반응형
2008/11/07 - [벌새::Life] - 보안 제품 교체 - V3 365 스탠다드
2008/11/07 - [벌새::Software] - V3 365 클리닉 스탠다드 체험기 (1) - 실시간 검사 설정 문제점
2008/11/11 - [벌새::Software] - V3 365 클리닉 스탠다드 체험기 (2) - 차단 알림창과 실시간 감시 버그
2008/11/07 - [벌새::Software] - V3 365 클리닉 스탠다드 체험기 (1) - 실시간 검사 설정 문제점
2008/11/11 - [벌새::Software] - V3 365 클리닉 스탠다드 체험기 (2) - 차단 알림창과 실시간 감시 버그
V3 365 클리닉 스탠다드 제품 체험기 세 번째 이야기입니다.
이번에는 V3 제품의 다소 이상한 진단 방식과 제품에서 표기하는 엔진 버전 표기에 대해 살펴보도록 하겠습니다.
실제 위의 예와 같이 dll 확장자를 가진 파일의 경우 실시간 감시를 통해 진단을 하고 있는 것을 보실 수 있습니다.
현재 모든 파일을 실시간 검사로 지정하지 않고 특정 파일에 대해서만 진단하도록 설정된 상태임을 확인하였습니다.
하지만 옵션에서 설정한 것과는 관계없이 해당 파일은 실시간 감시에서 진단을 하고 있습니다.
이 문제는 이전 스파이제로(SpyZero) 제품이 실시간 감시에서 파일 포멧과 상관없이 악성코드는 특정 압축 패커가 아닐 경우를 제외하고 모두 진단하던 것과 동일합니다.
V3 제품이 스파이제로와 몸체는 통일이 되었지만 여전히 이런 실시간 감시 부분에서는 V3 엔진과 스파이제로 엔진이 따로 놀고 있는 느낌이 강하게 듭니다.
즉, V3 환경설정에서의 옵션은 바이러스, 트로이목마에 관한 옵션일 뿐 결코 스파이웨어, 애드웨어에 관한 옵션이 아니라는 의미로 해석될 수 있습니다.
해외 제품을 예로 들면 F-Secure 제품의 경우 위와 같은 옵션을 지정하면 당연히 스파이웨어에서도 확장자가 해당 지정 확장자가 아닌 경우 실제 악성코드일지라도 실시간 감시에서 제외가 되고 있습니다.
위의 바이러스토탈(VirusTotal)에서 진단 결과에서 V3 제품이 Win-AppCare/Keylogger.1292433 이라는 유해 가능 프로그램으로 진단하고 있는 것을 확인할 수 있습니다.
이 문제를 더 확실하게 확인하기 위해 해당 프로그램을 실제 설치를 통해 진단 여부를 확인해 보았습니다.
해당 진단은 스파이제로 진단명으로 바이러스토탈에서 제시하는 V3 진단명은 실제 해당 파일을 설치하여도 전혀 진단되지 않는 것을 확인하였습니다.
실제 특정 악성코드를 신고할 경우 해당 샘플에 대한 진단명을 위와 같이 2가지로 내리는 경우를 볼 수 있습니다.
이는 안철수연구소의 진단 정책으로 인하여 해당 샘플이 트로이목마의 성격과 애드웨어 성격을 가지고 있을 경우 위와 같이 2가지 진단명으로 추가하고 있는 것으로 보입니다.
또는 현재 스파이제로 제품이 독립 제품으로 판매가 된 상태임을 감안하여 위와 같이 진단명을 결정하고 있을 수도 있다고 생각합니다.
하지만 위의 바이러스토탈에서 진단한 진단명 Win-AppCare 진단이 왜 V3 제품에서 설치를 하여도 제대로 진단되지 않는지 확인이 필요해 보입니다.
현재 제품에서는 엔진 버전 표기가 V3 바이러스, 트로이목마 관련 진단명으로만 표기가 되고 있습니다. 실제 해당 엔진 업데이트는 하루에 3~5번 수준에서 진행이 되고 있고, 스파이제로 엔진의 경우 평균 1일 1회(가끔 2회)로 진행이 되고 있습니다.
하지만 표기는 V3 엔진만 표기를 하기 때문에 현재 통합된 V3에서 V3 엔진과 스파이제로 엔진이 따로 운영되는 점을 감안한다면 반드시 엔진 버전 표기를 구분해 줄 필요가 있어 보입니다.
해외 보안 제품의 경우에도 엔진별 업데이트 표기를 구분하고 있는데 너무 V3 엔진만 강조한 느낌이 듭니다.
728x90
반응형