▶ 보안 제품 리뷰/:: F-Secure

F-secure Internet Security 2009 리뷰 (2-4) - Virus & Spy Protection (3)

물여우 2009. 1. 31. 20:58
반응형

이번 리뷰에서는 에프시큐어의 수동 검사 기능과 예약 검사 기능을 다루어 보겠습니다.
Virus & Spy Protection에 대한 세 번째 포스팅입니다.


참고로 저는 보안 전문가가 아니며 해당 프로그램에 대한 기술적인 지식이 없기에 이 글에 오류가
있을 수 있음을 밝힙니다. 오류가 있는 부분은 언제든지 지적해 주시기 바랍니다.



5-4. Manual Scanning



이번에 다룰 항목은 위의 그림에서 7번째 항목인 수동검사 기능입니다.

(1) 검사 항목 설정


Scan my Computer를 클릭하면 아래의 항목 중에서 하나를 골라 수동 검사를 시작할 수 있습니다.
각 옵션은 검사가 실시되는 폴더와 엔진의 차이가 있을 뿐 다른 설정 부분은 동일하게 적용이 됩니다.
또한 행동기반탐지 엔진은 수동검사에서 동작하지 않습니다.



① Scan target : 특정 폴더를 지정하여 검사를 수행합니다. 
      
② Scan Hard Drives : 시스템에 설치된 HDD의 모든 드라이브를 검사합니다. 
      
③ Quick malware scan : %system32% , %Program files%, %Document and Setting% 등의 중요 폴더
    만을 검사합니다.
 
위의 3가지 이 항목은 루트킷 엔진인 BlackLight 엔진이 동작되지 않습니다. Hydra와 AVP 엔진만을 이용
하여 검사가 진행되어 비교적 빠른 검사 시간에 검사를 마칩니다. 

④ Quick rootkit scan : 루트킷 탐지를 위해 Blacklight 엔진이 구동됩니다.
      루트킷이 설치되는 폴더가 한정되어 있어서인지 주로 어플리케이션이 설치된 폴더(Program files)와
      시스템 폴더를 검사합니다. 비교적 적은 수의 파일을 탐지하며 Hydra와 AVP엔진도 구동됩니다.

⑤ Perform full computer scan : 모든 시그니처 엔진이 구동되며 시스템에 연결된 모든 드라이브를
      검사합니다. 해당 항목은 세 개의 엔진이 동시에 구동되면서 시스템의 모든 폴더를 검사하기에
      비교적 검사시간이 오래걸립니다.


(2) 수동 검사기 : 수동 검사 항목과 관계없이 수동 검사시에 활성화 되는 검사기는 동일합니다.

                                                      수동 검사 초기 화면

루트킷 관련 검사를 진행할 경우 이에 대한 항목이 추가되어 있음을 확인할 수 있습니다.

 

에프시큐어의 수동 검사 설정에서 악성코드 처리 방법은 기본적으로 '사용자 처리' 입니다.
이 경우 악성코드 발견시 위와 같은 자동 처리와 사용자 처리를 선택할 수 있게합니다.
                                                     자동 처리를 선택한 모습
자동 처리는 기본적으로 치료(Disinfected)가 기본 처리 방법인데 만약 치료가 안되는 악성코드 경우
파일 확장자를 변경시켜 구동을 불가능하게 만듭니다.


수동 처리를 선택한 경우 아래 그림처럼 악성코드의 처리를 사용자가 선택할 수 있습니다.

처리하고자 하는 악성코드를 일일이 선택할 수도 있고 마우스 드래그로 일괄적인 처리 방법을 선택할
수 도 있습니다.


모든 처리가 끝나면 아래 그림과 같은 결과 보기 화면이 나옵니다.
여기서 Show Report를 클릭하면 수동 검사에 대한 최종 보고서를 확인할 수 있습니다.



Show Report를 클릭하여 수동 검사 결과를 확인해보겠습니다.

                  사진이 비교적 크기 때문에 클릭하여 확인해 보시기 바랍니다.


에프시큐어를 사용하면서 가장 큰 단점으로 생각하는 것은 바로 이 결과보기 혹은 이벤트 기록 보기
기능입니다. 위의 수동검사 보기 기능은 에프시큐어 자체의 기능이 아니라 에프시큐어 내부에 기록된
정보를 Internet Explorer를 이용하여 정보를 제공합니다.

상당히 널리 알려진 제품치고 이벤트 기록과 관련된 기능이 이렇게 부실한 제품은 처음인 듯 합니다.

나중에 설명하겠지만 스팸 메일 관리 및 유해물 차단 기능 등 부가적인 기능은 말한 것도 없고
실시감 감시와 방화벽 기능과 같은 중요 기능에 대해서도 에프시큐어는 이벤트 기록 보기 기능을
제공하지 않습니다. 아무리 개인 사용자를 위한 제품이라고 해도 이러한 부분을 지원하지 않는 것은
이해하기 어려운 부분입니다.


