▶ 보안 제품 리뷰/:: Symantec

Norton 360 5.0 리뷰 (2) - PC 보안 : 악성코드 진단 (검사 및 진단)

물여우 2011. 3. 6. 01:14
반응형
노턴의 악성코드 진단 기능을 살펴봅니다.

▶ Norton 360 5.0 리뷰 모음

-
Norton 360 5.0 리뷰 (1) - 개요 및 기본 UI



4. PC 보안 - 악성코드 진단

노턴의 'PC 보안' 항목은 노턴 자체에 악성코드 진단과 시스템 보호를 위한 기능들의 모임을 의미합니다. PC 보안 중 악성코드 진단을 위한 기능은 아래와 같습니다.

- 안티 바이러스 기능 (악성코드를 비롯한 PUA 진단, 루트킷 진단 포함)
- SONAR
- 다운로드 인사이트 - 평판 기능 (클라우드 기술 이용)
- 인사이트 네트워크 검사 (클라우드 기술 이용)


이번 글에서는 노턴의 안티바이러스 기능인 서명 기반 및 행동 기반 진단 기능을 살펴보도록 하겠습니다.


4-1. 실시간 진단 - 자동 보호

노턴의 실시간 감시는 '다운로드 인사이트' 기능과 '자동 보호' 기능이 조합된 형태입니다. 자동 보호는 전통적인 시그니처 진단과 행동 기반 진단을 의미하고, 다운로드 인사이트 기능은 클라우드 기술을 이용한 진단 기능입니다. 

시그니처 진단은 일반적인 로컬 시스템내에서의 파일 감시를 의미하고, 행동 기반 진단은 'SONAR'라는 이름의 행동 기반 진단 기능, 다운로드 인사이트는 'Insight'라는 이름의 클라우드 평판(Reputation) 진단 기능입니다. 또한 다운로드 인사이트 사용시 추가적으로 '인사이트 네트워크 검사' 라는 클라우드 진단 기능이 사용될 수 있습니다.

참고로 인사이트 네트워크 검사는 타 제품의 클라우드 진단과 유사한 기능입니다. 사용자 평판이 아닌 시그니처를 이용한 순수 클라우드 진단 기술이라고 보시면 됩니다. 일반적으로 로컬 시스템 내의 DB와 동일하지만, 외부 서버에만 존재하는 최신 DB가 포함되어 있어 진단 항목이 더 많습니다. 정보가 부족하여 불명확한 부분인데 다운로드 인사이트의 평판 DB는 '일반 로컬 DB + 사용자 평판 정보', 인사이트 네트워크 기능의 DB는 '일반 로컬 DB+서버에만 정의된 최신 DB'의 합이라고 보고 있습니다. 인사이트 네트워크 기능은 로컬 DB와 동일한 객체를 진단하더라도 진단명이 다릅니다. (예 : WS.Viral.1 등)


이번 리뷰에서는 편의상 자동 보호를 악성코드 진단을 위한 실시간 감시를 의미하는 것으로 하겠습니다.
노턴의 '자동 보호'는 타 제품의 실시간 감시 기능이라 생각하시면 됩니다. 대부분의 이벤트 처리가 자동으로 이루어지는 특성상 자동 보호라는 이름이 주어진 것 같습니다.

※ 인사이트 기능은 '시스템 인사이트', '노턴 인사이트', '파일 인사이트', '다운로드 인사이트' 등 4개의 인사이트 기능이 존재하는데, 악성코드 진단과 관련된 것은 '다운로드 인사이트'입니다. 자세한 것은 나중에 따로 다루겠습니다.

다운로드 인사이트 기능은 클라우드 기술을 이용하여 외부 서버에서 존재하는 평판 DB를 이용하고, 로컬 파일 감시는 시스템 내에 저장된 DB를 이용하여 진단합니다.


실시간 감시는 아래와 같이 동작합니다.

▶  외부에서 시스템으로 파일이 생성(다운로드 될 때)
  1. 다운로드 인사이트 기능 검사 수행
  2. 이후 파일 감시 기능 검사 수행

▶ 로컬 시스템 내에서 파일에 접근/수정/실행 등의 작업이 있을 때
  1. 파일 감시 기능 동작
  2. PE 구조의 파일 실행시 SONAR에서 최종 진단

※ 엄밀히 말해서 다운로드 인사이트는 다운로드 시에만 검사가 진행되는 것이 아닙니다. 인사이트 기능을 다룰 때 자세히 설명할테지만, 외부에서 객체를 다운받는 프로그램에 따라 다운로드시 바로 진단이 될 때가 있고, 다운로드 후 사용자가 접근 또는 실행 등의 작업을 수행할 때에만 동작하는 경우가 있습니다.



(1) 실시간 진단 팝업창


다운로드 인사이트에서 진단 시 아래와 같은 팝업창이 활성화 됩니다. 

                          
   -> 
    
                                서버의 평판 DB로 검사                      악성코드 처리 표시
                          
         

                                    검증 안 된 파일                              안전한 파일 표시

악성코드가 처리된 경우 아래처럼 다운로드가 실패하게 됩니다.


