저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.
최근의 보안 제품의 특징은 실시간 감시 기능이 전통적인 파일 감시 기능 뿐만 아니라 위험 웹사이트 차단 및 스팸 차단, 개인 정보 유출차단 등 다양한 감시 기능과 행동 기반 탐지 기능이 추가되고 있다는 것입니다. 이러한 기능 확장은 사용자 시스템을 노리는 위험이 악성코드를 비롯해 다양하게 존재하기 때문입니다. 그러나 실질적으로 가장 중요한 것은 역시 파일 감시 기능이라고 생각합니다. 이번 리뷰에서는 모든 감시 기능 중 핵심 기능들만 살펴보도록 하겠습니다.
기본적인 트렌드 마이크로의 실시간 감시 기능은 최근 노턴, 맥아피 등의 대형 벤더들의 제품들처럼 진단된 악성코드에 대해 자동으로 처리되도록 구성되어 있습니다. 단, 스파이웨어 같은 PUA 악성코드는 사용자 처리를 할 수 있도록 구성되어 있습니다.
- 실시간 시스템 감시 - 파일 감시 및 메일/메신져 다운로드 감시
- 무단 병경 방지 - 행동 기반 차단 기능
- 웹 위협으로부터의 보호 - 위험 사이트 접속 차단 기능
실시간 시스템 감시 기능은 타 제품의 파일 감시 및 메일/메신져 감시 기능과 유사합니다. 무단 변경 방지 기능은 시스템과 IE 웹브라우저의 주요 설정 등의 변경을 감시 차단하는 기능입니다. 앞선 리뷰에서 밝힌 것처럼 맥아피의 시스템 가드 기능과 유사합니다.
트렌드 마이클의 실시간 감시 설정 - 설명을 위한 이미지 조정
위험 사이트 차단 기능
아래는 "바이러스 및 스파이웨어로 부터의 보호"의 환경 설정 모습입니다.
시스템 감시 환경 설정
감시 대상은 4가지로 구성되어 있습니다.
- 시스템 파일 (감염 또는 감염 의심되는 파일 감시)
- 인/아웃바운드 메일 첨부 파일
- 메신져 다운로드 파일
- 네트워크 바이러스 (주로 봇 탐지 )
사용자는 왼편의 구성 메뉴에서 감시 항목을 선택하여 오른편의 "고급 설정" 버튼을 통해 세부 설정을 조정할 수 있습니다.
실시간 파일 감시 기능을 종료하면 아래와 같이 사용자에게 종료 기한을 설정하도록 팝업창이 활성화됩니다.
감시 종료 시간 설정
(1) 시스템 파일 감시
먼저 시스템 파일 감시 기능을 살펴봅니다.
시스템 파일 감시 고급 설정
시스템의 감시 범위의 설정과 진단된 악성코드에 대한 처리 방법 설정 등 크게 2개로 항목이 구성되어 있음을 알 수 있습니다.
먼저 시스템 감시 범위 설정은 "보안 위협을 야기할 수 있는 파일, 메모리 위치 및 프로세스만" 항목이 기본 설정 상태입니다. 사용자 시스템의 성능이 다소 떨어지거나, 시스템 리소스 사용이 매우 큰 프로그램등을 사용할 때 큰 보안 위협없이 사용될 수 있는 항목이나, 가급적 위 그림에 나온 것처럼 설정하는 것을 권장합니다.
진단된 악성코드에 대한 처리 방법 항목은 앞서 언급한 것처럼 자동 처리가 기본 설정상태입니다.
트렌드 마이크로는 자동 처리를 둘로 나누어서 트렌드 마이크로 자체적인 처리 방법과 사용자가 설정한 자동 처리 방법으로 처리할 수 있도록 설정을 나누었습니다. 그러나 양쪽 설정 모두 진단된 악성코드별로 처리되는 것은 아니기 때문에 큰 의미가 있는 것은 아닙니다.
스파이웨어(트렌드 마이크로에서는 PUA를 간편하게 스파이웨어로 지정해서 사용하고 있습니다.)는 사용자에 따라, 각 지역에 따라 정상/비정상 여부가 결정되기 때문에 위와 같이 사용자 처리 설정이 가능하도록 구성되어 있습니다.
아래는 실시간 시스템 파일 감시 기능에서 악성코드를 진단하였을 경우 나타나는 팝업창입니다.
