Eset Nod32의 제외 설정 문제 <재수정> - 네이버 오진

역지사지님이 보안상으로 더 안전하고 완벽한 제외 설정을 알려주셨습니다.

참고 : http://blog.naver.com/hahaj1/20068452639

자세한 내용은 위 링크의 역지사지님의 포스팅을 참고하시기 바랍니다.
 

참고 : Nod32 2.7 네이버 오진 제외하기


Eset의 nod32는 작지만 강력한 성능으로 국내에서 카스퍼스키와 함께 외국 보안 제품 붐을 만들었던
제품입니다. 현재는 nod32라는 상호는 쓰이지 않고 있습니다만 여전히 오래된 국내 사용자들 사이에서
Nod32 또는 노드라는 이름이 그대로 쓰이고 있는 것 같습니다.

Eset은 국내에 직접적으로 진출한 적은 없고 총판을 통해 자사의 제품을 판매해 왔었는데 최근에는
총판을 통한 국내 판매를 중단함으로써 실질적으로 국내 환경에 대한 지원을 완전히 끊었습니다.
개인들의 개별적인 오진 및 샘플 신고를 받을 뿐입니다.

위와 같은 이유로 종종 국내 웹사이트와 일부 프로그램을 오진하는 경우가 발생했을 때, 이에 대한 대응
속도가 국내에 진출하거나 국내 기업들에 비해 상당히 느린 편입니다.


최근에도 아래와 같이 네이버의 검색 서비스에서 특정 단어들을 검색할 때 아래와 같은 진단명으로
오진을 하는 사례가 발생하였습니다. 진단명으로 봐서는 네이버에서 검색시 결과 보기에서 사용되는
내부의 Iframe과 관련된 문제로 보입니다.   

진단명 : HTML/TrojanClicker.Iframe.NAO.gen trojan - Eset

                            검색시 아래와 같이 진단되며 검색 결과 페이지 차단

                         웹엑서스 보호 기능에서 1차 차단 - 웹브라우저의 페이지 로딩 차단

                      해당 페이지 파일 실시간 감시에서 차단/삭제 - search.htm 파일 진단
                                         ('[1]'은 저장시 동일 파일과 구분하기 위한 표시)

 

Eset의 제외 설정의 문제

네이버 검색 시의 오진과 같은 경우 웹페이지의 htm파일을 진단하기 때문에 노드에서는 두 개의 보안
기능에서 해당 파일을 진단 차단합니다. 이 경우 두 개의 보안 기능에서 각각 제외 설정을 해야합니다.

단, 아래의 방법은 네이버 오진 등 아주 제한적인 경우에 일시적으로 사용하시기 바랍니다.
특히 두 번째 파일 실시간 감시 제외 방법은 매우 위험합니다.

(1) Web Access 진단 - 제외 가능 - 2.* 버전은 불가능

노드는 카스퍼스키의 웹트래픽 검사와 안티버의 웹가드 기능과 유사한 웹엑세스 보호 기능이 있습니다.
웹브라우저를 비롯한 외부 네트워크에서 유입되는 파일을 미리 검사하는 기능입니다.

위와 같이 특정 웹사이트의 페이지를 오진할 경우 해당 페이지의 URL을 찾아 웹 엑세스 기능의 제외
설정에 추가하면 간단하게 해결이 가능합니다.
(URL을 찾는 것은 Eset의 Log 기록보기나 웹브라우저의 주소 창을 확인해보시면 됩니다.)


1. 아래와 같이 Eset의 Advansed Setup으로 진입합니다.

이후 아래와 같은 모드 변경에 대한 질문창이 나옵니다.

2. 고급 설정으로 진입합니다.

고급 설정으로 진입하는 방법은 여러가지가 있으니 각자 편한 방법으로 하시면 됩니다.



3. Web Access의 주소 관리 설정을 클릭합니다.

4. Add 버튼을 클릭하면 아래와 같이 제외 설정창이 활성화 됩니다.

http://*search.naver.com/*   <- 이 url을 적용하면 됩니다.
'*' 는 이후에 추가되는 url등을 모두 허용한다는 뜻입니다. 

