(주)하우리(Hauri) 보안 업체에서 하우리 바이로봇 7.0 버전을 출시하면서 1년 무료 체험판을 사용할 수 있는 기회를 제공하고 있습니다.
그동안 ViRobot Internet Security 2011 버전 출시 후 등장한 바이로봇 7.0 버전(※ 기존의 2011 버전은 출시 연도 기준이었지만 해외 제품처럼 매년 출시를 할 수 없는 현실적 문제로 "ViRobot Desktop 5.5 → ViRobot Internet Security 2011 버전(6.0)" 후속 버전으로 출시되었습니다.)에서는 기존의 "BitDefender 엔진 + 자체 엔진" 방식의 듀얼 엔진을 포기하는 대신, "바이로봇 APT Shield 2.0" 취약점 차단 솔루션과 HCD(Hauri Crowd Defense) 네트워크 기술을 추가하여 자체 엔진만으로 제품을 최적화하였습니다.
특히 취약점(Exploit) 차단 솔루션 "바이로봇 APT Shield 2.0" 제품이 ViRobot 7.0 제품이 통합(C:\Program Files\HAURI\VRIS70\APTShield)되어 보안 업데이트가 제대로 이루어지지 않은 PC환경에서 악성 웹 사이트 접속시 자동으로 악성코드에 감염되는 방식을 차단할 수 있다는 점이 가장 매력적이라고 생각합니다.
제품 설치 과정에서는 Hauri Crowd Defense(HCD) 네트워크 참여 및 데이터 수집과 관련된 동의를 통해 사용자 PC에서 발견된 새로운 의심 파일(실행/비실행) 및 악성코드 진단 정보를 전송하는 일종의 클라우드(Cloud) 기술이 추가되었습니다.
전송된 데이터 정보를 기반으로 ARS(자동 분석 시스템)을 통해 악성 파일로 분류된 경우 DB 업데이트를 통해 진단에 추가되는 방식으로 진단력 강화에 도움이 되리라 판단됩니다.
하지만 실제 제품 테스트에서는 AhnLab V3 보안 제품에 추가된 AhnLab Smart Defense(ASD) 기술과는 다르게 파일 검사(실행)시 서버와 실시간 통신을 하는 부분은 발견하지 못했습니다. 즉, DB 업데이트 없이 실시간으로 ASD 서버에서 악성 파일을 진단할 수 있는 것에 비해 HCD 방식은 DB 업데이트를 통해 진단이 추가될 것으로 보입니다.
설치된 ViRobot 7.0 보안 제품의 메인 화면에서는 사전 방역, 실시간 검사, 스마트 방화벽 기능을 통해 시스템 보안 상태를 표시하며, 빠른 검사, 정밀 검사, 시스템 최적화, 시스템 보호 메뉴를 통해 제품에서 제공하는 보안 기능을 활용할 수 있습니다.
■ 고급 설정
"유해가능 프로그램 검사" 항목에서는 기본적으로 애드웨어 및 유해가능 프로그램 진단이 가능하므로 국내 광고 프로그램으로 고생하시는 분들은 기존의 국내 무료 백신보다 만족스러운 차단(진단) 능력을 경험할 수 있으리라 생각됩니다.(※ 기본적으로 ViRobot 7.0 버전은 유료 제품이므로 불필요한 프로그램(PUP)에 대한 진단이 이루어집니다.)
하지만 "스텔스 루트킷 파인더" 보안 기능이 x86 비트 환경에서는 사용 가능하지만 x64 비트 환경에서는 여전히 비활성화되어 사용할 수 없는 것으로 보입니다.
"인터넷 보호" 기능에서는 하우리(Hauri) 보안 업체에서 제공하는 유해 사이트 접속시 자동으로 차단이 이루어질 수 있는 유해 사이트 차단 및 사용자에 의한 웹 사이트 차단 보안 기능을 제공합니다.
이를 통해 악성코드 유포, 피싱(Phishing) 등 유해 사이트 접속시 자동 차단을 통해 시스템 감염을 예방할 수 있으며, 사용자의 필요에 따라 특정 URL 주소에 대한 웹 사이트 차단이 가능합니다.
방화벽(Firewall) 기능에서는 기본적으로 자동화된 네트워크 보호 서비스를 이용할 수 있으며 사용자가 방화벽 규칙을 추가하여 특정 파일의 네트워크 통신을 차단할 수 있습니다.
행위 기반의 사전 방역 기능에서는 기본값에서 부팅시 자동 실행 사용하도록 설정되어 있으며, 실행 파일이 의심스러운 행위를 실행할 경우 감지창을 생성하여 실행 여부를 묻는 것이 아닌가 생각됩니다.
"HCD 네트워크" 메뉴에서는 제품 설치시 동의한 Hauri Crowd Defense(HCD) 네트워크 사용 여부를 결정할 수 있으며, 수집된 의심스러운 파일을 분석하여 악성 파일로 분류된 경우 DB 업데이트를 통해 진단에 추가되는 구조입니다.
