▶ 보안 제품 리뷰/:: Panda

Panda Internet Security 2010 리뷰 (3-1) - 악성코드 진단 : 실시간 감시 [정식 진단]

물여우 2009. 9. 10. 22:59
반응형
판다의 악성코드 진단 기능 중 실시간 감시 기능에 대해서 살펴보도록 하겠습니다.

저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.


▶ Panda Internet Security 2010 리뷰 모음

(1) 
개요 및 설치 환경
(2) 메인 화면 및 트레이 UI


4. 실시간 감시


이번 포스팅에서 다룰 부분은 판다의 실시간 악성코드 진단 항목입니다. 이 항목은 시그니처 파일 실시간 감시와 행동 기반 진단 방식을 포함합니다. 실시간 감시 항목은 악성코드 진단에 대한 설정이 다음 두 개의 항목으로 나뉘어져 있습니다.

  • Known Threat     : 정식 시그니처 진단에 대한 설정 (+ IE 설정 변경 차단)
  • Unknown Threat : 시그니처 휴리스틱 진단과 행동 기반 진단(TruPrevent 기능)에 대한 설정
이 두 개의 설정이 나뉘는 이유는 정식 진단과 시그니처 휴리스틱 진단 등 시그니처 진단시에 대처하는 방법이 다르기 때문으로 생각됩니다.

판다의 가장 큰 특징은 실시간 감시 항목에서 나타나는데, 기본 설정에서 판다의 악성코드 진단 실시간 감시 항목들은 악성코드가 진단 되면 "자동 처리"를 합니다. 즉, 치료(정상 파일 코드 내의 악성코드만 삭제), 또는 삭제가 자동적으로 이루어 집니다. 이 자동 처리는 판다 제품을 아우르는 가장 큰 특징으로 사용자 편의성에 입각한 중요 정책 중 하나라고 볼 수 있습니다.

그런데 문제는 정식 시그니처 진단으로 제거되는 파일은 검역소에 저장없이 파일이 치료 또는 삭제된다는 것입니다. 쉽게 말해서 의심진단(시그니처 휴리스틱 진단)이 아닌 이상 사용자는 삭제되는 파일을 따로 백업(검역소 격리)할 수 없다는 의미입니다.

사용자 편의성을 너무 과도하게 의식하였거나 진단의 정확도에 매우 강한 확신을 갖고 있기에 가능한 구조(또는 정책)라고 생각합니다. 개인적으로는 오만하다 생각할 정도입니다. 검역소에 원본을 저장도 시키지 않고 처리하는 경우는 제가 사용해본 제품 중 판다가 처음인 듯 합니다.


4-1. Known Threat : 정식 진단 설정

                                                     Known Threat 환경 설정

Known Threat의 실시간 감시 항목을 비활성화하게 되면 Unknown Threat의 휴리스틱 진단도 불가능합니다. 이것을 보아 Unknown Threat의 감시 항목은 Known Threat의 실시간 감시 모듈에 연동되어 구동되는 것을 확인할 수 있습니다. 단, Truprevent는 개별적으로 동작합니다.


(1) Protection against known Threat : 실시간 감시 세부 설정


실시간 감시 항목은 기본 파일 실시간 감시/E-mail 첨부 파일 감시/메신져 다운로드 파일 감시/웹브라우저 다운로드 파일 감시 등 총 4개의 항목으로 구성되어 있습니다. 각 항목의 환경 설정은 오른쪽의 "Settings" 버튼을 클릭하면 됩니다. 환경 설정과 해당 항목과 관련된 팝업창에 대해서 살펴보도록 하겠습니다.

① 파일 실시간 감시 (Scan files on disk) 
   - 시스템에 연결된 하드 디스크 및 메모리 영역에 상주하고 있는 파일을 검사합니다.

   ⓐ Scan 탭 - 아래에 빨간 박스 부분은 스페인어에서 영어로 번역 중 깨진 부분으로 보입니다.
                     도움말에서는 Scan 탭으로 설명하고 있습니다. 여기서는 아래 그림과 같이 감시할 파일
                     확장자와 압축 파일 검사 여부를 설정합니다.

환경 설정 - Scan 탭



(*) "Extensions" 은 특정 확장자만 검사가 설정되었을 때 활성화되는데 클릭하면 아래와 같이 특정 확
      장자를 사용자가 선택할 수 있습니다.

