▶ 보안 제품 리뷰/:: Panda

Panda Internet Security 2010 리뷰 (3-2) - 악성코드 진단 : 실시간 감시 [의심 진단]

물여우 2009. 9. 27. 21:29
반응형
지난 시간에 이어 판다의 실시간 감시 기능을 살펴봅니다. 이번 포스팅에서는 의심 진단과 관련된 기능에 대해서 알아보도록 하겠습니다. 

저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.


▶ Panda Internet Security 2010 리뷰 모음

(1) 
개요 및 설치 환경
(2) 메인 화면 및 트레이 UI
(3) 악성코드 진단/치료 
      - 실시간 시스템 감시 : ① 정식 진단


4-2. Unknown Threat - 의심 진단 설정

판다의 의심진단 기능은 진단 방식에 따라 시그니처 진단과 행동 기반 진단으로 나뉩니다. 시그니처는 전통적인 의심진단 기법으로 타사의 휴리스틱 진단과 유사한 진단 기능이며, 행동 기반 진단은 실행되는 프로세스의 행동을 체크하여 악성코드의 행동과 유사한 행동을 하는 경우 차단합니다.

앞서 리뷰한 정식 진단의 실시간 감시처럼 의심 진단 항목도 자동 처리가 기본입니다. 다만 시그니처 의심 진단의 경우 검역소에 저장이되며 행동 기반 의심 진단의 경우 문제가 된 행동을 차단만 하고 해당 프로세스를 따로 처리하지는 않습니다.

의심 진단 기능 환경 설정창



(1) TruPrevent - 행동 기반 탐지 기능 (HIPS)

판다의 "TruPrevent Technology"는 행동 기반 탐지 기술로 판다에서 자체 개발하였다고 합니다. 넓게 보아 HIPS에 속하는 기능으로 비트디펜더의 Behavioral Scanner( 행동기반 기능)[각주:1]과 유사합니다. 보통 Hips 기능을 언급하면 코모도나 아웃포스트의 그것처럼 프로그램의 행동을 사용자가 직접 관리할 수 있는 기능을 떠올립니다만, 탐지 항목들이 사용자에게 숨겨진 Truprevent 같은 기능들도 사용자의 시스템 내부 침투하려는 악성코드를 실행시에 차단한다는 점에서 HIPS 기능이라고 봐야합니다. 사실 노턴의 SONAR 기능도 유사하지만 진단하는 항목들을 살펴 보면 내부 진단 항목이 다소 다르다고 생각합니다. Trojan이나 웜등에 특화되었다는 느낌이 강하게 드는 노턴의 SONAR 기술에 비하여 진단하는 항목의 범위가 다소 넓다고 생각됩니다.

사설이 조금 길었는데 환경 설정은 너무도 간단합니다. 위 그림의 Unknown Threats 환경 설정의 TruPrevent 기능에 대한 활성화/비활성화하는 조정과 아래와 같은 경고창에 대한 설정이 다입니다.

TruPrevent에서 진단시 진단 알림창 활성화 설정



TruPrevent에서 프로세스의 특정 행동을 차단했을 때에는 아래와 같은 팝업창이 활성화됩니다. 일반적인 실시간 감시 알람창과 비슷한 형태임을 알 수 있습니다.



위 그림은 정식 DB와 시그니처 휴리스틱에서 진단이 되지 않는 악성코드를 실행시켰을 때 나타난 알람창입니다. 아래 그림은 TruPrevent가 오진한 경우인데 위와 달리 악성코드의 행동에만 포커스를 맞춘 것이 아니라 기본적인 써드 파티 어플리케이션들 즉, 일반 프로그램의 행동 위험성도 판단하고 있다는 것을 알 수 있습니다. 이러한 부분이 노턴의 SONAR와는 다르고 비트디펜더의 Behaval Scanner와 유사하다는 것을 보여줍니다.


