본문 바로가기

벌새::Software

"하우리 바이로봇 7.0" 1년 무료 버전 출시 (2015.6.30)

반응형

(주)하우리(Hauri) 보안 업체에서 하우리 바이로봇 7.0 버전을 출시하면서 1년 무료 체험판을 사용할 수 있는 기회를 제공하고 있습니다.

 

그동안 ViRobot Internet Security 2011 버전 출시 후 등장한 바이로봇 7.0 버전(※ 기존의 2011 버전은 출시 연도 기준이었지만 해외 제품처럼 매년 출시를 할 수 없는 현실적 문제로 "ViRobot Desktop 5.5 → ViRobot Internet Security 2011 버전(6.0)" 후속 버전으로 출시되었습니다.)에서는 기존의 "BitDefender 엔진 + 자체 엔진" 방식의 듀얼 엔진을 포기하는 대신, "바이로봇 APT Shield 2.0" 취약점 차단 솔루션과 HCD(Hauri Crowd Defense) 네트워크 기술을 추가하여 자체 엔진만으로 제품을 최적화하였습니다.

 

특히 취약점(Exploit) 차단 솔루션 "바이로봇 APT Shield 2.0" 제품이 ViRobot 7.0 제품이 통합(C:\Program Files\HAURI\VRIS70\APTShield)되어 보안 업데이트가 제대로 이루어지지 않은 PC환경에서 악성 웹 사이트 접속시 자동으로 악성코드에 감염되는 방식을 차단할 수 있다는 점이 가장 매력적이라고 생각합니다.

제품 설치 과정에서는 Hauri Crowd Defense(HCD) 네트워크 참여 및 데이터 수집과 관련된 동의를 통해 사용자 PC에서 발견된 새로운 의심 파일(실행/비실행) 및 악성코드 진단 정보를 전송하는 일종의 클라우드(Cloud) 기술이 추가되었습니다.

 

전송된 데이터 정보를 기반으로 ARS(자동 분석 시스템)을 통해 악성 파일로 분류된 경우 DB 업데이트를 통해 진단에 추가되는 방식으로 진단력 강화에 도움이 되리라 판단됩니다.

 

하지만 실제 제품 테스트에서는 AhnLab V3 보안 제품에 추가된 AhnLab Smart Defense(ASD) 기술과는 다르게 파일 검사(실행)시 서버와 실시간 통신을 하는 부분은 발견하지 못했습니다. 즉, DB 업데이트 없이 실시간으로 ASD 서버에서 악성 파일을 진단할 수 있는 것에 비해 HCD 방식은 DB 업데이트를 통해 진단이 추가될 것으로 보입니다.

해당 화면은 "시스템 보호" 메뉴를 표시하기 위해 일부 편집되었습니다.

설치된 ViRobot 7.0 보안 제품의 메인 화면에서는 사전 방역, 실시간 검사, 스마트 방화벽 기능을 통해 시스템 보안 상태를 표시하며, 빠른 검사, 정밀 검사, 시스템 최적화, 시스템 보호 메뉴를 통해 제품에서 제공하는 보안 기능을 활용할 수 있습니다.

 

■ 고급 설정

"유해가능 프로그램 검사" 항목에서는 기본적으로 애드웨어 및 유해가능 프로그램 진단이 가능하므로 국내 광고 프로그램으로 고생하시는 분들은 기존의 국내 무료 백신보다 만족스러운 차단(진단) 능력을 경험할 수 있으리라 생각됩니다.(※ 기본적으로 ViRobot 7.0 버전은 유료 제품이므로 불필요한 프로그램(PUP)에 대한 진단이 이루어집니다.)

 

하지만 "스텔스 루트킷 파인더" 보안 기능이 x86 비트 환경에서는 사용 가능하지만 x64 비트 환경에서는 여전히 비활성화되어 사용할 수 없는 것으로 보입니다.

"인터넷 보호" 기능에서는 하우리(Hauri) 보안 업체에서 제공하는 유해 사이트 접속시 자동으로 차단이 이루어질 수 있는 유해 사이트 차단 및 사용자에 의한 웹 사이트 차단 보안 기능을 제공합니다.

 

이를 통해 악성코드 유포, 피싱(Phishing) 등 유해 사이트 접속시 자동 차단을 통해 시스템 감염을 예방할 수 있으며, 사용자의 필요에 따라 특정 URL 주소에 대한 웹 사이트 차단이 가능합니다.

방화벽(Firewall) 기능에서는 기본적으로 자동화된 네트워크 보호 서비스를 이용할 수 있으며 사용자가 방화벽 규칙을 추가하여 특정 파일의 네트워크 통신을 차단할 수 있습니다.