확장자 설정


    살펴보면 해당 항목에는 독특한 설정이 존재하는데, 위 그림에서 빨간 박스로 지정된 항목입니다.
    다른 보안 제품에서는 보기 힘든 설정으로 이미 지정된 파일 확장자를 제외하고 다른 확장자들만 검
    사하는 항목입니다.


(**) "Advanced Settings" 은 사용자 시스템과 네트워크로 연결된 저장 장치를 검사하는 설정입니다.

네트워크 연결 저장 장치 검사 설정


개인적으로 개인용 보안 제품에서 노벨 파일 서버와 관련된 항목이 있는 제품은 처음 보는 것 같습니다.


ⓑ Actions 탭 - 실시간 감시 기능으로 진단된 파일의 처리 방법을 설정합니다. 앞서 언급한 것처럼 판다
                     에서 DB화 된 악성코드를 진단하는 경우 (정식 진단) 자동 처리 설정의 기본은 검역소
                     저장없이 삭제 또는 치료입니다. 따라서 오전 등의 문제가 걱정된다면 아래와 같이 접근
                     차단 설정으로 처리 설정을 조정하기를 권장합니다. 

진단된 객체 처리 설정


실시간 감시의 처리 설정을 '접근 차단'으로 권장하기는 처음인 것 같습니다.

추가적으로 이야기해보면 판다의 설명을 살펴보면 자동 처리 설정에서 Disinfected 못하는 객체에 대해서는 검역소 저장을 실시한다고 합니다. 그러나 여기서 의미하는 Disinfected는 일반적으로 생각하는 치료(정상 파일 내부의 악성 코드만 삭제)인 것 같습니다. 실제로는 삭제 처리되는 파일들은 검역소에 저장되지 못합니다.

ⓒ Warnigs 탭 - 악성코드 진단시 사용자에 대한 경보 부분을 설정합니다.
                      개인용 제품으로는 특이하게도 진단 내역에 대한 경보 정보를 메일로 전송하거나  네트
                      워크에 연결된 다른 PC에 전송하는 기능등이 존재합니다.

환경설정 - Warnigs 탭


판다의 진단 정책은 트래킹 쿠키를 진단하는데 이로 인한 빈번한 팝업창 생성을 막기 위해 쿠키 진단시 팝업창을 활성화하지 않는 설정이 존재합니다. 군데군데 영어 번역을 잘못한 부분이 보입니다. 

(*) 경보 메일 설정 


(**) 네트워크 연결된 PC들에게 전파 설정

 

ⓓ 실제 악성코드를 진단했을 때의 팝업창

접근 차단 설정시 팝업 내용



위의 팝업창은 처리 설정이 접근 차단으로 조정되었을 대의 팝업창입니다. 느낌표 부분을 클릭하면 진단명과 진단 경로를 볼 수 있는 작은 창이 활성화 됩니다.

자동 처리 설정시 팝업 내용



자동 삭제 처리서 팝업 내용



판다의 팝업창은 기본 크기가 매우 작을 뿐더러 진단 내역에 대한 정보를 보기가 매우 불편합니다. 다른 판다 항목의 UI와 달리 팝업창이 부실한 이유는 판다의 자동 처리 정책과 관계가 있지 않나 예상합니다.
즉, 위와 같은 정책 상에서 팝업창은 단순히 무언가가 진단되었음을 사용자에게 알려주는 선이면 충분하기 때문입니다. 나중에 살펴보겠습니다만 판다의 레포트 부분도 상당히 빈약합니다. 레포트 부분까지도 정책적인 부분과 연계되었다고는 생각하지 않습니다만, 판다라는 기업은 사용자에게 굳이 많은 정보를 제공할 필요는 없다라고 여기는 것은 아닌가 합니다. 
(※ 이런 부분은 기술적인 구현이 어려운 부분이 아니기 때문에 위와 같이 생각합니다.)


② 메일 첨부 파일 검사 (Scan Mail)
    - 메일 내용에 첨가된 파일이나 첨부 파일을 검사합니다. PoP3나 SMTP를 이용하는 메일 클라이언
      트 프로그램을 사용하는 분들만 사용하시면 됩니다.

     ⓐ E-mail - News : 송수신 검사 여부와 첨부 파일의 확장자 및 압축 파일 진단 여부를 결정합니다.
         이메일에 첨부되는 악성코드는 대부분 압축되어 첨부되기 때문에 압축 파일 검사가 기본적으로
         체크되어 있습니다. 이왕 이메일 검사 기능을 사용하시는 분들은 압축 파일 설정을 체크하셔서
         사용하시기 바랍니다.
 