참고로 위 진단은 샌드박스IE에서 특정 프로그램을 실행시킨 후 샌드박스에 저장된 데이타를 삭제할 때 간혹 일어납니다. 개인적으로는 일단 오진이라고 판단 합니다만 메모리에 상주된 프로세스의 실제 파일을 삭제 하려는 시도를 진단하는 것으로 보이기에 보기에 따라서는 오진이다 잘라 말하기는 어려울 듯 합니다.


TrePrevent는 위와 같이 단순히 활성화만 시켜두면 자동으로 시스템을 감시하고 위험 행위를 차단하게되는 등 사용법이 매우 쉽다는 것이 장점입니다. 사용 편의성이 좋다는 것은 판다의 전체적인 특징으로 보입니다.

그러나 아래와 같은 단점들도 존재합니다.

① 진단되어 차단된 행위에 대한 세부 정보를 파악할 수 없다. 
    - 위 진단창에서는 진단된 프로세스의 경로와 진단된 행위에 대한 간단한 정보만 제공합니다. 기본적
      으로 리포트 기능에서는 단순히 진단된 내역만을 제공하기 때문에 위 팝업창이 꺼지면 더 이상 진
      단된 내역에 대한 간단한 정보 조차도 확인할 수 없습니다.

② 오진이 발생했을 경우 해당 진단 및 차단 조치를 멈추거나 진단에서 제외할 수 없다.
   - 이는 상당히 치명적인 단점인데 첫 번째 단점과 마찬가지로 진단된 프로세스와 행위에 대해 관리하
     는 항목이 존재하지 않습니다. 기본적으로 한번 행위를 차단하게되면 재부팅할 때까지 지속적으로
     행위가 차단됩니다. 이는 진단 후에 TruPrevent 항목을 비활성해도 마찬가지입니다. 따라서 오진이
     발생한 경우 TruPrevent를 비활성화하고 재부팅을 해야만 합니다.
   
     관리할 항목이 없다는 것은 분명히 간편함을 주지만 위와 같이 사용자가 처리해야만 하는 경우에
     는 매우 불편한 상황이 연출될 수 있다는 것을 알 수 있습니다.


오진 문제에 대해서 언급을 해서 오진이 많다 생각될 수도 있지만 최소한 국내 금융권의 각종 액티브x들과 온라인 게임 런쳐와 게임가드 같은 게임 보호용 보안 제품들을 진단하지는 않았습니다. 이 부분에 대한 오진만 없어도 국내에 진출하지 않은 외국 제품으로서는 사용에 별 문제가 없다고 볼 수 있습니다.


(2) Heuristic Scan - 시그니처 의심진단


판다의 시그니처 휴리스틱 설정도 TruPrevent 설정과 같이 매우 간단합니다. 활성화/비활성화 여부만 설정하면 됩니다.

앞서 언급한 것처럼 시그니처 휴리스틱에 의하여 진단된 파일은 자동으로 판다가 처리하는데 다행스럽게도(!) 시그니처 의심 진단은 검역소에 보관이 됩니다. 검역소에 보관된 의심 파일은 이후에 판다의 DB 업데이트시에 정식 진단에 해당 파일이 포함된 경우 따로 처리가 가능합니다. 이는 Report 항목을 다룰 때 다시 살펴보겠습니다.

시그니처 휴리스틱 진단이 발생했을 때의 팝업창은 아래와 같습니다.


참고로 시그니처 휴리스틱의 진단명은 오로지 Suspicious files 하나 입니다.

진단명 중에서 Generic Trojan 등 Generic이 들어가는 것은 휴리스틱이 아닌 일종의 패턴 진단으로 비슷한 변종들을 하나의 패턴으로 진단하는 정식 진단명입니다. 따라서 명칭은 하나이되 서로 다른 악성코드들이 진단됩니다. 예를 들어 1-1, 1-2, 1-3 같은 변종과 2-1, 2-2, 2-3 같은 서로 다른 악성코드의 변종들이 모두 Generic Trojan 하나의 진단명으로 진단됩니다.