바이러스 류 악성코드 진단
악성코드에 대한 처리가 기본적으로 자동 처리이기 때문에 위와 같이 팝업창은 단순히 진단된 객체가 있다는 사실을 통보하는 역활만을 합니다. 그러나 아래와 같이 스파이웨어의 경우에는 오른쪽 팝업이 나오기 전에 먼저 제거/트러스트(신뢰항목 지정)을 사용자가 선택하도록 처리 팝업창을 띄웁니다.
스파이웨어류의 악성코드 진단
제거 또는 트러스트 버튼을 클릭하면 아래와 같이 예외 목록에 신뢰(트러스트된 프로그램)처리 되거나 비신뢰(원치 않는 프로그램) 항목으로 처리가 됩니다.
스파이웨어의 신뢰/비신뢰 항목
스파이웨어 예외 설정은 반드시 트렌드 마이크로에서 진단된 객체만 신뢰/차단 항목이 설정가능하며 사용자가 직접 추가할 수 없습니다. 사용자가 직접 예외 설정을 하기 위해서는 고급 설정내에 위치한 제외 설정을 이용해야 합니다.
예외 설정에 대해서는 감시 제외 설정과 같이 따로 설명하도록 하겠습니다. 트렌드 마이크로의 제외 설정은 위와 같이 스파이웨어 예외 설정이 따로 분류되어 있어 다소 복잡하게 구성되어 있습니다. 처음 트렌드 마이크로를 사용하는 사용자들이 적응하기 어려운 구조인데, 굳이 이런 식으로 구성을 할 필요가 있었는지 의문입니다.
실시간 감시에서 어떠한 객체가 진단이 되면 아래와 같은 경고창이 추가도 팝업되어 전체 검사를 권유합니다.
위험 객체 존재 경고
(2) 이메일 첨부 파일 / 메신져 다운로드 파일 감시
이메일 감시 기능의 경우 송수신 메일에 대해 따로 설정이 구성되어 있습니다. 그러나 기본적인 설정 방법과 차단 방식은 동일합니다.
이메일 첨부 파일 감시 환경 설정
기본적으로 메일 감시는 아웃룩과 아웃룩 익스프레스와 같은 로컬 클라이언트 메일 프로그램을 이용할 때 사용합니다. 도움말의 설명으로는 POP3 프로토콜을 이용하는 MS의 아웃룩, 아웃룩 익스프레스만 지원한다고 합니다. 썬더버드 같은 다른 메일 클라이언트 프로그램을 지원하지 않는 것은 상당히 아쉬운 부분이라고 생각합니다.
설정에 보면 웹 메일에 대한 감시 기능도 존재합니다. 지원하는 목록을 살펴보면 Microsoft Hotmail, Windows Live Mail, Yahoo! Mail 및 AOL Mail 등인데, 메일에서 첨부 파일을 다운로드 받을 때 검사하는 것으로 보입니다. 메일 클라이언트 감시와 달리 메일이 외부 서버에 저장되어 있기 때문에 악성코드가 첨부된 메일이 웹메일 계정에 그대로 남아있습니다.
카스퍼스키나 안티버의 웹가드 같은 기능이 있다면, 굳이 필요한 기능은 아니지만 트렌다 마이크로에서는 해당 기능이 없기 때문에 좀 더 높은 보안 수준을 유지하고 싶은 사용자는 해당 기능을 활성화하는 것도 좋습니다. 기본 설정은 비활성화 입니다.
메신져 감시 기능은 메신져에서 외부 사용자가 전해준 파일을 감시하는 기능입니다. 메일 감시 기능처럼 이 기능을 활성화하면 파일 감시 기능보다 악성코드를 먼저 진단하여 차단할 수 있습니다.
메신져 다운로드 파일 감시 설정
(3) 네트워크 바이러스 감시
이 기능은 유료 제품 중에 종종 보이는 것으로 주로 봇이나 웜 등 사용자 시스템에서 활성화된 후 외부로 트래픽을 유발시키는 악성코드를 탐지하는 기능입니다. 이 기능을 이용하면 트렌드 마이크로에서 진단 못하는 봇이나 웜에 감염되어도 외부로 빠져나가는 패킷을 차단할 수 있습니다.
네트워크 바이러스 설정
만약에 해당 기능에 의한 진단이 발생했을 경우, 트렌드 마이크로의 업데이트를 최신으로 변경 후 시스템 전체 검사를 수행하고, 진단된 객체가 없거나 문제가 해결되지 않을 경우, 트렌드 마이크로에 지원을 요청하거나 타사의 보안 제품으로 검사를 진행해야 합니다.
