Avira Antivir Premium Security Suite 9 리뷰 (4) - 수동 검사

안티버의 수동 검사 기능을 살펴보도록 하겠습니다.

저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.



▶ Avira Antivir Premium Security Suite 9 리뷰 모음

- 개요 및 설치 과정 , 메인 화면 UI
- 실시간 감시 : 파일 실시간 감시(Guard), 웹감시(WebGuard), 메일감시(MailGuard)

7.  수동 검사 - scanner

                                                            수동 검사 메인 화면

안티버의 수동 검사의 메인화면은 단순한 편이지만 타 제품들의 UI와 비교하여 직관적이지는 못한 것 같습니다. 메인 화면에서는 안티버에서 제공되는 검사 항목와 함께 사용자가 검사할 영역을 설정하는 항목이 제공됩니다.

위 검사 항목들은 안티버의 다른 기능 항목들과 마찬가지로 상단 부분의 기능 아이콘들을 이용하여 사용하게 됩니다. 아이콘에 대한 정보는 아래와 같습니다.

Icon	단축키	기능 설명
	F3	지정된 검사 항목 검사 시작
	F6	지정된 검사 항목 검사 시작 (비스타  - Adminstrator 권한 필요)
	INS	새로운 검사 항목 신설 (Manual 검사와 동일한 항목이 생성)
	F2	신설된 검사 항목의 이름 변경
	F4	검사 항목의 바로 실행 아이콘 바탕화면에 생성
	DEL	신설된 검사 항목 삭제

검사할 항목의 바로 실행 생성 아이콘을 클릭하면 아래와 같은 성공 팝업이 활성화 된후 바탕화면에 바로가기가 생성됩니다. 자신이 검사할 특정 경로를 지정하고 바로가기를 실행하면 따로 안티버의 메인화면을 활성화시킬 필요 없이 안티버의 검사 엔진인 'Luke FileWalker'를 바로 실행할 수 있습니다.

수동검사 기능에서는 마우스 오른쪽 클릭 쉘 메뉴도 제공되는데 특히 사용자 지정 검사 (Manual Scan) 항목과 사용자 생성 검사 항목에서는 아래와 같이 검사할 파일 포맷에 대한 설정이 메인화면에서 조정이 가능합니다.

- Default : 환경 설정의 검사 설정을 따름
- Scan all files : 모든 파일 검사
- User-defined : 환경 설정에서 설정된 사용자 지어 검사 설정을 따름



개인적으로 안티버의 기본적인 수동 검사 속도는 빠른 편이라 생각합니다. 그러나 압축 파일 검사 설정시 다른 제품보다 검사 시간의 증가폭이 더 크다고 느껴집니다. 

7-1. 수동 검사 설정 - Scanner Configuration

안티버의 환경 설정은 기본적으로 파일 실시간 감시(Guard)와 거의 유사합니다. 따라서 파일 실시간 감시 부분과 동일한 부분은 파일 실시간 감시 포스팅을 참고해 주시기 바라고 여기서는 차이점을 중심으로 살펴보도록 하겠습니다.

(1) Scan : 검사 영역에 대한 기본 설정을 조정합니다.

① Additional Settings : 수동 검사 모듈(Avscan.exe)에 대한 추가적인 설정을 조정합니다.

설 정 명	설  명
Scan boot sectors of selected drives	수동 검사시에 드라이브의 부트 섹터 검사 (기본적으로 사용해야할 설정입니다.)
Scan Master boot secters	수동 검사 시에 MBR 검사 (기본적으로 사용해야할 설정입니다.)
Ignore offline files	오프라인 파일은 수동 검사 시에 제외합니다. 외부 시스템의 폴더까지 검사하게되면서 네트워크 및 자체 시스템의 퍼포먼스 감소를 막기 위한 설정입니다.
Optimized Scan	안티버의 9버전에 새롭게 추가된 설정으로 듀얼 코어 이상의코어를 가지는 CPU에서 수동 검사의 퍼포먼스를 향상시킵니다. 일부 단일 코어에서는 오히려 퍼포먼스가 감소했다는 경험담을 보았습니다. Avira에서도 멀티코어에서 사용하는 것을 권장하고 있으니 가급적 멀티 코어를 지닌 사용자가 사용하는 것이 좋을 듯 합니다.
Follow symbolic Links	Symbolic link로 연결된 모든 파일을 검사합니다. 전체 검사(complete)에서는 사용할 필요가 없습니다만 일부 중요 폴더만 검사할 때에는 링크된 파일의 폴더를 따로 지정하지 않아도 검사할 수 있어 유용합니다.
Search for rootkits before scan	수동 검사시에 루트킷 검사를 시행합니다. 이 설정이 활성화되면 모든 검사 항목에서 실시됩니다.메인화면에서 루트킷 검사만 따로 할 수 있습니다. 개인적으로는 전체검사를 자주 하는 편이 아니기 때문에 활성화시켜사용합니다만 빠른 검사를 원하는 분들은 해당 기능을 굳이 활성화 시킬 필요는 없습니다.

