▶ 보안 관련 정보 및 팁

[포터블] Comodo Cleaning Essentials - 무설치 시스템 검사 도구

물여우 2011. 8. 20. 16:17
반응형
악성코드 진단과 시스템 관리 기능을 갖고 있는 Comodo Cleaning Essentials을 소개합니다.



Comodo Cleaning Essentials은 영국에 기반을 둔 보안 업체인 Comodo에서 제공하는 기업용 무료 검사 도구입니다. 특이하게도 개인용이 아닌 기업용으로 소개된 제품인데, 기능 구성은 과거에 소개한 Emsisoft Free Emergency kit와 유사합니다.

Comodo Cleaning Essentials(이하 CCE)의 기능 구성은 아래와 같습니다.

기능 이름

기능 설명

Malware scanner

Full/Custom Scan 기능 제공, AV 엔진 및 클라우드 진단 포함

Kill Switch

프로세스, 서비스 관리 기능, 시스템 관리 도구






CCE의 악성코드 검사 기능에는 코모도의 안티바이러스 제품군에 포함된 AV 엔진과 방화벽에 포함된 클라우드 분석 기능이 포함되어 있습니다. Kill Switch는 오픈 소스 진영의 Process Hacker를 기반으로 한 시스템 관리 도구입니다.

CCE의 장점은 포터블로 제공되고 있다는 점과, 안티 바이러스 엔진의 DB 업데이트 기능을 제공한다는 점입니다. 즉, USB 등의 이동 저장 장치에 저장한 후 필요할 때 최신 DB를 바탕으로 시스템을 검사할 수 있습니다.


위 파일(32비트)을 다운받아 압축을 풀어보면 아래와 같은 파일들이 보입니다.


CCE의 실행은 'CCE.EXE' 파일을 이용합니다. 아래는 CCE의 메인 화면입니다.


메인 화면은 크게 '수동 검사/시스템 관리/도구 모음'으로 구성되어 있습니다.

수동 검사는 검사 설정을 최고 상태로 지정한 후 전체 시스템을 검사하는 전체 검사(Full Scan)과 검사 설정 및 검사 경로를 사용자가 지정하여 검사하는 사용자 지정 검사(Custom Scan)으로 구성되어 있습니다.

시스템 관리는 KillSwitch 기능을 의미하고, 도구 모음은 검역소(Quarantined Items), 신뢰 업체 설정(Manage Trsuted Venders), 환경 설정(Options)으로 구성되어 있습니다.



1. 악성 코드 진단 - 수동 검사

전체 검사를 클릭하면 아래와 같이 재부팅 요구창이 활성화됩니다. 이는 루트킷 진단을 위한 준비로 재부팅 과정이 필요하기 때문입니다. 나중에 검사가 끝난 후 치료 과정에서도 재부팅 과정이 필요합니다.


재부팅 이후 기본 설정 상태에서 자동으로 AV 엔진의 DB가 업데이트 됩니다. DB가 업데이트가 완료되면 현재(2011.06)기준으로 약 180mb정도로 용량이 늘어납니다.(기존 용량은 약 60mb) DB 자동 업데이트는 사용자 지정 검사에서도 적용되는데, 다운로드 속도가 느리고 DB 적용 시간이 길어 기다리는 시간이 다고 깁니다. 최초 다운로드 파일의 용량이 커지더라도 DB가 포함되는 것이 좋아 보입니다.



사용자 지정 검사를 클릭하면 아래와 같이 검사 설정과 검사 경로를 지정하게 됩니다.

설정 항목

설정 설명

Scan memory on start

검사 시작 시 메모리 검사 수행

Scan critical areas

사용자의 검사 경로 설정과 상관없이

시스템 주요 항목 검사

Scan critical system settings

시스템의 주요 설정의 변경 사항을 검사

Scan hidden registry objects

은폐된 레지스트리 항목을 검사

Scan selected drives for hidden files/folders

은폐된 파일과 폴더 검사

Don't scan for viruses

AV 엔진을 통한 검사를 수행 안 함



사용자가 설정을 마치고 'OK' 버튼을 클릭하면 DB 업데이트 이 후 검사를 수행합니다.