이런 경우 타사의 제품을 중복 설치가 꺼려진다면 아래의 링크에서 온라인 스캐너나 포터블 방식의 검사 도구를 이용하는 것이 좋습니다. 개인적으로는 포터블 방식의 검사 도구를 사용하는 것이 치료에 더 효과적일 것으로 보입니다.
해당 기능이 얼마만큼의 성능을 갖고 있는지에 대한 산출 자료가 없습니다만, 완벽하게 패킷의 유출을 탐지하거나 봇, 웜등의 행동을 원천적으로 차단할 수는 없기 때문에 전적으로 신뢰하지는 마시기 바랍니다.
무단 변경 방지 기능은 시스템의 주요 설정 부분에 접근/수정을 가하려는 프로그램의 행동을 탐지하여 관리하는 기능입니다. 행동 기반 탐지 기능으로 HIPS라고도 불립니다.
앞서 언급한 것처럼 맥아피의 시스템 가드와 유사한 점이 많이 있습니다만, 세부적인 설정을 제공하지 않는 대신 DLL 인젝션에 대한 감시 등 추가적인 감시 기능이 존재합니다. 그러나 코모도나 아웃포스트같은 개인용 방화벽 제품들의 HIPS 기능에 비하면 감시 범위나 차단 기능의 성능이 다소 떨어진다고 생각합니다.
무단 변경 방지 설정 - 설명을 위한 조정이 존재
총 13개의 감시 항목이 존재하는데, 각 항목에 따라 항상 차단/항상 허용/자동 응답/항상 확인 등 4가지 설정을 할 수 있습니다. 자동 응답의 경우는 자동 처리 항목이며 항상 확인은 사용자에게 허용 여부를 물어봅니다.
아래는 무단 변경 방지 기능에서 특정 행동을 탐지했을 때 자동 차단한 경우 나타나는 팝업창입니다.
무단 변경 방지 팝업창
자동 차단이 되었지만 아래 부분의 "이 프로그램 차단 해제"를 클릭하면 정상적으로 동작합니다.
무단 변경 방지 기능 중 트렌드 마이크로의 자기 보호 기능은 반드시 활성화시켜두시기 바랍니다.
하단 부의 USB 관련 설정은 USB의 자동 실행 기능을 비활성화하는 기능입니다.
최근들어 카스퍼스키나 안티버의 웹가드 등의 기능이나 노턴, 에프시큐어에 추가된 취약점 공격 차단/웹브라우 보호 기능들이 강조되는 이유는 웹사이트 등 외부 네트워크를 통한 악성코드 유입이 보안상 큰 위험이기 때문입니다. 그러나 트렌드 마이크로는 이러한 기능이 없고, 기본적인 파일 감시 기능만 있기 때문에 시스템에 위험 객체가 들어와 생성될 때에만 진단이 가능합니다.
트렌드 마이크로는 웹가드 같은 기능이 없는 대신 웹 위협으로부터 보호(이하 위험 사이트 진단 기능)을 통해 악성코드 유포를 비롯한 피싱, 파밍 등을 시도하는 위험 사이트의 접속을 사전에 차단하고 있습니다. 위험 사이트 차단 기능은 대부분의 통합형 제품에 추가되어 있는 기능이지만, 트렌드 마이크로에서는 웹 위협이라 정의된 외부 네트워크에서의 위험 요소를 사전에 차단 하는 유일한 기능이기 때문에 중요한 기능이라 할 수 있습니다.
따라서 트렌드 마이크로의 위험 사이트 차단 기능은 가급적 활성화하여 사용하기를 권장합니다.
위험 사이트 차단 기능 환경 설정
위험 사이트 진단 기능은 위험 사이트 진단 강도를 아래와 같이 3단계로 구분합니다.
- 높음 : 트렌드 마이크로에서 안전하다 분석된 사이트만 접속 가능 - 미분석된 사이트 접속 불가
- 보통 : 악성코드 유포 중이거나 최근에 유포한 사이트, 피싱/ 파밍 등으로 분석된 사이트와 이러한 사이트로 의심되는 사이트를 차단합니다.
- 낮음 : 보통에서 위험 사이트로 분석된 사이트만 차단합니다.
사용자에 따라 생각이 다르겠습니다만, 트렌드 마이크로가 외국 업체의 제품이기 때문인지 몰라도 국내 사이트에 대해 다소 민감하게 진단하고 있는 듯 합니다. 제가 주로 사용하는 한rss나 기타 여러 사이트가 "보통" 상태에서 접속이 차단됩니다. 개인적으로는 그래서 "낮음" 상태를 사용하고 있습니다.
위험 사이트에 접속하면 아래와 같이 트렌드 마이크로에서 페이지를 차단한 것을 살펴볼 수 있습니다.