앞서 언급한 것 중 로컬 내의 파일에 대해서도 '다운로드 인사이트' 기능이 동작하는 경우 일반적으로 진단 팝업창은 위의 팝업창과 동일합니다. 그러나 클라우드 서버에 포함이 안된 객체를 사용자가 최초로 실행할 때에는 아래와 같은 창이 나타납니다.



- 이 프로그램 실행 중지 : 단순히 실행만 차단
- 이 파일을 내 시스템에서 제거 : 실행 중지 후 파일 제거 (검역소  보관)
- 무시하고 이 프로그램 실행
- 이 파일을 항상 허용 합니다 : 체크시 해당 파일 다운로드 인사이트 초기 진단 경보 비활성화


로컬 파일 감시에서 악성코드를 진단 시에는 아래와 같은 팝업창이 활성화 됩니다.

      
 
 

             진단된 객체 처리중                 진단 객체 처리 결과             다수 객체 처리 결과        

SONAR에서 진단된 객체는 아래와 같은 팝업창이 나타납니다.



로컬 파일 감시에서 의심 진단을 한 경우도 일반 진단과 별 차이가 없습니다.


일부 진단 객체는 아래와 같이 사용자가 해당 파일에 대한 처리 방법을 수행하여야 합니다.



'주의가 필요한 위험 요소'라는 이름이 붙은 객체들인데 특정 악성코드와 압축 파일 내에 정상 파일과 악성 파일이 함께 있는 경우에 나타납니다.

위와 같은 상황에서는 대부분 치료(해결) 후 재부팅을 요구합니다.


※ 특정 악성코드와 압축 파일 내 파일 치료 등 '주의가 필요한 항목'과 재부팅 과정 요구에 대해서는 다음 글에서 자세히 밝히겠습니다.



4-2. 검사 실행 - 수동 검사

노턴의 수동 검사는 실시간 감시처럼 '평판 검사''일반 검사'로 나뉘어 있습니다. 평판 기능은 다운로드 인사이트 기능처럼 외부 서버의 DB를 이용하여 악성코드를 진단하며, 일반 검사는 로컬 파일 감시처럼 사용자 시스템에 저장된 DB를 이용하여 검사를 수행합니다.

또한, 수동 검사에도 '인사이트 네트워크 검사' 항목이 존재합니다.  그러나 아쉽게도 이 기능은 우클릭 쉘메뉴(단일 파일 검사시에만)와 시스템 검사 항목 중 빠른 검사에만 적용되고 있습니다.

추가적으로 존재하는 Facebook Wall 검사는 사용자의 페이북 계정내의 링크 URL을 검사하는 기능으로 시스템 내의 악성코드를 검사하는 기능이 아닙니다. 이 부분은 따로 다루지 않겠습니다.


먼저 아래와 같이 '검사 실행' 버튼을 클릭하여 수동 검사창을 활성화 시킵니다.



앞서 언급한 것처럼 수동 검사는 두 개 항목으로 구성되어 있습니다.



▶ 시스템 검사 : 일반 수동 검사와 동일
  - 빠른 검사           : 시스템 주요 영역 검사(네트워크 검사 지원)
  - 전체 시스템 검사 : DB 업데이트 -> 시스템 전체 검사(악성코드 검사/취약점 검사) 
                              -> 시스템 최적화 및 파일 백업 실시
  - 사용자 정의 검사 : 전체 시스템 검사의 항목을 사용자가 결정
  - 우클릭 쉘메뉴 검사(Context menu) : 마우스 우클릭시 나타나는 검사 항목(네트워크 검사 지원)

▶ 평판 검사 : 클라우드 기술을 이용한 검사
  - 빠른 검사           : 현재 실행 중인 프로세스만 검사
  - 전체 시스템 검사 : 시스템 내의 모든 프로그램과 실행 중인 프로세스 검사
  - 사용자 정의 검사 : 사용자가 선택할 경로내 검사

평판 검사와 시스템 검사의 차이점은 검사하는 포맷의 종류 차이와 평판 정보의 제공 여부입니다. 시스템 검사는 모든 포맷의 파일을 검사합니다.(설정에 따라 다름) 그러나 평판 검사는 실행 파일 및 시스템 모듈 파일, 설치 파일 등 일부 포맷의 파일만을 검사합니다. 평판 검사의 검사 포맷은 아래와 같습니다.

- exe, scr, sys, dll, drv, ocx, msi

일반 시그니처와 함께 평판 정보도 함께 표현되는 평판 검사가 당연히 악성코드 진단과 확인에 더 유리하지만, 특정 포맷만을 검사하기 때문에 전체적인 검사를 위해서는 시스템 검사가 필요합니다.


(1) 시스템 검사


아래는 사용자 정의 검사 항목을 선택했을 때의 모습입니다.


