본문 바로가기

벌새::Software

머신러닝(Machine Learning) 기반의 "MAX Anti-Virus" (v1.0.2.1) 리뷰

반응형

일반 개인 사용자용으로 출시되는 새로운 안티바이러스(Anti-Virus) 제품은 이제는 쉽게 볼 수 없을 정도로 어느 정도 포화 상태에 들어가 있다고 볼 수 있습니다.

 

이런 시장 상황에서 (주)세인트시큐리티 업체에서 현재 제공하는 MAX Anti-Virus 제품은 2016년 하반기경부터 조금씩 공개되면서 2018년 3월경 첫 정식 버전(v1.0)이 출시되어 현재 누구나 사용할 수 있도록 네이버 소프트웨어에도 등록되어 있는 상태입니다.

 

이 글에서는 MAX Anti-Virus 제품의 설치와 간단한 기능을 소개해 드리도록 하겠으며, 타 백신 프로그램과 비교하여 추가적인 설정이 거의 필요없기에 외형적인 모습과 몇 가지 단점에 대해 살펴보도록 하겠습니다.

 

우선 MAX Anti-Virus 프로그램을 정상적으로 다운로드 및 사용을 위해서는 멀웨어즈닷컴(malwares.com) 회원 가입을 하시고 사용하시기 바랍니다.

 

 

해당 프로그램은 2가지 언어(한글/영어)를 지원하며 무료로 이용하기 위해서는 개인용/가정용 조건을 만족해야 하며, 설치 파일(37MB 수준)을 이용하여 "C:\Program Files\STSC\MAX" 폴더에 프로그램을 설치하며 설치된 파일은 약 40MB 수준으로 매우 저용량을 자랑합니다.

 

 

설치가 완료된 후 작업 표시줄 알림 영역에 표시된 아이콘에서도 업데이트 실행 메뉴가 비활성화되어 있는 것을 통해 일명 클라우드(Cloud) 방식처럼 실시간 서버 통신을 통해 파일의 악성 여부를 체크합니다.

 

 

메인 화면에서는 실시간 보호 ON/OFF, 게인 모드 ON/OFF 기능 외에는 검사, 검역소, 로그, 설정 메뉴만을 제공하는 매우 직관적인 인터페이스를 제공하고 있습니다.

 

 

검사 메뉴를 살펴보면 시스템 주요 폴더 및 파일, 시스템에 존재하는 모든 폴더 및 파일, 사용자 설정 (선택한 폴더의 모든 파일) 옵션으로 선택할 수 있으며 추가적으로 검사 시 메모리 영역에 대한 검사도 포함할 수 있습니다.

 

단지 검사 속도는 시스템 환경에 따라 매우 달라질 수 있겠지만 초기 검사 속도가 상당히 느리다는 점과 사용자가 특정 폴더 또는 파일에 대한 수동 검사 메뉴를 제공하지 않으므로 불편이 있습니다.

 

 

검사창에서는 탐지된 파일 중 정상 파일을 탐지한 경우를 대비하여 "선택 항목 오탐 신고" 메뉴가 함께 포함되어 있습니다.

 

 

 

설정의 일반 메뉴에서는 언어(한국어/영어) 변경, 자동 업데이트 선택 여부, 게임 모드 사용, 파일 검사 최적화를 위한 백그라운드 점검 서비스 사용 항목을 제공합니다.

 

이 중 파일 검사 최적화를 위한 백그라운드 점검 서비스 사용은 PC 자원의 여유가 있을 경우 사전에 백그라운드 검사를 통해 시스템에 존재하는 파일을 분석하여 검사 및 탐지 속도를 향상시키는 기능을 의미합니다.

 

 

설정의 실시간 보호 메뉴에서는 실시간 보호 기능을 통해 악성코드 탐지 알림, 트레이 아이콘 탐지 알림, 악성코드로 탐지된 파일 자동 치료 후 검역소 이동, 실행되는 프로세스 악성코드 검사 상태 보기 항목을 제공합니다.

 

 

예를 들어 특정 파일이 생성 또는 실행되는 시점에서 실시간 보호 기능을 통해 악성 파일로 확인될 경우 악성코드 탐지 알림창이 생성되는 것을 확인할 수 있으며, 이 과정에서 악성 파일은 자동으로 검역소로 이동 처리됩니다.

 

 

검역소로 이동 처리된 파일은 검역소 메뉴에서 확인할 수 있으며, 검역소에 저장된 파일에 대하여 사용자가 오탐 신고, 완전 삭제, 복원을 할 수 있습니다.

