 이상의 보안 제품을 함께 설치하여 사용하는 경우도 있습니다.(※ 예를 들어 "AhnLab V3 Lite + 알약(ALYac)" 제품을 함께 사용하는 경우이며 개인적으로 추천하지 않습니다.)
그런데 악성코드 감염으로 인하여 실시간 감시 및 보안 제품 자체의 기능이 정상적으로 동작하지 않는 경우 전용 백신을 사용하여 문제를 해결하려고 하는 경우가 있지만, 감염된 악성코드가 무엇인지 모르는 상황에서 어떤 전용 백신을 사용해야 할지 막막할 수 있습니다.
이런 경우 실시간 감시 기능은 제공하지 않지만 무료로 수동 검사를 제공하는 프로그램을 각 보안 업체에서는 제공하는 경우가 많은데, 그 중에서도 세계 최고 수준의 기술을 자랑하는 Kaspersky 업체에서 제공하는 "Kaspersky Virus Removal Tool" 제품을 소개해 드리겠습니다.
1. Kaspersky Virus Removal Tool 다운로드 및 설치
Kaspersky Virus Removal Tool 제품 다운로드 페이지에서는 Version 10, Version 11 버전을 함께 제공하고 있으며, 한국어(Korean)는 Version 10 버전에서만 사용할 수 있으며 이 글에서는 Version 11 영문판(English) 기준으로 소개해 드리겠습니다.
우선 Kaspersky Virus Removal Tool 제품의 버전과 언어를 선택하여 다운로드(Download)를 진행하면 가장 최신 버전 파일이 다운로드 됩니다.
단, 주의할 점은 해당 파일은 업데이트 기능을 제공하지 않으므로 다운로드된 파일을 사용한 이후 일정 시간이 경과한 후에는 다시 새로운 파일을 다운로드하여 사용하시기 바랍니다.
다운로드된 파일을 실행하면 자동으로 압축 해제가 되며, 인스톨 설치 방식이 아니므로 생성 파일은 사용자 계정의 임시 폴더(%temp%) 내부에 생성됩니다.(※ 삭제시에는 다운로드된 파일만 삭제하시면 됩니다.)
압축 해제 후에는 제품 이용약관이 생성되며, "I accept the license agreement" 체크 박스에 체크한 후 활성화된 "Start" 버튼을 클릭하시면 프로그램이 실행됩니다.
2. 환경 설정
실행된 프로그램은 반드시 환경 설정(※ 톱니 바퀴 모양) 메뉴에서 세부적인 설정을 한 후 검사를 진행하시기 바랍니다.
(1) Scan scope
Scan scope 메뉴에서는 검사할 시스템 영역, 드라이브, 폴더 등을 선택할 수 있으며, 기본값으로 설정된 System memory, Hidden startup objects, Disk boot sectors 이외에 "로컬 디스크 (C:)"를 포함한 사용자가 원하는 체크 박스에 체크하시고 검사를 진행하시기 바랍니다.
(2) Security level
Security level 메뉴에서는 기본값으로 제시된 Recommended 또는 High 보안 레벨로 설정하시기 바라며, Kaspersky Virus Removal Tool 제품에서는 자가 보호(Self-Defense) 기능을 제공하고 있습니다.
세부적인 검사 설정을 위해서는 "Settings..." 버튼을 클릭하여 다음과 같은 설정을 유지하시기 바랍니다.
■ Scope
검사 범위(Scope)를 지정할 수 있는 설정에서는 검사할 파일 유형으로 "All files"로 설정하시기 바라며, 검사 속도 최적화(Scan optimization)를 위해 30초 이상 시간이 소요되는 파일은 검사를 생략(Skip files scanned longer than)할 수 있도록 지정할 수 있습니다.
또한 복합 파일 검사(Scan of compound files)에서는 압축 파일 검사(Scan archives), 인스톨 패키지 검사(Scan installation packages), OLE 개체 검사(Scan embedded OLE objects), 이메일 포맷(Parse email formats) 파일에 대해 검사할 수 있도록 지정할 수 있습니다.
추가적으로 "Additional..." 버튼을 클릭하시면 특정 용량 이상(100MB 이상)의 복합 파일에 대해서는 검사하지 않도록(Do not unpack large compound files) 설정할 수 있습니다.
■ Additional
추가(Additional) 검사 설정으로 시그니처 분석(Signature analysis) 이외에 휴리스틱 분석(Heuristic analysis) 감도를 설정할 수 있으며, 강력한 진단을 원하실 경우에는 "deep scan"으로 설정하시고 검사를 하시기 바랍니다.
또한 취약점에 대한 시그니처 검사(Signature scan of vulnerabilities), 루트킷 검사(Rootkit scan)가 포함되며 루트킷 검사를 정밀하게 하기 위해서는 "Deep scan" 체크 박스에 체크하시기 바랍니다.
(3) Actions
검사를 통해 진단된 파일에 대한 조치 방법(Actions)은 기본값으로 진단창 생성(Prompt on detection)이 체크되어 있으며, 이를 통해 검사 중 진단된 파일이 존재할 경우 진단창을 생성하여 사용자가 처리 방법을 결정할 수 있습니다.