위험 사이트 차단 모습
프로그램 상에서는 트렌드 마이크로가 지정한 위험 사이트를 확인할 수 없습니다. 그러나 사용자가 트렌드 마이크로의 지정 여부와 상관없이 웹사이트 접속을 직접 허용/차단할 수 있습니다.
이는 위 환경 설정의 하단부 "승인된 웹사이트"와 "차단된 웹사이트" 버튼을 통해 설정합니다.
승인/차단 웹사이트 설정
추가/편집/제거 기능을 통해 사이트를 설정합니다.
호스트 파일에서 차단된 웹상이트 접속 허용
맨 하단부의 설정은 사용자가 직접 호스트 파일을 조작하여 접속을 차단한 웹사이트를 트렌드 마이크로에서 조정하여 접속을 허용하는 기능입니다. 호스트 파일을 따로 수정하지 않고 임시로 접속할 때 사용하면 유용하게 사용할 수 있습니다.
허용 웹사이트 그림을 보면 맨 하단부에 토렌트 다운 사이트가 있습니다. 마침 적절하게도 최근에 악성코드가 유포되어 트렌드 마이크로에서 위험 사이트로 진단되었으나 제가 임의로 허용한 것을 나타낸 것입니다. (참고 : 12월 12일자로는 해제)
트렌드 마이크로의 위험 사이트 차단 기능의 문제는 특정 사이트가 위험 사이트로 판명나면 해당 사이트와 연관된 하부 URL이 모두 위험 사이트로 차단되거나 특정 페이지의 문제가 상하위 사이트에까지 연결 된다는 것입니다. 이는 외국 업체들 상당수가 공유하는 정책인데, 다소 문제가 있다고 생각합니다. 또한, 분석 시점의 위험 요소가 해결되어도, 재분석이 이루어지기 까지는 위험 사이트로 분류된다는 점 또한 중요한 문제입니다.
위에 예로 든 토렌트 다운 사이트는 비록 악성코드가 자주 유포되는 사이트지만 테스트 시점부터 일주일전까지 악성코드 유포가 없었음에도 위험 사이트로 진단된 것은 문제가 있습니다. 이는 웹사이트 재분석이 빨라 이루어지면 해결되는 문제지만 현실적으로 쉬운 것은 아닌 것 같습니다.
안랩의 사이트 가드는 이러한 문제를 이슈화하여 사이트가드는 위험 요소가 있을 때만 진단하는 것을 강조하기도 합니다. 두 가지 정책상의 장단점 비교는 나중에 하도록 하도록 하겠습니다.
결론적으로 중요한 점은 사용자가 자주가는 사이트가 위험 사이트가 진단되었다면 비록 현재는 위험성이 없더라도 가급적 접속을 자제하는 것이 좋다라는 것입니다. 최소한 샌드박스IE같은 가상화 프로그램을 이용하는 것이 보안상 안전합니다.
참고로 차단된 웹사이트를 허용할 때 위에 나온 예처럼 "*"를 이용해서 하부 사이트의 차단도 해제합니다. 단, "*" 표시를 이용해도 한 사이트에 대한 모든 차단을 풀려면 여러 URL을 입력해야 합니다. 이러한 점은 다소 불편한 것으로 생각됩니다.
위에서 살펴본 팝업창들은 트렌드 마이크로의 기본 설정 상태에서는 보기가 어렵습니다. 진단된 트정 악성코드나 프로세스 행동에 대해서만 팝업을 보여주기 때문인데 아래 그림처럼 설정하면 진단된 정보의 대부분을 팝업을 통해 확인 할 수 있습니다.
설정 2단계
반대로 작업 중에 나타나는 팝업으로 인해, 작업의 흐름의 끊기는 경우도 있어 팝업을 불편하다 생각하는 분들은 슬라이드 메뉴를 "드물게" 쪽으로 보내시거나 메인 메뉴에서 아래처럼 설정하시면 됩니다.
개인적으로는 팝업으로 진단 내역을 실시간으로 확인하는게 편하기 때문에 "항상" 항목으로 설정하여 사용합니다. 그렇지만 이렇게 설정해도 종종 진단된 정보가 표시 안될 때가 존재합니다.
트렌드 마이크로는 실시간 시스템 감시와 무단 변경 방지 항목에 모두 예외 설정이 따로 존재합니다.
무단 변경 방지 기능의 예외 설정은 아래와 같이 메인 메뉴에서 조정할 수 있습니다.