에프시큐어 Virus & Spy Protection 화면의 6번 항목은 시스템에서 가장 마지막에 실시된 수동 검사에
대한 기록을 보여주는데 이 또한 위의 그림과 같은 ie를 이용한 기록 보기입니다.



(3) 수동 검사 내부 설정 : 모든 검사 항목과 오른쪽 마우스 쉘 메뉴 검사의 기본 설정을 조정합니다.

Advanced... 버튼을 클릭하여 설정 항목에 진입한 후 Manual scanning을 선택합니다.

실시간 감시 설정과 비슷하게 수동검사 설정도 매우 단순합니다. 특정 파일 검사 사용자 처리가 기본
설정 사항이고 특징적으로 압축 파일 검사가 활성화 되어 있습니다. 

악성코드 처리 방법은 사용자 처리/자동 치료/자동 삭제/자동 검역소 이동/자동 파일명 변경/진단 사실
만 기록 등 6가지가 있습니다. 악성코드 처리 방식을 자동 처리 방식으로 선택하면 악성코드 발견시
아래의 그림처럼 검사가 마무리 됩니다.



에프시큐어의 수동 검사 기능은 비교적 검사 시간이 오래 걸리는 편인데 압축 파일 검사 기능까지 활성
화 되어있어 더욱 느리게 느껴집니다. 빠른 검사를 원하신다면 압축 파일 검사 기능을 비활성화 시키시
기 바랍니다.

에프시큐어의 압축 파일 검사에 좀 더 언급해보자면 비록 카스퍼스키와는 비교할 정도는 아닙니다만
국내외 보안 제품과 비슷한 수준으로 볼 수 있습니다.
zip 및 rar 같은 대중적인 압축 포맷은 모두 지원하고 있습니다만, 7z 포맷을 현재 지원하지 않고 있는 점
은 개인적으로는 무척 아쉬운 부분입니다. 또한, 실시간 감시와 동일하게 압축 해제 및 악성코드 처리
후 재압축 기능을 지원하지 않기 때문에 사용자가 수동으로 처리해야 합니다.


검역소와 제외 설정은 실시간 감시의 기능과 동일함으로 여기서는 따로 설명하지 않겠습니다.

설정에 따르면 루트킷 진단시 추가적인 알람창이 있는 것으로 보이는데 BlackLight로 진단되는 악성코드
를 구하지 못해서 확인은 못하였습니다.


5-5. scheduled Scanning

수동 검사 기능을 예약 작업화해서 수행할 수 있도록 해주는 스케쥴러 기능입니다.


에프시큐어의 모든 옵션처럼 예약 작업에 대한 설정도 간단합니다. 

매 달 단위로 예약 검사시 총 3일을 지정할 수 있습니다.
매 주 단위로 예약 검사시 아래의 그림처럼 특정 요일을 지정할 수 있습니다. 복수 선택이 가능합니다.



검사 시간 설정은 두 가지로 나뉘는데 첫 번째는 사용자의 시스템 사용은 상관없이 지정된 시간에 실시
하는 방법과 예약 검사 일시로 지정된 날짜에 사용자가 시스템을 사용하지 않는 기간이 생길 경우 실시
하는 방법입니다.

두 번째 방법은 위의 그림에서 ① 방법으로 지정된 시간만큼 사용자가 시스템을 사용하지 않으면 예약
검사가 시작됩니다. 화면 보호기가 활성화 되는 것과 유사한 방식이라 생각하면 됩니다.

예약 검사 기능은 예약 검사 설정 창에 나온 알람 문구처럼 수동 검사 기본 옵션 설정을 따르지만, 악성
코드 진단시 대처는 자동 치료(자동 치료 불가능시 자동 파일명 변경)이라는 점을 참고하시기 바랍니다.



5-6. 악성코드 신고



에프시큐어는 웹사이트(
http://www.f-secure.com/samples/)를 통한 악성코드 신고를 지원합니다.
9번 항목의 악성코드 신고 버튼은 바로 이 웹사이트 신고 url을 열어줍니다. 

이에 대해서 간단하게 설명해 보겠습니다.

① 악성코드 신고/오진신고/유해물 관련 신고 등을 설정

② 이후 처리 과정에 대한 정보를 받을 이메일 기입 : 이번 처리 과정 부터 * 표시가 있는 부분만 기입
    하면 됩니다.

③ 진단하는 제품에 대한 정보 기입


④ 악성코드 첨부 및 분석가에게 알려준 추가 정보 기입

이상 4가지 단계를 거치면 악성코드 신고가 끝이 납니다. 이메일을 이용한 것에 비해 번거롭고 많은 
양의 악성코드 신고가 불편하지만, 개인적인 경험상 이메일 신고는 답장이 잘 안오는 것으로 봐서
빠른 처리를 받고 싶다면 웹사이트 신고를 이용하는 것이 좋아 보입니다.




- 이것으로 Virus & Spy Protection 기능에 대한 리뷰는 마칩니다.

반응형