   ⓐ Boot Sector, MBR 간단하게 설명하자면 시스템 부팅시 필요한 디스크의 한 영역이라 보
      시면 됩니다. 악성코드에 의해 해당 영역에 조작이 가해지거나 손상이 발생하는 경우가
      종종 있습니다.
   ⓑ Offline File : 오프라인 파일 기능은 네트워크를 이용해 두 시스템의 폴더 동기화를 위해
      사용되는 기능인데 오프라인 파일은 동기화를 위해 저장되는 파일을 의미합니다.
   ⓒ Symbolic Link : 심볼릭 링크는 윈도우의 바로가기 기능과 외견상 비슷합니다만 내부적으
      로 많이 다릅니다. 바로가기와의 차이점이라면 바로가기의 링크는 단순히 연결이지만 심볼
      릭 링크의 링크 파일은 실제 데이타를 가진 파일과 동등한 위치를 갖고 있다는 것이라 볼 수
      을 듯 합니다. 단, 안티버의 심볼릭 링크 검사는 바로가기 아이콘의 링크를 검사하지는 않습
      니다.
    

  ② Scan Process : 검사 종료 및 퍼포먼스에 대한 설정을 조정합니다.
    ⓐ Allow stopping the scanner : 해당 설정을 체크해야만 중간에 수동 검사를 종료할 수
        있습니다.    

                                                 미 체크시 수동검사 화면

      물론 Avscan.exe 파일은 프로세스 보호가 되지 않기 때문에 작업 관리자 등으로 간단하게
      종료가 가능합니다. 악성코드 등의 작업 방해를 막기 위해 추가한 기능으로 보입니다만 별
      로 도움이 될 것 같지는 않습니다.

   ⓑ Scan Priority : Avscan.exe 프로세스의 작업시 작업 우선순위를 설정합니다. High로 지정되
       면 안티버의 수동 검사의 우선 순위가 올라가서 대부분의 시스템 자원을 사용할 수 있어 스
       캔 속도가 빠른 반면, Low 지정되면 우선 순위가 낮아져 다른 일반 프로세스에 자원이 배부
       됨으로 스캔 속도는 느리지만 다른 작업을 할 때 무리없이 할 수 있습니다. 기본 권장 사항
       인 normal로 사용하되 특정한 상황에서 변경하여 사용하면 될 듯 합니다.


(2) Action for concernig files : 진단된 위험요소에 대한 처리 방법을 설정합니다.
     기본적으로 Guard와 설정 항목과 방법은 동일하며 수동 검사에만 추가되어 있는 Notification
     mode를 살펴보겠습니다.

                                                         Combined mode

                                   Expert mode - 각 악성코드마다 진단 방법 설정 가능

                                     individual mode - 진단 시마다 위와 같은 창 활성화


(3) Archives : 일반 압축 포맷 및 패킹에 대한 설정을 조정합니다.

① Smart Extensions : 도움말의 설명으로는 기존의 압축/패커 포맷의 확장자가 변경되었을 때에
    도 이를 풀어서 검사하는 설정이라고 하는데 이 설정의 활성화 유무에 상관없이 검사가 이루
    어집니다. 예를 들어 zip 포맷의 파일 확장자가 abc 등으로 되어 있다면 이 설정이 비활성화되
    면 검사가 안 이루어져야 하지만 실제로는 이루어집니다. 일종의 버그가 아닐까 합니다.

② 안티버에서 제공하는 압축/패커 포맷의 리스트는 아래와 같습니다. 아쉽게도 7z 포맷은 추가
    되어 있지 않습니다.

(4) Exception : 특정 경로의 파일 및 폴더를 수동 검사에서 진단 제외시킵니다.