개인적으로 실험해본 결과 의외로 국내 웹에서 유포되는 신종 악성코드나 P2P 등에서 유포되는 다양한 악성코드를 의심진단으로 비교적 잘 진단합니다.
(국내 진출 제품이 아니어서 의심 진단에서 못 잡는 경우 DB에 추가가 잘 안단되는 점이 문제지만 ^^;)

패커 진단 등이 매우 미약하기 때문이 아닐까 하지만 비교적 국내 프로그램들에 대한 오진도 적은 듯 합니다.


(3) 메일 첨부 파일 격리 및 위험 스크립트 실행 차단


① Move potentially dangerous attachments to quarantine 
   - 이 기능은 메일에 첨부되는 파일 중 악성코드로서 동작이 가능한 특정 확장자를 가진 경우 정식 진
     단이나 의심 진단을 통한 진단 여부와 상관없이 자동으로 검역소에 격리시키는 기능입니다.

    "Settings..."를 클릭하면 아래와 같이 자동으로 검역소에 격리시킬 파일 종류 또는 확장자를 설정
      할 수 있습니다.


Double Extension(이중 확장자)는 별 다른 것이 아니고 사용자를 속이는 간단한 기법으로 virus.txt.exe처럼 txt 파일인 것처럼 보이게 만든 확장자를 말합니다. 보통 윈도우의 폴더 설정이 알려진 확장자 숨기기 기능을 체크하기 때문에 위와 같이 이중 확장자를 만든 경우 사용자에게 보이는 것은 exe는 사라지고 txt만 보입니다. 매우 간단한 방법이지만 의외로 유용한 방법입니다.

Extensions를 클릭하면 아래와 같이 확장자를 사용자가 지정할 수 있습니다.

     확장자 설정은 "실시간 감시:정식 진단" 포스팅에서 설명하였으니 여기서는 넘어가도록 하겠습니다.

② Block the excution of the Scripts files
   - 특정 스크립트 파일의 실행을 차단합니다. 어떠한 스크립트를 차단하는지에 대한 세부적인 정보는
      없습니다. 웹브라우저의 페이지 로딩에 약간 영향을 미치는 것 같습니다만 기본적으로 활성화시키
      는 것을 권장합니다.





지금까지 판다의 의심 진단 기능에 대해서 다루었습니다. 여기서 빠진 것이 하나 있는데 바로 판다의 클라우딩 진단 기술입니다. 클라우딩 기술은 네트워크를 통해 판다의 데이타 서버를 사용자 시스템과 연결하여 판다의 각종 악성코드 진단 기능이 진단하지 못하는 파일을 진단하는 기능입니다. 클라우딩 기능만 따로 제공하는 무료 제품도 판다에서 제공하고 있는데 2010버전에 이 기술을 포함시켰습니다.

그러나 여기서 클라우딩 기능에 대해서 다루지 않은 이유는 실시간 감시에는 해당 기능이 포함되지 않았기 때문입니다. 이는 판다에서 제공하는 정보가 없기 때문에 개인적인 실험과 몇 가지 단서등을 통해 유추한 결과입니다. 어떠한 이유에서인지 몰라도 판다의 클라우딩 기술은 수동 검사에서만 사용이 가능합니다. 개인적인 추측으로는 서버 연결이 항상 이루어져야 한다는 점이 판다 업체와 특히, 사용자에게 부담이 되지 않았나 합니다. 스페인의 인터넷 상황을 모르지만 국내처럼 광랜이나 ADSL 이상되는 대역폭을 가진 네트워크가 전국에 설치되는 나라는 드물기에 그렇습니다. 또한 오진 문제도 주요 요인이라고 생각합니다.

여하튼 클라우딩 기능에 대해서는 다음 포스팅인 수동 검사에서 다루어보겠습니다.

이상으로 판다의 "실시간 감시 : 의심 진단" 에 대한 포스팅을 마칩니다.
  1. 링크된 게시물의 하단 부분을 참고 바랍니다. [본문으로]
반응형