                                                       제외 설정에 추가된 url



위와 같이 설정하면 네이버에서 검색할 때 웹엑세스 보호 기능에서 진단하는 부분은 없어진 것을 확인
할 수 있습니다.


웹엑세스에서 진단 제외를 시키면 실시간 파일 감시에서 진단이되더라도 웹페이지는 정상적으로 로딩
이 됩니다. 이것은 사실 상당히 큰 문제인데 노드 자체의 보호 기능의 구조 때문으로 보입니다.
이에 대해서는 나중에 다시 한번 포스팅해보도록 하겠습니다.


(2) 파일 실시간 감시 제외 - 가능

이 부분이 제가 잘못알고 있었던 부분입니다. 경로에 * 표시를 통해 일괄적인 경로 설정이 가능합니다.

웹페이지의 파일은 아래의 경로에 저장됩니다.
C:\Documents and Settings\Administrator(사용자에 따라 변경)\Local Settings\Temporary Internet Files\Content.IE5

실제로는 동일 이름의 파일을 관리하기 위해 Content.IE5의 하부 폴더를 가지며 이후에 특정 웹페이지에
폴더를 따로 지정하여 저장됩니다. 


노드에서 시스템에 저장된 파일을 감시 제외는 아래와 같이 이루어 집니다.

1. Advanced 모드에서 Exclusions을 클릭합니다.
 

2. Add 버튼을 클릭하면 아래와 같이 경로 설정창이 활성화됩니다.

C:\Documents and Settings\test(사용자에 따라 변경)\Local Settings\Temporary Internet Files\Content.IE5\*\search[*].htm

위와 같이 임시 폴더 경로를 찾아서 2번 항목에 기입한 후 빨간 부분을 추가하면 됩니다.

위와 같이 경로를 지정하면 네이버에서 검색시 이루어지는 오진을 피할 수 있습니다.


참고로 특수 문자 버그로 임시 폴더 내의 파일을 제외하는 것이 안되고 있는 안티버도 일괄적인 제외
설정이 가능합니다. 위의 경우 'search*.htm' 으로 경로 설정없이 지정하면 진단에서 쉽게 제외가 가능
합니다.

물론, 웹페이지의 악성코드 유포 페이지가 search 단어를 포함할 수 있기 때문에, 이런 식의 일괄적인
제외는 보안상 문제가 있을 수 있습니다.

그런데 아래와 같이 실시간 감시의 사용자 처리 창에서 진단 제외하는 설정이 비활성화 된 이유를 모르
겠습니다. 정식 진단은 원래 그런가요?

이전에도 같은 형태의 오진(JS/TrojanDownloader.Small.NBF)이나 네이버 카페의 특정 페이지를 지속적으로
오진했던 사례가 있었습니다. 국내에 대한 지원이 이루어지고 있다면 충분히 없앨 수 있는 오진이라는
점이 상당히 아쉽습니다.

추가적으로 진단 제외 설정의 허술함으로 이런 오진이 발생할 때마다 사용자가 불편함을 느껴야한다는
것은 분명히 Eset 측의 문제이며 빠른 시일 내에 해결해야할 문제라고 생각합니다.

카스퍼스키 같은 제품이 초기에 불편하게 느껴질 수도 있겠습니다만 내부적인 설정의 완성도가 높기
때문에 익숙해지면 사용 편의성이 오히려 증가하게 됩니다. 노드 제품도 디테일한 설정을 제공하지만
그 완성도에 있어 아직까지는 좀 문제가 있는  같습니다.

저의 잘못된 지식이었습니다.

이번 오진도 이전 사례와 마찬가지로 국내 유저들의 적극적인 신고로 인해 곧 조치가 되긴 할 것입니다.
그러나 정확한 조치 시기는 알 수가 없기 때문에 한동안 사용자들이 불편을 겪을 것 같습니다.

특정 기능의 허술함이나  오진 등으로 생기는 문제가 노드만의 문제는 아닙니다만, 국내의 동일한 웹페
이지의 오진이 반복적으로 나오기 때문에 이 문제를 한번 짚어봤습니다.





- 이상입니다.