환경 설정 - Email - News


"Extension" 부분은 파일 실시간 감시 항목과 동일합니다.
(*) "Advanced Settings" 은 스패머나 악성코드 유포자가 사용자를 속여서 메일 내부의 링크를 클릭하거나 파일을 실행시키게 하는 기법을 진단하는 설정입니다. 아쉽게도 어렵사리 구한 악성코드 유포 메일은 해당 기능의 진단 부분과는 관계없는 것이라서 실제 진단 부분은 확인할 수 없었습니다. 


     ⓑ Actions 탭 : 파일 실시간 감시 항목과 동일한 항목으로 진단된 첨부파일의 악성코드 처리 방법을
        설정합니다. 파일 실시간 감시 항목과 달리 접근 차단 설정은 존재하지 않고 자동 처리/자동 삭제
        등 두 개의 설정이 있습니다.

     ⓒ Warnigs 탭 : 파일 실시간 감시 항목과 완전히 동일합니다. 진단 내역에 대한 알림을 설정합니다.

③ 메신져 다운로드 파일 검사 (Scan Instant Messaging)
    - MSN이나 야후 메신져 등 외국에서 유명한 메신져 프로그램에서 상대방이 전송하는 파일을 파일
      실시간 감시보다 먼저 감지하는(포트 검사를 통해 유입전 차단) 기능입니다. 
      네이트온을 비롯한 국내 메신져들은 지원을 안합니다.
 

환경 설정 - 메신져 검사 : Scan 탭


     ⓑ Actions 탭 : 파일 실시간 감시 항목과 동일한 항목으로 진단된 다운로드된 악성코드 처리 방법을
        설정합니다. 파일 실시간 감시 항목과 달리 접근 차단 설정은 존재하지 않고 진단 무시/자동 처리/
        자동 삭제 등 세 개의 설정이 있습니다.

     ⓒ Warnigs 탭 : 파일 실시간 감시 항목과 완전히 동일합니다. 진단 내역에 대한 알림을 설정합니다.


ⓓ HTTP 포트 검사 (Scan Internet Browsing)
    - 웹브라우저나 Http 포트(원격 포트 80 8080 등등)를 사용하는 프로그램들이 다운받는 파일을 파일
       실시간 감시보다 앞단에서 진단하여 차단합니다. 

    

환경설정 - HTTP 포트 검사



판다의 해당 기능은 안티버의 웹가드나 카스퍼스키의 웹트래픽 검사 기능처럼 전문적인 기능은 아닙니다. 그러나 시스템에 유입 전 사전 차단 여부가 중요시되면서 거의 모든 제품에 포함되고 있는 기능 중 하나입니다. 개인적으로는 사용하기를 추천합니다만 위와 같이 세부적인 설정이 존재하지 않습니다.
기본적으로 압축 파일 및 모든 확장자 검사가 이루어지며, 모든 처리는 '자동 처리'로 이루어집니다.

판다의 웹브라우저 감시 기능에서 진단된 내역은 아래와 같은 팝업창으로 알려줍니다. 기본적으로 파일 실시간 감시의 팝업창과 동일합니다.
 

웹브라우저 검사 기능 진단 팝업창


특이한 점은 아래와 같이 웹브라우저나 다른 프로그램을 통해 악성코드가 다운되어 진단될 때, 해당 파일의 내부 코드만 삭제하고 대신 처리 내역을 내부에 남겨서 사용자 시스템에 저장시킨다는 것입니다.

다운되는 악성코드 예


위와 같은 악성코드가 다운될 때 바로 차단되어 삭제되고 사용자에게는 팝업창으로 알려줍니다. 이후 다운된 악성코드 내부를 열어보면 아래와 같이 처리된 내역의 정보가 존재하는 것을 알 수 있습니다.

내부 코드의 변화



이런 부분은 이전에 리뷰한 에프시큐어 2009 버전의 웹트래픽 검사 기능과 유사한 것 같습니다. 에프시큐어는 일부 코드가 삭제되는 것에 비해 판다는 처리 내역을 추가하기에 더 깔끔하지 않나 생각됩니다.


(2) Threats to detect and exclude : 진단 카테고리 설정 및 제외 설정  

Known Threat 환경 설정에서 해당 설정의 "settings" 버튼을 아래와 같이 진단할 악성코드의 종류 선택과 실시간 감시 및 수동 검사에서 진단을 제외할 파일/폴더를 설정할 수 있습니다.