파일 실시간 감시와 다른 점은 시스템에 로딩된 프로세스에 대한 제외 설정이 없다는 것입니다. 파일 실시간 감시에서도 언급했지만 특정한 파일이나 폴더를 진단 제외시키기 위해서는 각 감시 기능별로 일일이 설정을 해야합니다.

(5) Heuristic : 휴리스틱 검사 설정을 조정합니다. 이 설정 역시 파일 실시간 감시나 웹가드의 설정과 동일함으로 해당 포스팅을 참고하시기 바랍니다.


(6) Report : 이벤트 기록에 대한 설정을 조정합니다. 역시 파일 실시간 감시 기능을 참고 바랍니다. 단, 수동 검사 기록은 파일 실시간 감시 기능과 달리 검사 내역의 저장 제한 설정이 없습니다.

7-2. 수동 검사 진단창

안티버의 검사 순서는 설정에 따라 다를 수 있습니다만 아래와 같습니다.

루트킷 검사 ->프로세스 검사 -> 레지스트리 검사 -> 이후 설정된 검사 경로 검사

위의 그림은 기본 검사시와 검사 종료 후의 검사창 모습입니다. 안티버는 수동 검사가 시작되면
Avscan.exe 프로세스가 활성화되어 검사를 시작합니다.

검사 도중 루트킷이 진단되거나 로딩된 프로세스에서 악성코드가 진단되면 아래와 같은 처리창이 활성화 됩니다.

여기서 프로세스 종료를 설정하면 아래와 같이 활성화되었던 프로세스(악성코드)를 처리하는 창이 검사 도중에 나오게 됩니다.

이후 검사가 종료되고 또 다른 악성코드가 진단되었다면 아래와 같은 처리창이 활성화됩니다.

처리 방법을 설정 후 apply now 버튼을 누르면 처리가 되는데 잠겨진 파일이나 기타 강제 삭제 등 재부팅 과정이 필요한 악성코드 경우 아래와 같은 처리창이 활성화 됩니다.

이후 ok를 누르면 재부팅 여부를 물어보는데 ok를 누르면 바로 재부팅이 됩니다.

재부팅이 바로 이루어지기 때문에 다른 작업은 저장 후 종료하시고 나서 ok버튼을 누르시기 바랍니다.
 
안티버는 자동 실행 기능이 있어 자동으로 진단된 악성코드나 재부팅 과정이 20초 후에 이루어 지는데 이를 방지하기 위해서는 처리창을 한번 클릭해야만 자동실행 타이머가 비활성화되니 참고하시기 바랍니다.

7-3. 안티버의 AV 엔진에 대한 생각 

(1) 치료 기능의 성능 : 여기서 의미하는 치료는 바이럿 등의 감염형 바이러스처럼 특정 코드를 삭제하는 등의 것을 포함하여 전반적인 악성코드 제거 기능에 대한 것을 의미합니다. 쉽게 말해 이미 활성화된 악성코드 및 악성코드로 인해 변경된 시스템 환경의 재수정하는 것을 의미합니다.

버전과 그 이하 버전에서안티버는 활성화된 악성코드의 처리에는 상당히 약한 모습을 보였습니다. 물론 안티버가 Gen 진단을 비롯한 휴리스틱 진단이 많기 때문에 처리가 다소 어려웠을지도 모릅니다. (활성화된 악성코드를 처리시에 특정한 방법이 필요할 때가 있기 때문에 의심진단보다는 정식으로 진단될 때가 더 유리하기 때문입니다.) 그러나 종종 정식 진단된 경우에도 처리가 안되는 경우가 있어 개인적으로는 안티버는 사전 차단에 만전을 기해야하는 제품으로 인식되고 있었습니다. 
(예를 들어 잠겨진 핸들을 풀기 위해 재부팅 과정이나 강제 삭제 등이 필요할 때 처리가 안되는 경우)

그러나 9버전들어서부터 이러한 기능이 크게 개선되었습니다. 여전히 처리가 안되는 악성코드도
있다고 합니다만 개인적으로는 확인은 못하였습니다. 이전처럼 재부팅 과정을 거치거나 안전모드에서도 처리가 안되던 악성코드의 경우 깔끔하게 처리되는 것을 보고 개인적으로 많이 놀랐습니다.