행위 기반의 사전 방역 기능에서는 기본값에서 부팅시 자동 실행 사용하도록 설정되어 있으며, 실행 파일이 의심스러운 행위를 실행할 경우 감지창을 생성하여 실행 여부를 묻는 것이 아닌가 생각됩니다.

"HCD 네트워크" 메뉴에서는 제품 설치시 동의한 Hauri Crowd Defense(HCD) 네트워크 사용 여부를 결정할 수 있으며, 수집된 의심스러운 파일을 분석하여 악성 파일로 분류된 경우 DB 업데이트를 통해 진단에 추가되는 구조입니다.

 

■ 간단한 제품 성능 훑어보기

 

다음의 내용은 짧은 사용을 통해 경험한 제품 성능에 대한 내용이므로 PC 환경에 따라 다를 수 있음을 밝힙니다.

 

(1) 업데이트(Update) 문제

예전부터 바이로봇(ViRobot) 제품은 다소 불안정한 DB 업데이트 모습을 보였는데 이번 버전 역시 새로운 업데이트 여부를 체크하는 파일 분석 과정이 타 제품에 비해 상당한 시간이 소요될 정도로 민첩하지 못합니다.

 

(2) 신종 악성코드 감염 테스트

 

2015년 6월 30일자로 바이러스토탈(VirusTotal) 온라인 서비스에 보고된 악성 파일(SHA-1 : 5b52f17d6e5d24223472e6ea9a9ab9b310270904 - BitDefender : Trojan.Agent.BKTW)을 다운로드하여 실행해 보았습니다.(※ BitDefender 엔진을 사용하였다면 진단되었을 파일로 보입니다.)

 

이 과정에서 파일 다운로드 및 실행 과정에서 Hauri Crowd Defense(HCD) 서버로 관련 정보를 전송하는 부분을 발견하지 못하였으며 행위 기반의 사전 방역에서도 아무런 경고없이 성공적으로 감염에 성공하였습니다.

  • SHA-1 : 4be5935a9a56d2096e61ef9ba03dcbeecbedcb6e - ESET : a variant of Win32/Injector.CDXB

감염된 환경에서는 추가적인 파일 다운로드를 통해 임시 폴더(%Temp%)에 숨김(H) 속성값을 가진 임의의 파일명으로 생성합니다.

이를 통해 다수의 메일 계정으로 스팸(Spam) 메일 전송이 발생하는 동작을 확인할 수 있습니다.

이렇게 감염된 상태에서 ViRobot 7.0 보안 제품의 시스템 보호 메뉴에서 제공하는 프로세스 관리 항목에서 실행 중인 temp42859024.exe 악성 파일을 종료하기 위해 "프로세스 종료" 버튼을 클릭해 보았습니다.

하지만 프로세스 종료는 전혀 이루어지지 않으며 자동으로 "기타 설정 → 고급 설정" 메뉴로 연결되는 오동작이 발생합니다.

 

(3) 악성 스크립트 차단(스크립트 차단 엔진 적용)

ViRobot 7.0 보안 제품의 주요 기능 중 소개된 악성 스크립트 차단 기능은 원래 보안 제품에는 기본적으로 포함되어 있지만 다양한 암호화로 코딩된 변종에 의하여 제대로 차단이 이루어지지 않는 경우가 많은게 현실입니다.

 

그런데 이번 제품에서는 악성 아이프레임(iframe)에 대한 사전 탐지 수준을 향상하여 문제가 되는 웹 사이트 접속 과정에서 HTML.Downloader_Geno_iframe[h] 진단이 이루어지는 것을 경험할 수 있었습니다.

 

(4) I/O 캐싱 엔진 적용을 통한 빠른 악성코드 진단 및 치료

 

이번 제품에서는 기존 바이로봇(ViRobot) 보안 제품의 느린 검사 속도에 대한 불만을 해소하기 위해 I/O 캐싱 엔진을 적용하였다고 소개하고 있습니다.

 

  1. 빠른 검사(1차) : 13분 07초
  2. 빠른 검사(2차) : 8분 19초
  3. 빠른 검사(3차) : 8분 2초

연속적으로 수행한 3번의 빠른 검사(※ 압축 파일 검사 포함)를 진행해보면 반복된 검사에 따른 검사 소요 시간이 줄어드는 효과를 경험할 수 있지만, 경쟁 업체에 비해서는 상당히 불만족스러운 검사 속도를 보여준다고 볼 수 있습니다.

