▶ 보안 제품 리뷰/:: Symantec

Norton 360 5.0 리뷰 (3) - PC 보안 : 악성코드 진단 (환경 설정)

물여우 2011. 3. 13. 08:14
반응형
노턴의 악성코드 진단 기능 두 번째 글입니다.



4-3. 환경 설정

사용하기 쉽다는 평가를 받는 노턴이지만 환경 설정 부분은 비교적 복잡합니다. 기본적으로 설정 항목이 많은 제품이고, 기능별 카테고리가 나뉘어 있을 뿐 모든 설정이 혼재되어 있기에 일반 사용자들이 수정하기가 쉽지 않은 구조이기 때문입니다. 

개인적으로 두 가지 정도를 지적하고 싶습니다. 첫 번째로 타 제품들이 환경 설정의 복잡함을 기본·고급 등 두 개의 구조로 설정 UI를 나누어 일반 사용자와 고급 사용자를 배려하는 경우가 많은 것에 비하여, 노턴은 모든 설정을 한 번에 수정해야 하기 때문에 일반 사용자들의 접근이 어렵다는 점. 두 번째로 환경 설정 내에 제외 설정이 포함되어 있고, 보안 기록 확인(이벤트 보기)에 검역소가 포함되어 있는 등 UI 구조가 직관적이지 못한 점 등입니다.

물론 '빠른 제어' 항목을 통해 몇 가지 설정을 쉽게 제어할 수는 있지만 설정 가능한 항목 수가 너무 제한적이라 그리 효과적이지 못합니다.

환경 설정은 아래의 그림처럼 '설정' -> '바이러스 차단' 항목을 클릭하여 진입할 수 있습니다.



(1) 자동 보호



자동 보호는 부팅 시 작동 설정과 실시간 감시 항목에 대한 설정입니다.

부팅시 보호는 [통합/중간/실행 중지] 등 3개의 설정 항목이 존재하는데, '통합'은 시스템 부팅시 노턴의 보안 모듈이 다른 일반 윈도우 및 프로그램 모듈보다 먼저 실행되고 자동 보호 기능이 실행되어 시스템을 보호하게 되며 부팅 시간이 증가하게 됩니다. '중간'은 노턴의 모듈이 타 모듈보다 먼저 실행되는 것으로 보안과 퍼포먼스 간 균형을 맞춘 기본 설정입니다.

"실시간 보호" 항목의 '자동 보호' 기능은 파일 감시와 SONAR 기능의 활성화를 조정합니다. SONAR 기능은 별도로 활성화/비활성화 항목이 있지만 자동 보호 기능이 비활성화되면 SONAR 설정과 관계없이 SONAR는 비활성화 됩니다.

'캐싱' 항목은 노턴의 시스템 인사이트와 별개로 노턴의 실시간 감시에서 자주 검사하게 되는 파일들을 기록하여 정상 파일인 경우 검사에서 제외하는 기능입니다. 노턴의 퍼포먼스를 올려주는 기능 중 하나이며, 재부팅 후에도 기록이 보관됩니다.

'SONAR 고급 모드'는 SONAR 기능의 휴리스틱의 민감도를 조정하는 것으로 [통합/자동/실행 중지] 등 3개 설정으로 구성됩니다. 노턴의 경우 진단의 의심 여부를 확신도라는 명칭으로 정의합니다.

- 통합 : 가장 높은 휴리스틱 설정입니다. 확신도가 낮은 항목도 진단, 오진의 위험성이 큽니다.
- 자동 : 중간 단계의 휴리스틱 설정으로 기본 설정입니다. 확신도가 낮은 항목도 진단하나 통합보다
           는 진단의 폭이 적습니다. 이 설정부터 낮은 위협에 대한 사용자 처리창을 활성화시킬 수
           있습니다.
- 실행 중지 : 휴리스틱이 적용되지 않습니다. 확신도가 높은 항목만 진단하나 진단의 폭이 적습니다.

