설치 전에 제품 정보를 찾아봤는데 아직 한글판이 나오지 않았음에도 이번 버전에 대해 사용자들의 기대치가 높은 것을 반영하듯 다양한 정보들을 접할 수 있었습니다. 특히, 역지사지님의 블로그와 바제2 카페에서 이전 버전과의 변경점과 새로운 기능들에 대한 좋은 정보들을 찾을 수 있었으니 참고 바랍니다.
이번 리뷰에서는 4.8버전에서 5버전 판올림되면서 새롭게 변경된 부분 중에서 다른 분들이 잘 다루지 않았던 부분들과 사용하면서 발견한 문제점들을 중심적으로 살펴보도록 하겠습니다.
리뷰에 사용된 어베스트의 버전은 Free Anrivirus 5.0.377 입니다.
많은 분들이 어베스트 5버전을 기대하였던 이유 중 하나가 크게 변화된 UI였을 것이라 생각됩니다. 로고를 비롯해서 UI의 디자인이 매우 세련되어졌는데, 이전 버전의 기본 스킨이 멀티미디어 플레이어를 연상시킨 반면, 5버전에서는 일반적인 보안 제품들이 갖춘 탭 메뉴 방식의 UI를 기본 스킨으로 갖추었습니다.
왼쪽 빨간 박스 부분이 기능 메뉴 구성
아래와 같이 진단 팝업창도 이전 버전에 비해 매우 깔끔하게 변경되었습니다.
사용자 처리 진단 팝업창 UI
자동 처리 팝업창 UI
그러나 5버전에서 UI의 변경 사항 중 중요한 부분은 메인 화면이나 팝업창의 변화보다도 환경 설정의 변화에 있다고 봅니다. 5버전의 기본 환경 설정은 이전 버전과 유사하나 각 기능에 대한 개별 환결 설정 UI는 이전 4.8버전 유료 제품을 사용해보신 분이라면 한 번쯤 사용해봤을 "고급 사용자 인터페이스"로 구성되었습니다. 이는 5버전에서 어베스트 전 제품군의 기본 UI가 되었습니다.
환경 설정의 기본 UI - 고급 사용자 인터페이스를 기본 UI로 채택
5버전의 환결 설정은 무료 제품만 사용했던 사용자라면 오히려 어렵게 느껴질 수 있을 만큼 여러 기능들을 메뉴화해서 세부적인 설정을 제공해줍니다. 개인적으로는 더 세부적인 설정이 있으면 좋겠습니다만 위와 같은 변화를 어려워하는 분들도 많이 계신 것 같습니다.
위 그림은 파일 실시간 감시를 담당하는 File system Shield의 환경 설정인데 기능 메뉴들을 살펴보면 아래와 같이 구성되어 있으며, 4.8버전의 기본 사용자 인터페이스에서는 설정할 수 없었던 설정들이 다수 보입니다.
- 파일 실행 : 실행 파일 및 라이브러리 모듈 파일의 로딩과 관련된 설정
- 파일 열기 : 문서 파일을 비롯해서 로딩된 프로세스가 읽어드리는 파일과 관련된 설정
- 파일 쓰기 : 시스템에 생성되는 파일과 관련된 설정
- 이동 저장 장치 감시 설정
- 실시간 감시 진단 제외 설정
- 고급 설정 : 5버전에 새롭게 추가된 cashing 기능을 설정
- 진단 처리 설정 : 진단된 악성코드에 대한 사용자 처리 및 자동 처리 설정
- 패커 : 일반 압축 및 패킹된 파일의 내부 파일의 검사 여부를 설정
- 진단 강도 : 의심 진단과 파일 실시간 감시의 진단 방식을 설정
- 로그 기록 설정
5버전에서는 4.8버전에 비해 파일 실시간 감시(웹 감시 기능도 포함)의 휴리스틱 진단 기능이 강화되었습니다. 이는 "code emulater"라고 불리우는 가상화 기능이 새롭게 추가되었기 때문입니다. 이 기능은 비트디펜더의 B-HAVE나 노만의 Sandbox 기능처럼 의심되는 파일을 가상 환경에서 실행시켜, 실행 결과를 통해 악성 여부를 판단하는 일종의 행동기반 휴리스틱 진단 기능입니다. 기존의 시그니처 진단과 함께 동작하며, 전통적인 시그니처 진단을 보완하는 의심진단 기능입니다.
해당 기능으로 진단되는 경우 특별한 진단값이 있는지는 파악하지 못하였습니다. 참고로, 이 기능은 역시 5버전에 새롭게 추가된 행동 기반 차단 기능인 Behavior Shield와는 다른 기능입니다. Code emulation 기술은 파일 실시간 감시나 수동 검사에서 동작하며 검사할 객체가 직접 실행되기 전에 가상화 환경에서 미리 실행시켜 행동 결과값을 측정, 위험도를 판단하는 것이고 Behavior Shield는 검사할 객체가 실제로 실행될 때 동작하며, 실행된 프로세스의 실제 행동을 기준으로 위험도를 측정합니다.
어베스트 5버전에서 새롭게 구성된 휴리스틱 설정
휴리스틱과 관련되서 한 가지 더 살펴볼 점은 휴리스틱(의심 진단)의 강도를 설정할 수 있게 되었다는 점입니다. 위 그림에서 보여지는 것처럼 진단 강도 설정은 주황색 바로 표현되었는데 3번째가 기본 설정이며 스샷 상의 설정(4단계)이 최고 강도 설정 상태입니다. 진단 강도가 올라갈 수록 진단율은 올라가나 그로 인한 오진율이 증가할 수 있습니다.