검사 속도는 다소 느린 편으로 은폐 관련 설정을 체크한 상태에서 C 드라이브를 검사하는데 한 시간이 넘게 걸렸습니다. 아래는 검사가 끝난 후 결과가 나타난 것으로 감염 파일 2개(오진..)가 있는 것을 확인할 수 있습니다.


참고로 'Show on top' 항목에 체크가 되어 있으면, 검사창이 항상 다른 창 위에 존재합니다.

진단된 객체가 없을 때에는 로그 기록 등이 없으며, 'close'버튼으로 프로그램이 종료됩니다. 그러나 진단된 객체가 있으면 'Result' 버튼이 대신 생성되며, 클릭시 아래와 같은 결과 보고 창이 생성됩니다.

진단명과 경로 정보, 처리 방법 사용자 설정


진단된 객체에 대한 정보를 보여주고, 처리 방법을 사용자에게 요구합니다.

치료(Disinfect)와 검역소 격리(Quaratine)가 기본적인 처리 방법이고, 진단된 객체가 오진일 경우 한 번 무시 처리(Once), 코모도에 오진 보고(Report-샘플 전송)등의 진단 제외 방법이 존재합니다.

기본적으로 검역소 격리를 추천하며, 오진이 확실한 경우에 오진 보고를 통해 차후 DB 업데이트 시 진단에서 제외되도록 조치하는 것이 좋습니다.

사용자가 치료 또는 검역소 격리를 선택하면 아래와 같이 재부팅 요구를 합니다. 이때 CCE 이름 옆의 숫자는 재부팅까지의 남은 시간을 나타내는 것으로, 재부팅을 하지 않으려면 'No' 버튼을 클릭합니다.


재부팅을 하기 전까지는 진단된 객체가 제대로 처리가 안됩니다. 시스템을 사용자가 직접 재부팅해도 되지만, 'No' 버튼을 클릭했을 때 나타나는 관련 트레이 아이콘을 클릭하여 재부팅을 하는 것을 권장합니다.



재부팅 이후에는 아래와 같이 처리된 내역이 나타납니다.




1-1. 도구 모음


도구 모음(tool)은 '검역소/신뢰 업체 설정/환경 설정' 등 기본적으로 악성코드 검사와 연관된 항목으로 구성되어 있습니다.

검역소는 시스템 드라이브(C:\Quarantine)에 폴더가 생성됩니다. 아쉽게도 경로를 바꿔 복구할 수는 없습니다.


신뢰 업체 설정은 특정 파일을 기준으로 진단에서 제외하는 것이 아니라, 디지털 인증을 기준으로 신뢰할 수 있는 업체의 인증된 모든 소프트웨어를 진단에서 제외하는 기능입니다.


즉, 위에 설정된 업체들의 프로그램들에게 해당 업체의 디지털 인증이 존재한다면 검사를 진행하지 않습니다. 찾아보면 국내 업체들도 몇몇 포함되어 있습니다. 개인적으로는 디지털 인증을 기준으로 검사를 제외하는 것은 탐탐치 않아서 보통은 리스트를 제거합니다.

다음은 중요한 환경 설정(Options) 항목입니다.


환경 설정의 항목들은 아래와 같습니다.

설정 항목

설정 설명

Scan for suspicious MBR entries in full scan

전체 검사 시  MBR 검사 수행

Report all MBR modifications in full scan

MBR 검사 시 MBR 관련 정보 기록

Restore any kernel hooks before the scan

검사 전 커널 후킹을 하고 있는 항목 후킹 해제

Heuristics Scanning/Level

휴리스틱 수준 설정

(민감도 수준 : off->low->medium->high)