■ 간단한 제품 성능 훑어보기
다음의 내용은 짧은 사용을 통해 경험한 제품 성능에 대한 내용이므로 PC 환경에 따라 다를 수 있음을 밝힙니다.
(1) 업데이트(Update) 문제
예전부터 바이로봇(ViRobot) 제품은 다소 불안정한 DB 업데이트 모습을 보였는데 이번 버전 역시 새로운 업데이트 여부를 체크하는 파일 분석 과정이 타 제품에 비해 상당한 시간이 소요될 정도로 민첩하지 못합니다.
(2) 신종 악성코드 감염 테스트
2015년 6월 30일자로 바이러스토탈(VirusTotal) 온라인 서비스에 보고된 악성 파일(SHA-1 : 5b52f17d6e5d24223472e6ea9a9ab9b310270904 - BitDefender : Trojan.Agent.BKTW)을 다운로드하여 실행해 보았습니다.(※ BitDefender 엔진을 사용하였다면 진단되었을 파일로 보입니다.)
이 과정에서 파일 다운로드 및 실행 과정에서 Hauri Crowd Defense(HCD) 서버로 관련 정보를 전송하는 부분을 발견하지 못하였으며 행위 기반의 사전 방역에서도 아무런 경고없이 성공적으로 감염에 성공하였습니다.
- SHA-1 : 4be5935a9a56d2096e61ef9ba03dcbeecbedcb6e - ESET : a variant of Win32/Injector.CDXB
감염된 환경에서는 추가적인 파일 다운로드를 통해 임시 폴더(%Temp%)에 숨김(H) 속성값을 가진 임의의 파일명으로 생성합니다.
이를 통해 다수의 메일 계정으로 스팸(Spam) 메일 전송이 발생하는 동작을 확인할 수 있습니다.
이렇게 감염된 상태에서 ViRobot 7.0 보안 제품의 시스템 보호 메뉴에서 제공하는 프로세스 관리 항목에서 실행 중인 temp42859024.exe 악성 파일을 종료하기 위해 "프로세스 종료" 버튼을 클릭해 보았습니다.
하지만 프로세스 종료는 전혀 이루어지지 않으며 자동으로 "기타 설정 → 고급 설정" 메뉴로 연결되는 오동작이 발생합니다.
(3) 악성 스크립트 차단(스크립트 차단 엔진 적용)
ViRobot 7.0 보안 제품의 주요 기능 중 소개된 악성 스크립트 차단 기능은 원래 보안 제품에는 기본적으로 포함되어 있지만 다양한 암호화로 코딩된 변종에 의하여 제대로 차단이 이루어지지 않는 경우가 많은게 현실입니다.
그런데 이번 제품에서는 악성 아이프레임(iframe)에 대한 사전 탐지 수준을 향상하여 문제가 되는 웹 사이트 접속 과정에서 HTML.Downloader_Geno_iframe[h] 진단이 이루어지는 것을 경험할 수 있었습니다.
(4) I/O 캐싱 엔진 적용을 통한 빠른 악성코드 진단 및 치료
이번 제품에서는 기존 바이로봇(ViRobot) 보안 제품의 느린 검사 속도에 대한 불만을 해소하기 위해 I/O 캐싱 엔진을 적용하였다고 소개하고 있습니다.
- 빠른 검사(1차) : 13분 07초
- 빠른 검사(2차) : 8분 19초
- 빠른 검사(3차) : 8분 2초
연속적으로 수행한 3번의 빠른 검사(※ 압축 파일 검사 포함)를 진행해보면 반복된 검사에 따른 검사 소요 시간이 줄어드는 효과를 경험할 수 있지만, 경쟁 업체에 비해서는 상당히 불만족스러운 검사 속도를 보여준다고 볼 수 있습니다.
■ 제품 총평
기존의 하우리 ViRobot Internet Security 2011 버전과 흡사한 환경 설정(고급 설정)을 그대로 가져왔다는 점에서 외형적으로 신선함은 떨어지지만 사용자가 체감하는 이질감은 축소하면서 제품 포퍼먼스(Performance)는 향상시킨 것 같습니다.
또한 새로운 악성 파일에 대한 대응력을 향상시킬 수 있는 Hauri Crowd Defense(HCD) 데이터 수집 모습을 확인하지 못하여 알 수 없지만 과연 대응 시간 단축에 얼마나 도움이 될지 지켜볼 일입니다.
현재 유료 제품을 1년 동안 무료로 사용할 수 있다는 점에서 제품에 관심이 있는 분들은 사용해 보시길 권해 드리며, 특히 바이로봇 APT Shield 2.0 기능이 통합되어 취약점(Exploit)을 통한 악성코드 감염으로부터 만족스럽게 대응하는 모습을 경험하게 될꺼라 생각합니다.