- 위험 요소 자동으로 제거 : [자동/통합] 상태에서 진단되는 낮은 확신도의 항목을 자동으로 제거
                                      오진의 위험성 때문에 '실행 중지'를 권장합니다.
- 유휴 상태일 때 위험 요소 제거 : 사용자 처리창이 활성화 되었을 때 사용자가 작업을 일정 시간 
                                              동안 수행하지 않으면 자동으로 제거합니다.
- SONAR 차단 통지 표시 : 팝업으로 SONAR의 처리 항목을 보일지 안 보일지를 설정합니다.


(2) 검사 및 위험 요소


검사 및 위험 요소는 수동 검사와 파일 감시를 제외한 다른 실시간 감시 항목, 그리고 검사 제외 설정 등을 조정하는 항목입니다.


① 시스템 검사

수동 검사와 관련된 설정으로 우클릭 쉘메뉴(Context scan) 검사를 포함한 모든 검사에 적용됩니다. 

"스마트 정의" 는 퍼포먼스를 위한 노턴의 기능 중 하나입니다. 전체 DB 중 핵심적인 DB만 사용자 시스템에 설치하는 것으로 설치 용량을 줄여주고 약간의 퍼포먼스 증가를 가져주는 기능입니다. 개인적으로는 퍼포먼스 증가 효과가 크지 않으므로 굳이 활성화할 필요는 없다고 봅니다.

"압축 파일 검사"의 '지능적 생략 검사'가 활성화되면 2기가 이하의 압축 파일만 검사하게 되며, 아래의 확장자를 가진 파일을 검사하지 않습니다.
- dll, .gif, .png, .jpg, .asf, .avi, .bmp, .htm, .ini, .css, .cur, .fon, .ico, .inf, .sys, .ttf, and .wav

'감염된 압축 파일 제거'는 압축 파일 내에 악성코드가 존재할 경우 자동으로 삭제합니다. 정상 파일이 존재해도 압축 포맷에 따라 파일 자체가 삭제되므로 활성화를 권장하지 않습니다. 자세한 것은 다음 글에서 따로 다루겠습니다.

"지능형 보호"는 파일 검사에 대한 휴리스틱 설정입니다. [통합/자동/실행 중지]로 구성되어 있습니다.  사용자에 따로 높은 설정을 필요로 하는 경우도 있겠지만, 노턴은 진단된 악성코드에 대해서 항상 '자동 처리'가 기본 처리 방법이기 때문에 사용에 주의가 필요합니다.

'수동으로 검사할 스레드 개수'는 최근 V3에도 비슷한 기능이 포함되었는데 사용자의 시스템이 성능이 좋을 수록(CPU의 코어수가 많을 수록) 수동 검사 속도가 증가하는 효과가 큰 기능입니다. 하나의 스레드(간단하게 작업)가 아닌 다중 스레드(다중 작업)를 이용하여 검사하므로 수동 검사시 여러 파일을 동시에 검사하여 검사 속도가 빨라지게 됩니다. 도움말에 의하면 '자동'선택시 사용자 CPU 코어 수의 2배의 스레드로 검사를 진행한다고 합니다. 따라서 저사양에서도 스레드 강제 부여로 인한 퍼포먼스 감소는 없습니다.


② 검사 성능 프로필

실시간 감시 항목에 퍼포먼스 증가를 위한 '캐싱' 기능이 있다면 시스템 검사에는 '검사 성능 프로필' 항목이 있습니다. [전체검사/신뢰-표준/신뢰-높음] 등 3개의 항목으로 구성되어 있는데, 전체 검사는 말그대로 모든 파일을 검사합니다. 신뢰-표준에서는 노턴에서 직접 '신뢰' 항목으로 인증한 파일을 제외한 모든 파일을, 신뢰-높음에서는 노턴의 신뢰 파일 뿐만 아니라 사용자 신뢰 파일도 검사를 제외합니다. 일반적으로 디지털 인증이 없거나 신뢰도가 낮은 또는 나쁨 표시인 파일들만 검사합니다.

개인적으로 처음 검사시에는 '전체 검사'를, 이후에는 '신뢰-표준'을 설정하고 검사하기를 권장합니다.