① Threats 탭
    - 진단할 악성코드의 종류 선택

악성코드 카테고리 선택 설정


세부적인 진단 정책은 조금 다르지만 악성코드의 분류법은 국내 보안 업체들과 큰 차이가 없는 것 같습니다. 안철수 연구소나 하우리 등의 보안 업체의 악성코드 분류법을 참고바랍니다.

(*) "Advanced Settings"은 MS의 웹브라우저인 Internet Explorer(살펴본 봐로는 ie8을 지원합니다.)의 주요 설정들을 보호하는 기능입니다.

IE 환경 설정 보호



사용자 처리로 설정된 경우 IE의 설정에 접근하는 프로그램이 있을 경우 아래와 같은 팝업창이 활성화됩니다.

IE 설정 보호 팝업창


IE 설정 보호 기능은 보통 안티스파이웨어 제품에서 많이 보이는 기능으로, 레지스트리 변경으로 IE의 설정을 바꾸어 시작 홈페이지나 검색 설정을 변경시키는 악성코드가 워낙 많아서 안티 바이러스 제품에도 최근에는 많이 추가되어 있습니다. 다만, IE의 설정이나 관련 레지스트리 값에 대해서 어느 정도 숙지한 사용자가 아니면 사용하기 어려운데 판다의 경우도 마찬가지입니다.

판다에 포함된 이 기능의 불편한 점 하나는 특정 프로그램의 접근에 대한 허용 시도를 기억시킬 수 없다는 것입니다. 따라서 특정 프로그램이 IE의 설정을 계속 변경하면 해당 팝업을 통해 그때마다 사용자가 허락을 시켜주어야 합니다. (※ 자동 처리는 무조건 차단만 합니다.)

그리고 해당 기능에서 보호하는 설정에 접근하는 경우 판다의 해당 기능으로 인해 실행이 상당히 느려집니다. ㅠ-ㅠ 개인적으로 웹브라우저는 웹마를 사용하는데 웹마의 홈페이지 고정 기능을 사용하면 초기 실행 시간이 무척 늘어납니다. 이런 기능은 실행 딜레이가 얼마나 없느냐가 중요한데 다소 아쉬운 부분입니다.

또, 해당 항목은 Known Threat에 환경설정이 존재하지만 Unkonwn Threat 항목과 연동되어 활성화된다는 것도 UI 구성 상의 실수라고 생각됩니다.


IE 설정 보호 하단 부분의 항목은 IE의 주요 설정을 백업/복구하는데 사용합니다. 참고로 해당 항목에서 보이는 IE의 관련 설정이 IE 설정 보호 기능에서 관리하는 IE 설정입니다.

IE 설정 관리 - 설명을 위해 수정하였습니다.



② Files/Directories 탭 : 파일 및 폴더 제외 설정

제외 설정은 실시간 감시와 수동 검사에서 따로따로 지정할 수 있지만 두 항목의 제외 설정은 연동됩니다. 즉, 한곳에서 특정 파일/폴더를 추가/삭제하면 다른 항목에서도 자동으로 설정이 변경됩니다.

판다의 제외 설정은 파일과 폴더 제외를 따로따로 할 수 있다는 점 말고는 특별한 점은 없습니다. "Add" 버튼을 이용해서 감시에서 제외할 파일과 폴더를 지정합니다.

제외 설정 환경 설정



아래는 제외할 폴더 추가/삭제시의 환경 설정입니다.

폴더 제외 설정 모습





이전 포스팅에서도 잠깐 언급한 부분인데 실시간 감시 항목에서도 설정 변경이 이루어지는데 약간의 시간이 필요합니다.

설정 변경 적용 시 딜레이


단순히 눈에 보이는 UI의 변경이 느린 것이면 상관이 없지만 실제로 악성코드 샘플로 실험해보면 상당한 딜레이가 있습니다. 물론 1분도 안되는 몇 초간의 짧은 시간입니다만, 요즘 제품들의 경량화 추세를 생각해보면 다소 답답한 부분입니다. 간혹가다 설정 변경시 오류가 발생해서 재부팅해야할 때가 발생하면 참 난감합니다. WOT 설치본의 문제인지 현재 2010버전의 빌드가 다소 불안정한지는 리뷰가 끝나는 시점에 다시 살펴봐야할 듯 합니다.


- 이상입니다.

반응형