타 제품과 달리 사용자 정의 검사는 검사 및 수행할 '작업'을 선택할 뿐 검사 경로와 설정 등을 조정하는 항목이 아닙니다. 따라서 특정 경로 검사는 우클릭 쉘메뉴(인사이트 네트워크 검사 또는 지금 검사)를 이용해야 하는 단점이 있습니다.

아래는 전체 검사를 선택했을 때의 모습인데, 기본적인 구조는 모두 동일합니다. 우클릭 쉘메뉴 검사도 검사 과정은 시스템 검사와 동일합니다.


검사 후 자동으로 시스템을 종료하고 싶으면 위 빨간 박스 부분을 체크하시기 바랍니다.

'생략' 버튼은 각 검사 과정이 필요없다 싶을 때 사용자가 직접 생략할 수 있도록 하는 버튼입니다. 위 예제는 DB 업데이트 과정을 건너띈 모습입니다.

검사가 끝나면 아래와 같은 결과창을 보여줍니다.

'상세 내역'을 클릭하면 좀 더 자세한 정보를 확인할 수 있습니다.


여기서 알 수 있듯이 진단된 악성코드가 있을 때 진단 갯수만을 보여줄 뿐 진단 경로와 진단명 등의 세부 정보는 표시되지 않습니다. 따라서 이벤트 보기 항목인 '보안 기록 확인' 항목에서 일일이 확인해야하는 단점이 있습니다. 이벤트 보기 항목이 상당히 뛰어난 것에 비해, 검사 결과 부분의 리포트는 너무 부실해서 개인적으로 매우 불편하게 느껴졌습니다. 



(2) 평판 검사


아래는 평판 검사의 사용자 정의 검사입니다. 타 백신의 사용자 지정 검사처럼 검사 경로를 선택할 수 있습니다.


평판 검사를 실시하면 시스템 검사와 달리 검사창 UI가 다릅니다.


검사가 끝나면 아래와 같이 사용자 시스템 내에 존재하는 파일들의 신뢰도를 확인할 수 있습니다.


검사 결과는 아래와 같이 정리됩니다.

- 악성코드 : 진단 후 자동 처리되어 아래와 같이 표시됩니다.

- 검증 안된 파일 : '
' 클릭시 검역소 이동, 아래와 같이 표시됨

- 신뢰 파일 : 정상 파일들은 위 그림처럼 신뢰 수준 정보 등이 표시됩니다.





인사이트 기능이 추가되면서 노턴은 상당히 복잡해졌다고 생각합니다. 게다가 다음 편에 다룰 압축 파일 검사와 재부팅 요구 항목, 악성코드 처리시 작업 항목의 변경 등도 노턴 제품을 이해하기 어렵게 하는 항목들입니다.


이번 글과 관련된 이야기를 해보겠습니다. 첫 번째로 '다운로드 인사이트'는 사실 안티 바이러스 항목이 아니라 네트워크 방어 항목인 방화벽 카테고리에 속한 기능입니다. 침입 차단/웹브라우저 보호와 함께 네트워크단에서 이루어지는 강력한 보호 기능인데, 악성코드 진단이라는 특성 때문에 이번 글에서 다른 악성코드 진단 기능과 함께 다루었습니다.

두 번째로는 클라우드 진단과 일반 진단 기능 간의 분리 문제입니다. 수동 검사에서 평판 검사와 인사이트 네트워크 검사 등 클라우드 기술이 포함된 진단 기능들이 현재에는 일반 진단 기능과 분리되어 구성되어 있습니다. 다운로드 인사이트 기능은 카테고리가 달라서 제외합니다.

제가 볼 때 두 기능을 분리한 구조보다 하나의 기능으로 통합된 구조가 더 직관적이고 효율적인 기능 구성으로 보입니다. '네트워크 인사이트'는 평판 DB가 없이 클라우드 서버에 포함된 DB를 이용하여 로컬내 DB를 이용한 진단보다 더 많은 수의, 더 넓은 범위의 악성코드를 진단하기 때문에, 시스템 검사와 평판 검사 모두에 적용한다면 진단율에 있어 더 효율적이 될 것입니다. 또한 시스템 검사에 평판 검사까지 완전히 통합되어 환경 설정 상에서 평판 및 클라우드 DB의 사용 여부를 결정할 수 있도록 UI가 구성되면 훨씬 더 간결하고 이해하기 쉬운 구조가 된다고 봅니다.

조금 더 욕심을 내보아 네트워크 인사이트 기능을 일반 로컬 파일 감시와도 통합시켜 실시간 감시에 클라우드 진단 기능이 추가되는 것도 괜찮아 보입니다.

시스템 퍼포먼스 저하와 로컬 DB의 유명무실화 등 클라우드와 일반 진단 기능이 통합이 안된 여러 가지 이유가 있을 것이지만, 클라우드 진단 기능의 추가로 인해 제품 자체를 이해하기 어려울 정도로 너무 복잡하게 된 부분은 확실히 개선이 필요합니다.



PC보안 - 악성코드 진단 2부 '환경 설정 및 세부 정보' 편으로 넘어갑니다.
반응형