 

 

특히 검역소 처리된 악성 파일을 선택하고 "malwares.com 분석 결과 보기"를 클릭할 경우 웹 브라우저를 통해 malwares.com에서 제공하는 탐지된 파일에 대한 세부적인 정보를 확인할 수 있습니다.

 

 

설정의 데이터 공유 메뉴는 사실상 MAX Anti-Virus 제품의 가장 핵심 기능이라고 볼 수 있는데, MAX Anti-Virus 제품을 설치한 PC에서 수집된 정보 공유 여부를 결정할 수 있는 것으로 단순히 "malwares.com IoC 데이터 참조만 하기"를 통해 수집된 정보를 서버로 전송하지 않도록 설정할 수 있습니다.

 

기본값으로는 "malwares.com IoC 데이터 참조 및 신규 수집 데이터 공유" 옵션을 통해 미확인된 정보가 존재할 경우 전송을 통한 분석으로 악성코드 탐지 성능을 개선할 수 있습니다.

 

MAX Anti-Virus 제품은 인터넷이 반드시 연결된 환경에서 사용해야지 malwares.com 데이터를 수신하여 검사하려는 파일의 악성 여부를 판단하므로 해당 기능은 사실상 가장 핵심이 아닌가 싶습니다.

 

 

설정의 제외 메뉴에서는 MAX Anti-Virus 제품이 정상 파일을 오탐할 경우 파일 또는 폴더를 추가하여 탐지 제외 처리를 할 수 있도록 제공합니다.

 

 

설정의 malwares.com 계정 메뉴에서는 회원 가입 시 사용한 이메일 주소와 함께 가입 후 제공하는 API Key를 추가하여 인증하도록 제공하고 있습니다.

 

테스트를 통해 확인을 해보면 해당 인증을 받지 않을 경우 탐지 가능한 파일에 대한 탐지가 이루어지지 않는 것으로 확인되므로 반드시 회원 가입 후 인증을 받으시기 바랍니다.

 

위와 같이 MAX Anti-Virus 제품은 기본적으로 malwares.com 서버와의 통신을 통해 실행되는 파일에 대한 감시를 통해 악성 여부를 판단하며, 특히 MAX AI 수치를 통해 단순히 악성 파일 또는 정상 파일만으로만 구분하지 않고 파일에 대한 의심 수준을 제공하고 있습니다.

 

위와 같은 파일 분석 방식은 분석가에 의해 요구되는 일정한 시간을 머신러닝(Machine Learning)을 통해 기존에 발견된 파일과의 유사성 및 사전에 입력된 탐지 패턴을 고려하여 빠르게 대응을 할 수 있다는 장점이 분명 존재한다고 볼 수 있습니다.

 

하지만 최근 대다수의 안티바이러스 제품이 제공하는 네트워크 기반 탐지 기능이 없다는 점과 다음과 같은 Fileless 방식의 코드 실행을 통한 동작에는 취약할 수 있다는 양면성도 존재합니다.

 

 

예를 들어 국내에 피해를 지속적으로 주고있는 GandCrab 랜섬웨어의 최근 감염 방식을 보면 .js 스크립트 파일을 사용자가 실행할 경우 Windows PowerShell 기능을 통해 코드가 실행되는 과정에서 로그 상에서는 .js 스크립트 실행을 하는 wscript.exe 프로세스와 powershell.exe 프로세스만을 체크하여 랜섬웨어(Ransomware) 기능을 수행하는 악성 파일이 단독 실행 파일 구조가 아닌 경우에는 탐지가 이루어지지 않는 문제가 발생할 수도 있습니다.

 

맨 처음에 언급한 것처럼 이미 안티바이러스 시장은 포화 상태인 점을 고려한다면 최근에 새롭게 출시된 MAX Anti-Virus 제품의 경우에는 신규 사용자를 확보하는게 과거보다 훨씬 어려울 것이 분명하며, 진화된 차세대 방식의 탐지와 분석 기술을 적용하여도 다양한 백신 프로그램을 체험한 사용자들에게 어필하기에는 아직은 상당히 부족한 것이 사실로 보입니다.

 

하지만 늘 시대가 변화하듯이 하루에도 수십만개의 새로운 파일들이 만들어지는 일상 속에서 더욱 빠른 분석을 통해 사용자를 보호할 수 있도록 서비스를 제공하고 있는 MAX Anti-Virus 제품의 선전을 기대해 봅니다.

728x90
반응형