3. 악성코드 검사
환경 설정이 조정한 이후 "Automatic Scan" 메뉴를 선택하여 "Start scanning" 버튼을 클릭하면 자동으로 사용자가 지정한 영역에 대한 악성코드 검사가 진행됩니다.(※ 검사에 소요되는 시간은 사용자 하드 디스크 용량에 따라 다르며, 개인적인 체감 속도는 느립니다.)
악성코드 검사 중에는 시스템 트레이 알림 아이콘 상단에 그림과 같은 팝업창을 통해 메시지가 표시될 수 있는데, 특정 파일이 비밀번호로 보호된 경우(Password protected)에는 검사를 할 수 없다는 내용이나 진단된 파일을 사용자가 치료하지 않고 Skip 처리한 경우 또는 진단된 위협에 대해 모두 처리하도록 안내하는 메시지 등이 표시될 수 있습니다.(※ 실제 제품 사용시 해당 메시지는 그냥 눈으로 확인만 하셔도 됩니다.)
악성코드 검사 중 실제 악성 파일이 진단된 경우에는 시스템 트레이 알림 아이콘 상단에 붉은색 계열의 "Alarm" 창이 생성되며, 진단된 파일에 따라 처리(Actions) 방식이 달라질 수 있습니다.
- Disinfection : 치료(※ 바이러스 감염으로 정상 파일이 수정된 경우)
- Disinfection is not possible (비활성) : 치료 불가능
- Quarantine : 검역소 이동(※ HEUR:Trojan-Downloader.Win32.Generic 진단명처럼 휴리스틱 진단인 경우에는 오진을 대비하여 검역소 백업 방식으로 삭제 처리할 수 있습니다.)
- Delete : 삭제
- Skip : 무시
일반적으로 파일에 따라 5가지 처리 방식으로 표시될 수 있으며, 제시되는 처리 방법 중 추천(recommended) 방식을 클릭하여 치료(삭제)를 진행하시면 됩니다.(※ 진단창이 생성된 경우 검사는 일시 중지되며 사용자가 처리 방식을 결정해야지 검사가 진행됩니다.)
또한 진단창 생성시 오진으로 판단되어 처리 방법을 결정하지 못한 경우 Skip를 클릭한 경우에는 차후 악성코드 검사 완료 후 Skip한 파일에 대해서만 따로 처리가 가능합니다.
참고로 악성코드 검사 화면에서는 악성 파일이 진단된 경우 "3 threats detected"와 같은 메시지로 총 진단 파일 개수를 확인할 수 있습니다.
검사가 완료되면 그림과 같은 메시지 창을 통해 유료 제품 구매 안내창이 생성되므로, "No Thanks" 버튼을 클릭하시기 바랍니다.
4. 보고서(Reports)
악성코드 검사 완료 이후 사용자가 검사 중 발견한 악성코드 정보 또는 Skip한 악성 파일에 대한 정보는 보고서(Reports) 메뉴를 통해 자세하게 확인할 수 있습니다.
(1) Status
상태(Status) 항목에서는 악성코드 검사를 통해 진단된 파일 중 사용자가 처리하지 않은 항목(Skip)에 대한 정보를 확인할 수 있습니다.
만약 Skip한 진단 파일이 있을 경우 "Threats have been detected" 항목의 "Details..." 버튼을 클릭해 보도록 하겠습니다.
(2) Detected threats
클릭을 통해 진단된 위협(Detected threats) 메뉴로 전환되며, 사용자가 "All detected malware" 메뉴를 선택하시면 악성코드 검사를 통해 진단되어 처리된 파일과 처리되지 않은 파일에 대한 모든 정보를 볼 수 있습니다.
만약 처리되지 않은 파일(Active threats)이 존재할 경우에는 "Disinfect all" 버튼을 클릭하여 치료(삭제)를 진행할 수 있습니다.
(3) Automatic Scan report
자동 검사 보고서(Automatic Scan Report)에서는 악성코드 검사시 발생한 각종 이벤트 로그(Log)를 한 눈에 자세하게 확인할 수 있으며, 해당 보고서는 악성코드 검사 중에서 실시간으로 기록이 이루어지므로 언제든지 참고할 수 있습니다.
5. Manual Disinfection
Kaspersky Virus Removal Tool 제품에서는 수동 치료(Manual Disinfection) 기능을 제공하고 있으며, 사용자가 "Start gathering system information" 버튼을 클릭할 경우 보고서 파일을 생성합니다.
이를 통해 생성된 보고서를 Kaspersky 포럼 등에 등록하여 수동 치료를 위한 스크립트(Script) 정보를 받아 실행할 수 있는 것으로 보입니다.
하지만 해당 기능은 러시아 또는 영어권 사용자에게만 유용한 기능으로 보이므로 국내에서는 특별히 도움이 되는 기능은 아니므로 이 글에서는 생략합니다.
6. Kaspersky Virus Removal Tool 총평
Kaspersky Virus Removal Tool 제품은 다른 실시간 감시 기능을 제공하는 보안 제품 사용자가 악성코드 감염시 다운로드를 통해 1회용으로 사용할 수 있으며, 높은 진단률과 휴리스틱 기능을 통해 숨어있는 악성 파일을 진단 및 치료할 수 있습니다.
단지 사용시마다 매번 160MB 이상의 파일을 다운로드해야 하는 불편함과 다소 느린 검사 속도는 아쉬움이 남지만, 비상용으로 사용하기에는 이보다 더 좋은 무료 수동 검사 도구는 없으리라 생각됩니다.