무단 변경 방지 예외 설정
앞서 살펴본 것처럼 특정 프로세스의 행동을 무단 변경 방지 기능에서 탐지했을 때 사용자가 행동을 허용하면 "트러스트"로, 행동을 차단하면 "차단"으로 항목이 구성됩니다.
사용자가 사용하는 프로그램을 "프로그램 추가" 버튼을 통해 진단 전에 행동을 허용할 수도 있습니다.
카스퍼스키의 프로그램 콘트롤 기능처럼 개별적인 행동에 대해서 관리가 불가능하지만, 사용하기 쉽다는 장점이 있습니다.
무단 변경 방지 기능이 간단하게 구성되어 있는 것과 달리 파일 감시 예외 설정은 사용자가 직접 진단에서 제외시키는 제외 설정과 함께 트렌드 마이크로에서 "스파이웨어 (PUa)"로 진단된 객체를 예외 설정하는 항목이 이중적으로 구성되어 있습니다.
기본적으로 사용자가 직접 설정하는 제외 설정은 파일 감시 부분(해당 스샷의 별표 부분)의 환경설정에 존재합니다.
스파이웨어 진단에 따른 예외 설정은 아래와 같이 메인 메뉴에 존재합니다.
아래는 사용자 예외 설정 모습입니다. 진단에서 제외할 파일 또는 폴더를 설정할 수 있습니다.
검색 제외 지정
그런데 팝업창의 크기를 늘리거나 파일 및 폴더의 경로 부분을 사용자가 늘릴 수 없기 때문에 위의 그림처럼 사용자가 추가한 파일 또는 폴더의 경로가 긴 경우에는 정확한 정보를 확인할 수 없다는 단점이 있습니다.
아래는 진단된 스파이웨어에 대한 예외 설정 항목입니다.
스파이웨어 예외 설정
3개의 탭으로 구성되어 있는데, 앞선 두 탭은 스파이웨어 진단 팝업창 설명시에 설명을 하였습니다.
마지막 3번째 탭은 쿠기 관리로 지속적으로 사용할 쿠키와 바로 삭제할 쿠키를 관리하는 기능입니다. 고급 사용자를 위한 기능이지만 최근의 웹브라우저들은 웹브라우저 종료시 쿠키 삭제 등 개인 정보 삭제 기능들이 포함되기 때문에 사용 목적이 희미한 항목이 아닌가 합니다.
스파이웨어 예외 설정은 사용자가 목록을 제거하는 것만 가능하고 목록을 추가하는것이 불가능합니다. 예외 설정을 위해서는 앞서 언급한 것처럼 파일 감시의 제외 설정을 이용해야 합니다. 진단된 객체(스파이웨어)를 개별적으로 관리하기 위함이지만, 무단 변경 방지 기능처럼 간단하게 하나의 예외 설정으로 구성되어 있었다면 좀 더 편리하게 사용이 가능하리라 생각됩니다.
개인적으로 자동 처리만이 존재하고, 팝업창에서 진단 내역 및 행동 차단에 대한 세부 정보를 알 수 없는 보안 제품은 상당히 불편히 여깁니다..
트렌드 마이크로도 예외는 아니어서, 악성코드 진단시에도 진단 경로를 보는 것이 상당히 불편하며, 무단 변경 방지의 경우 환경 설정에 존재하는 감시 항목과 동일한 수준의 정보만 보여줍니다. 실제로 레지스트리에 기록되는 설정이 어떻게 바뀌는가에 대한 세부 정보가 없기 때문에 사용하는데 다소 불편함을 느꼈습니다. 무단 변경 방지의 경우 어떤 행동을 하는지를 정확하게 알아야 허용/차단 여부를 결정할 수 있다고 생각하기 때문입니다. 자세한 정보 제공이 오히려 혼란을 불러올 수 도 있지만, 세부 정보 보기 기능을 추가하는 것으로 해결이 가능하다 생각합니다.
'▶ 보안 제품 리뷰 > :: Trend Micro' 카테고리의 다른 글
트렌드 마이크로(TrendMicro) 삭제 팁 (2) | 2009.12.29 |
---|---|
Trendmicro Internet Security 2010 리뷰 (5) - 총 평 (12) | 2009.12.26 |
Trendmicro Internet Security 2010 리뷰 (4) - 방화벽과 기타 기능들 (2) | 2009.12.21 |
Trendmicro Internet Security 2010 리뷰 (3) - 수동 검사와 검역소/로그보기 (4) | 2009.12.17 |
Trendmicro Internet Security 2010 리뷰 (1) - 설치 과정과 기본 UI (6) | 2009.12.09 |