③ 이메일 바이러스/ 인스턴트 메신저 검사

아웃룩과 같은 이메일 클라이언트 프로그램에서 오고가는 메일의 첨부 파일과 MSN등과 같은 메신저 프로그램의 대화창에서의 링크에서 다운받는 파일을 검사합니다.



이메일 검사의 경우 POP3/SMTP를 모두 지원하는데 안티 스팸 기능과 달리 포트 설정 등 세부 설정은 존재하지 않습니다. 또 메신저 검사의 경우 국산 메신저인 네이트온과 최근 유행하는 트위터의 관련 클라이언트들은 검사하지 않습니다.

메일 클라이언트를 사용하지 않거나 위 목록에 포함되지 않은 메신저를 사용하는 경우 두 기능 모두 비활성해도 상관없으나 노턴 360의 보안 설정상 위험 표시가 나타나기 때문에 어쩔 수 없이 사용해야 하는 단점이 있습니다.


④ 제외 항목 / 낮은 위험 요소

환경 설정 속에 숨어 있어 일반 사용자들이 가장 난감해 하는 부분 중 하나로 진단 제외 설정과 낮은 위험 요소에 대한 사용자 처리 설정을 담당합니다.

제외 항목의 경우 수동 검사(시스템 검사)와 실시간 검사(자동 보호)의 제외 항목이 따로 존재합니다.

- 낮은 위험 요소 : 낮은 위험 요소의 처리 방법을 설정합니다. [제거/무시/메시지 표시] 등 3개 항목
  으로 구성되어 있으며 제거는 자동 제거, 무시는 처리 하지 않음, 메시지 표시는 사용자 처리입니다.
  일반적인 악성코드의 경우 낮은 위험 요소가 아니기 때문에 대부분 자동 처리됨으로 사실상
  필요성이 큰 항목은 아닙니다.

- 검사에서 제외항 항목 : 수동 검사에서 제외할 객체 또는 경로(폴더)를 설정합니다.
                                   '구성' 버튼을 클릭하여 아래와 같이 설정합니다.


- 자동 보호 및 SONAR 탐지에서 제외할 항목 : 파일 감시에서 제외할 항목을 선택합니다.
                                                                   '구성'버튼을 클릭하여 아래와 같이 설정합니다.

 


- 모든 탐지에서 제외할 시그니처 : 특정 진단명 자체를 진단에서 제외합니다. 
  악성코드라기 보다는 애드웨어나 스파이웨어 등 노턴의 분류 상 낮은 또는 중간 상태의 위험 요소들
  에 관한 시그니처입니다. 일반적인 상황에서는 사용을 권장하지 않습니다.
                              




⑤ 인사이트 보호

사용자를 헷갈리게 하는 또 하나의 항목입니다. 앞선 글에서 다운로드 인사이트와 빠른 검사, 우클릭 쉘메뉴 검사에만 적용되는  "인사이트 네트워크 검사"의 활성화를 담당하는 항목입니다.

특별한 이유가 없다면 반드시 활성화하기를 바랍니다. 단, 일반적인 검사에 비해 인사이트 네트워크 검사는 구조상 약간의 검사 시간이 더 필요합니다.


(3) 스파이웨어 차단 및 업데이트


안티 스파이웨어 DB와 업데이트 설정 항목입니다.


진단할 스파이웨어 항목


펄스 업데이트는 노턴에서 가장 먼저 시작한 업데이트 방식으로 정해진 시간대에 일괄적으로 DB를 받는 것이 아니라 업데이트 서버에 비정기적으로 분할되어 올라온 DB를 그때그때 다운받는 방식입니다.

일반적으로 15분 간격으로 업데이트 서버를 검사하는 것으로 알려져 있으며, 제 시스템 상에서 주중 기준으로 거의 한시간 간격으로 업데이트가 이루어지는 것을 확인하였습니다.



노턴의 업데이트 방식은 모듈 업데이트를 제이화고 실시간 감시에 영향을 주지 않고, 업데이트 등록시 퍼포먼스 감소가 거의 없어 저사양이 아닌 일반 시스템에서는 대응력과 진단율 향상을 위해 펄스 업데이트를 반드시 활성화하기를 바랍니다.





- 3편으로 넘어갑니다.
반응형