최근에 습득한 악성코드 샘플이 매우 적어서 개인적으로 시행한 테스트에서는 특별한 차이점을 찾아 볼 수는 없었지만 휴리스틱 강도 1단계(종료)와 4단계는 진단율에 있어 어느 정도 차이가 있다고 알려져 있습니다.
마지막으로 휴리스틱과 관련된 내용은 아니지만 5버전에서는 PUP와 관련된 진단 설정이 추가되었습니다. 5버전과 4.8버전의 안티스파이웨어 엔진 자체에 큰 차이가 있는 것은 아니고, 환경 설정 상에서 PUP의 진단 여부를 사용자가 결정할 수 있게 되었다는 것이 차이입니다. 진단 제외 설정이 있어 진단된 PUP 객체를 진단에서 제외시킬 수 있음에도 굳이 PUP 진단 여부를 결정할 수 있게 설정이 추가된 이유는, 예측컨데 PUP의 개념이 각 나라마다 각 사용자마다 달라지기 때문에 원천적으로 PUP를 진단에서 제외할 수 있는 설정을 만든 것이 아닐까 합니다.
4.8버전에서는 진단된 악성코드의 자동/수동처리 설정은 유료 버전인 프로 버전에서만 가능했습니다. 그러나 고급 사용자 인터페이스가 기본 UI로 채택된 5버전에서는 더욱 편리하게 진단된 악성코드의 처리 설정이 가능하며, 악성코드의 종뷰별로 세분화된 설정을 제공합니다.
사용자 처리 설정과 압축 파일 내부 파일 처리 설정
기본적으로 위 그림처럼 "Virus/PUP/Suspicious" 등으로 3분화하였습니다. Virus 항목에서는 전통적인 Virus와 웜, Trojan 등을 의미하고 PUP는 애드웨어를 비롯한 스파이웨어, 로그 웨어 등 PUP를 의미하며, Suspicious는 시그니처 휴리스틱 및 가상화 진단 기능 등으로 진단된 의심 객체를 의미합니다.
진단된 악성코드의 처리 단계는 3단계로 구성되어 있는데, 제공되는 처리 방식은 "Ask(사용자처리)/Repair(치료)/Move to Chest(검역소 저장)/Delete(삭제)/Block(접근 차단)" 등 5가지 방식이 존재합니다.
(*) 표시된 부분은 압축 파일 또는 패킹된 파일의 내부 파일에서 악성코드 진단시 해당 객체를 처리에 대한 설정입니다. 기본 설정은 첫 번째 항목으로 압축 해제 후 악성코드만 삭제하여 재압축하는 방식이며 두 번째 설정은 압축 해제가 실패하면 압축 파일 자체를 삭제하는 것이고, 3 번째 설정은 내부에 악성코드가 발견되면 압축 해제 절차없이 압축 파일 자체를 삭제하는 것입니다.
그런데 7z 압축 포맷과 관련되어 사용자 처리 시행시 문제가 발생되는 것을 발견하였습니다.
아래 동영상을 참고 바랍니다. 7z 포맷으로 압축된 파일을 해당 폴더에 바로 압축 해제하는 상황입니다.
녹화하면서 화면 해상도를 맞추지 못해 글씨가 뭉개지기는 하지만 보시기에 어려움은 없을 것 같습니다. 위 동영상에서 보시는 것처럼 zip 포맷에서는 아무런 문제가 없으나 7z포맷에서는 압축해제 프로그램이 정상적으로 종료되지 못하고 지속적으로 진단 팝업이 활성화되는 것을 볼 수 있습니다. 최초 활성화된 팝업창의 처리로 실제 생성된 파일은 처리가 되었는데도 어베스트에서는 진단 팝업이 계속 나타납니다.
최초 진단 팝업의 내용을 보면 압축 해제 프로그램이 아닌 explorer.exe가 생성한 파일로 나타나는데 이는 다른 압축 포맷을 해제할 때에는 나타나지 않습니다. 이 문제는 7z 포맷을 해제할 때 처음 발견하였지만, 다른 상황에서도 발생합니다. 예를들어 실시간 감시에 진단 제외 설정된 경로에서 악성코드를 다른 폴더로 복사할 때에도 사용자 처리창이 무한 반복되어 나타나게 됩니다.
검역소(Chest)에 가보면 반복적으로 활성화된 팝업창에서 시행한 작업이 모두 실행된 것을 확인할 수 있습니다. 검역소에서 해당 파일들을 복구가 가능하고, Block 방식으로 처리하면 반복되는 팝업창을 종료시킬 수 있한 점으로 볼 때 어베스트에서 진단된 객체를 처리하면서 생기는 오류가 아닐까 합니다.
검역소 이동 등의 처리 조치를 계속 반복하다보면, 최종적으로는 어베스트가 오류를 내며 종료되버립니다. 이 문제와 다음 편에서 다룰 행동기반 관련된 문제와 함께 빨리 수정이되어야할 부분이라고 봅니다.
런타임 에러를 일으키며 프로세스가 종료되는 모습
- 간략 리뷰 2편으로 넘어갑니다.
'▶ 보안 제품 리뷰 > :: AVAST' 카테고리의 다른 글
AVAST Internet Security 7 리뷰 (3) - 기타 실시간 감시 기능 (4) | 2012.03.10 |
---|---|
AVAST Internet Security 7 리뷰 (2) - 파일 감시 & 웹 감시 (실시간 진단) (11) | 2012.03.03 |
AVAST Internet Security 7 리뷰 (1) - 개요 및 UI (8) | 2012.02.27 |
어베스트 (AVAST 5) 삭제 팁 (전용 삭제 프로그램) (13) | 2010.03.24 |
뛰어난 무료 보안 제품 "어베스트 : AVAST 5 Free Antivirus" 간략 리뷰 (2) (19) | 2010.01.27 |