특히 이미 활성화되어 시스템 상에 로딩된 악성코드의 종료가 쉽게 이루어지고 dll 포맷으로 생성되어 정상 프로세스에 인젝션되는 방법을 사용하는 경우 처리가 거의 안되던 과거 버전에 비해 재부팅 과정이나 안전모드에서의 처리가 필요없이 바로 처리가 되고 있습니다. 게다가 dll파일이 인젝션 된 다른 프로세스들의 종료 과정이 없이도 처리가 됩니다.
(예를 들어 v3 같은 경우 dll이 인젝션된 경우 인젝션된 프로세스들을 모두 종료합니다. process memory 치료 기능. 따라서 실행 중인 프로그램을 가급적 종료 후 처리해야 안전합니다.) 

9 버전이 새로운 기능의 추가보다 내부적인 개선에 힘을 쓴 판올림이었다는 것을 이 부분에서 많이 느꼈습니다. 그러나 감염형 바이러스 등을 처리하는 Repair 항목의 성능은 여전히 뒤떨어져있고, 악성코드에 의해 생성된 레지스트리는 처리가 잘 안되어 문제가 발생하곤 합니다. 
       

                                                   쓰레기 레지스트리들

                             시작 프로그램에 등록된 악성코드 미삭제 경우


레지스트리에 관한 경우는 카스퍼스키나 기타 다른 유명 제품들도 비슷한 부분이기에 안티버만의 문제는 아닙니다만 동일하게 레지스트리를 검사하는 V3같은 국내 보안 제품들이 이런 부분까지 대부분 처리하는 것을 볼 때 개선이 필요한 부분이라 생각됩니다.
 (repair 기능은 정책상의 문제가 있을 지도 모릅니다만 레지스트리는 특정 레지스트리 미수정으로 인해 부팅시에 오류 코드가 나타나는 경우가 존재하고 심지어 시스템의 구동에 치명적인 오류가 나타날 수 있기 때문입니다. 이런 경우 보통 일반 사용자들은 당황하기 마련입니다.)



(2) 압축 파일 내부 검사  
안티버 경우 압축파일 내부에 악성코드가 존재할 때 단 한개의 객체만 진단 결과에 표시됩니다. 
      

                                          5개의 악성코드가 내부 파일에 존재

                               압축 파일 내부 검사시에 실제 진단창에 보이는 결과

위와 같이 5개의 악성코드가 존재하지만 진단 처리 창에서는 한개의 악성코드에 대한 처리만이 활성화됩니다. 물론 아래 그림처럼 압축파일 내부의 모든 악성코드는 진단된 상태입니다.

                         5개의 악성코드와 압축 파일 자체에 대한 진단값 때문에 6개로 표시

로그 기록을 보면 위와 같이 실제로 압축 파일 내부에 있는 악성코드를 모두 진단하고 있는 것을 알 수 있습니다.

왜 이런 처리 방법에 있어 진단된 악성코드의 수와 상관없이 하나의 악성코드만 처리 설정의 변경이 가능한 걸까요?

이유는 간단합니다. 안티버는 압축/패커 파일을 풀어 내부 파일을 검사할 수는 있지만 압축/패커 내부의 악성코드만 삭제하고 나머지 정상파일은 재압축하는 기능이 포함되어 있지 않기 때문입니다.

안티버는 압축파일 내부를 진단시 최종 진단창에서 설정한 설정대로 압축파일 자체가 처리됩니다. 압축/패커 내부에 정상파일이 있다고 해도 동일하게 처리가 됩니다. 압축 파일 검사 기능의 필요성에 대해 의구심을 가지는 분들도 있고(압축해제시나 실행시 실시간 감시에서 진단이 됨으로) 상당수의 제품들도 안티버와 비슷한 압축 파일 처리 결과를 보여주기 때문에 문제점이라 보기 어려울 수도 있습니다. 그러나 노턴, 카스퍼스키 등의 유명 제품들은 대부분 이런 내부적인 소소한 기능에서도 발군의 성능을 보인다는 점을 생각해 볼 때 이러한 제품들을 따라잡아야할 입장인 안티버의 개선점 중 하나가 아닐까 합니다.



개인적으로는 노턴, 카스퍼스키같은 유명 제품과 비교할 때 오진 등의 안정성 문제보다도 UI와 압축 파일 검사 기능 등의 사소한 부분의 차이가 더 눈에 들어오는 것 같습니다.


- 이상입니다.