울지않는벌새 : Security, Movie & Society

V3 365 클리닉 스탠다드 체험기 (5) - 진단 표시

벌새::Software

어느 덧 V3 365 클리닉 스탠다드 제품을 사용한지 1개월이 지나고 있습니다.

이번 시간에는 해당 제품이 악성코드를 진단하였을 때 표시되는 진단 표시에 관한 여러 가지를 살펴보도록 하겠습니다.

V3 365 클리닉 제품을 통해 특정 폴더를 검사를 할 경우 위와 같이 다수의 감염된 파일이 진단되는 상태에서 검사 중 표시되는 해당 진단명에 대한 체크(ㅁ) 부분에 대한 이야기입니다.

위의 그림은 마치 검사가 완료된 것으로 표기가 되는데 실제 이야기 하려는 부분은 검사 중 일어나는 현상이 관한 부분입니다.

검사 중 위와 같이 일부 악성코드가 발견되어 진단 표시가 나오는 경우 맨 하단의 진단명에 대해서는 다음 진단명이 나올 때까지 체크가 되지 않고 해제된 상태로 계속 진행이 되고 있습니다. 만약 이 상태로 검사가 완료되는 시점에서는 정상적으로 체크가 표기가 되고, 검사 중에 다른 악성코드가 발견되어 진단이 추가되는 경우에는 해당 체크되지 않은 부분은 체크가 이루어지면서 새롭게 추가된 진단명에는 체크가 되지 않는 현상이 일어나고 있습니다.

왜 그렇게 제작을 하였는지는 모르지만 옥의 티 수준으로 보이는 현상 같습니다.

 
 
클릭하시면 자세히 볼 수 있습니다.

다음으로 언급될 부분은 특정 악성코드에 대한 2가지 진단에 대한 부분입니다.

현재 V3 365에는 V3(안티 바이러스 엔진)과 스파이제로(안티 스파이웨어 엔진)이 포함되어 있습니다. 이전 2007 버전에서는 검사시 따로 동작을 하였지만 365 버전으로 넘어오면서 완전히 통합된 엔진으로 발전하였습니다.

하지만 특정 악성코드가 바이러스(트로이목마)와 스파이웨어 성격을 모두 가질 경우 위와 같은 진단명을 가지는 문제가 일어나고 있습니다.

이전의 스파이제로 제품이 별도의 제품으로 존재하고 있었을 때를 고려한 진단이 통합이 된 상태에서도 여전히 별도 진단이 되는 문제는 수정이 되어야 하지 않을까 생각됩니다.

위와 같이 중복적인 진단이 이루어지는 경우 검역소에서는 어떻게 처리할까요?

검역소에서는 애드웨어로 진단한 항목은 검역소에 존재하지 않고 트로이목마로 진단한 항목을 검역소에 보관하고 있는 것으로 확인이 되었습니다.

다음으로 특정 폴더에서 검사를 진행하는 과정에서 진단된 특정 악성코드 하나를 선택하여 체크를 해제하였다고 가정을 하였습니다.

현재 그림과 같이 Win-Trojan/OnlineGame 관련 악성코드를 체크 해제한 상태입니다. 이 상태에서 계속적으로 검사가 진행이 되고 추가적으로 악성코드가 진단이 되어 감염 수가 늘어나는 상황을 가정해 보겠습니다.


검사가 완료된 시점에서 검사 중에 체크 해제한 악성코드와 현재 보여지는 악성코드의 진단명이 달라지는 현상이 생기는 것을 발견할 수 있습니다.

이 문제는 V3 365 버전의 진단 표시 추가 표기 방식상의 문제가 아닐까 생각됩니다.

이와 같은 현상 때문에 실제로 검사 중에 특정 악성코드가 진단이 되어 그 부분에 대해 체크 해제를 하여도 검사가 완료된 후에는 자신이 선택한 부분과는 다른 악성코드가 체크 해제되는 문제가 있으므로 검사 중에는 체크 해제하는 행동은 하지 말아야 할 것으로 보입니다.


이번의 경우는 이런 방식으로 구현이 되었습니다.

특정 폴더에서 검사가 이루어진 후 진단된 항목에 대해 치료를 시도하였고 정상적으로 해당 악성코드들이 치료가 종료된 상태입니다.

위의 그림에 선택된 video.0fg 파일의 경우 치료가 되었을 당시에도 정상적으로 악성코드 Win-Dropper/FakeAlert.71684 진단명(바로 아래의 Win-Trojan/Agent.71684와 동일한 샘플, 1개의 악성코드를 2개로 진단하는 예)으로 표기가 되어 있었습니다.

치료의 결과를 살펴보기 위하여 스크롤을 이용하여 파일 경로의 안 보이는 부분을 늘려서 확인하던 과정에서 위와 같이 진단명은 사라지고 파일 경로에 존재하는 해당 파일명이 진단명으로 변하는 현상이 일어났습니다.

마지막으로 V3 365의 검역소 사용시 불편한 점입니다.

검역소의 전체 항목 하단의 바이러스 / 스파이웨어 / 컴퓨터 최적화 메뉴를 클릭시 원 클릭이 아닌 투 클릭을 해야지 해당 메뉴가 활성화 되는 문제는 사용자 입장에서 많이 불편한 것 같습니다.