 

■ 제품 총평

 

기존의 하우리 ViRobot Internet Security 2011 버전과 흡사한 환경 설정(고급 설정)을 그대로 가져왔다는 점에서 외형적으로 신선함은 떨어지지만 사용자가 체감하는 이질감은 축소하면서 제품 포퍼먼스(Performance)는 향상시킨 것 같습니다.

 

또한 새로운 악성 파일에 대한 대응력을 향상시킬 수 있는 Hauri Crowd Defense(HCD) 데이터 수집 모습을 확인하지 못하여 알 수 없지만 과연 대응 시간 단축에 얼마나 도움이 될지 지켜볼 일입니다.

 

현재 유료 제품을 1년 동안 무료로 사용할 수 있다는 점에서 제품에 관심이 있는 분들은 사용해 보시길 권해 드리며, 특히 바이로봇 APT Shield 2.0 기능이 통합되어 취약점(Exploit)을 통한 악성코드 감염으로부터 만족스럽게 대응하는 모습을 경험하게 될꺼라 생각합니다.

728x90
반응형
  • 악성코드 감염 테스트 부분에서 우려했던 모습이 보이네요
    저렇게 아무것도 하는것 없이 감염된다면 거의 허수아비 아닌지.. HCD 또한 현 보안 트랜드에 비하면 동떨어진것 같은 느낌도 듭니다.기존 보다야 수집면에서 발전이라고 하지만 대응력면에서 떨어지는것 같아요.
    그나마 위안이 되는건 말씀하신 apt 쉴드 통합으로 인하여 각종 취약점 감염은 사전에 방지할 수 있다는것이 발전이라고 보네요

    • ASD와는 다르게 HCD는 단순히 의심 파일을 수집하여 자동 분석 시스템에서 악성 여부를 판별하여 업데이트에 반영되는 구조 같습니다.

      반면 ASD는 악성으로 판별되면 서버에서 바로 사용자 PC에 존재하는 관련 파일을 찾아 진단하는데 HCD는 그런 기능은 없는 것 같습니다.

  • ASD하고는 다른 동작을 하는군요.일단 어떤 제품을 선택하는지는 소비자가 선택을 해야겠지만 저도철이님 생각처럼 대응력은 조금떨어진수 있을것같습니다

    • 이 글에서 언급한 악성 파일을 오늘 비교해보니 V3에서는 수집해서 진단에 추가했더군요. 하우리는 동일 시간에 여전히 미진단하고 있었습니다.

  • 철이 2015.07.01 20:22 댓글주소 수정/삭제 댓글쓰기

    http://news.inews24.com/php/news_view.php?g_serial=811174&g_menu=020200

    이 기사 마지막에 내용이 희안하네요 하반기 7.0을 내놓고 곧바로 내년 상반기 8.0을 연달아 내놓을 계획이다.. ㅋㅋ

  • 불곰 2015.07.10 14:27 댓글주소 수정/삭제 댓글쓰기

    하우리 에서 바이로봇7.0 버전을 개인사용자들 한테 1년 무료로 제공한 의도가
    개인사용자들 대상으로 유료백신 새로 나온것을 1년 무료 사용하면서 테스트 해보고
    문제점 . 개선점 . 버그 . 상황들 다 적어서 보내라고 하고 그게 다 수정 되면
    다시 유료 사용자들 한테 제공을 하겠다 는 이런뜻인것 같네요 .
    혹 만약 그런게 맞다면
    차라리 알약 . V3lite . 네이버백신. 어베스트 . 아비라 . 사용하는게 훨씬 낫습니다

    • 기본적으로 해당 제품은 유료 제품이며 체험판으로 1년 동안 무료로 사용하도록 하고 있습니다.

      그러므로 말씀하신 의도도 충분히 있을 수 있으며, 파일 수집 기능이 포함되면서 더 많은 경험을 쌓기 위함이 아닐까 싶습니다.

  • 아무개 2016.05.03 21:54 댓글주소 수정/삭제 댓글쓰기

    리뷰글 잘보았습니다.

    바이로봇 1년무상이라고 해서 설치해보았는데요.
    처음설치후에 1200개 파일을 업뎃할때만 빼고는 그다지 느린것 같지는 않았습니다..

    클라우드부분에서 벌새님의 말씀처럼
    asd처럼 실시간으로 수집분석공유되는 시스템이 아니라 단순히 그냥 의심파일수집기능만 있는것 같아서 좀 아쉽더군요.
    이 부분을 좀 개선햇으면 좋겠습니다.

    • 사용자가 빈약하다보니 1년 무료판으로 계속 사용하게 하는데 개인적으로는 이전과 다르게 BitDefender 엔진이 빠지면서 진단률 자체가 많이 하락한건 기술력으로 극복하기에 시간이 다소 걸릴 듯 합니다.