Do not scan files larger than

설정된 크기 이상의 파일은 검사 제외

Scan unknown processes in memory
with CAMAS

메모리 로드된 비신뢰 프로세스 클라우드 진단

CAMAS timeout

지정한 시간 내에 클라우드 서버의 응답이 없을 시 클라우드 진단에서 제외

Automatically update the virus database

before scanning

검사 전에 자동으로 DB 업데이트

Create a Windows restore point

before performing the scan

검사 후 처리 항목을 윈도우 복구 시스템에 백업

Log level

로그에 기록될 정보의 질을 설정


후킹 항목은 가급적 체크하지 않기를 권장합니다. 사용하고 있는 보안 제품에 따라 해당 항목으로 인한 충돌 현상이 나타날 수 있습니다. 그러나 현재 악성코드 감염으로 시스템에 이상이 있거나 따로 보안 제품이 설치가 안된 상황이라면 체크를 하고 검사하는 것이 좋습니다.

휴리스틱의 경우 low로 설정해도 오진이 꽤 됩니다. 이는 상대적으로 사용자가 적은 국내 환경 때문으로 보이지만, 알고리즘 자체가 민감하게 설계된 것 같습니다. high로 하는 것은 크게 상관없지만 진단 객체에 대한 처리는 주의하시기 바랍니다.

CAMAS는 코모도의 가상 환경 분석 시스템(CIMA)의 명칭입니다. 나중에 따로 다루어 보겠습니다.


2. 시스템 관리 도구 - Kill Switch


Kill Switch는 오픈 소스 프로그램인 프로세스 해커를 기반으로 한 시스템 관리 도구입니다. 프로세스 해커 자체도 무척 뛰어난 프로그램인데, Kill Switch는 추가된 항목들이 몇몇 더 존재합니다.

내용이 다소 많아 해당 항목은 따로 글을 작성했습니다. 아래의 글을 참고 바랍니다.


Kill Switch를 이용하여 악성 프로세스나 서비스 항목들을 제거할 수 있으며, 루트킷 진단 등에도 이용할 수 있습니다.




CCE는 다양한 서비스를 제공하고 있는 코모도 여러 제품 중에서도 매우 쓸만한 보조 검사 도구라고 생각합니다. 아직 시그니처 진단으로는 진단율과 안정성 면에서 부족한 모습을 보이지만 적극적인 기술 개발과 사용자들의 높은 충성도, 클라우드 진단을 통한 샘플 수집 등으로 앞으로 개선될 요지가 많아 보입니다. 

CCE의 단점으로는 오진과 퍼포먼스 부분을 들고 싶습니다. 앞서 언급한 것처럼 아직 진단의 안정성은 다소 떨어지고 있어 진단된 객체를 처리할 때에는 주의를 해야합니다. 퍼포먼스 부분은 과도한 시스템 리소스 사용 때문입니다.

아래는 일반적인 수동 검사 상황에서 CPU, 메모리 사용율 등을 나타낸 것입니다.


사실 메모리 사용율(실제, 가상 모두 다)이 다소 높다는 것을 제외하면 위 수치만으로는 별다른 것이 없습니다. 문제는 CPU 점유율이 '널뛰기'를 한다는 점입니다. 특히, 실제 드라이브 내의 파일을 검사할 때 다른 프로세스가 신규로 생성되어 동작하면 더더욱 심해지는데 아래와 같이 80-90대까지 CPU 점유율이 올라갔다가 내려가는 것을 반복합니다. 검사 중에는 간단한 문서 작업마저도 힘들 정도입니다.

 

 

이 외에도 압축 파일 검사 기능이 기본적으로 적용되어 있어 검사 속도가 느린 것도 단점입니다. 사실 검사 속도 자체는 느린 편이 아니나 특정 용량 이하의 파일을 무조건 검사하는 과정에서 압축 파일까지 검사하기에 속도가 느리게 나타나는 것입니다. 이 부분은 다음 버전에 압축 파일 설정이 새로 추가되어 해결되면 좋겠습니다. 

개인적인 욕심이긴 합니다만, CAMAS도 포함된 마당에 조금 욕심부려서 안티 바이러스의 클라우드 진단 기능인 FLS도 포함되었으면 더 좋았을 것이라는 생각도 듭니다. 
(※ Kill Switch에서 파일 정보를 통해 fls의 진단 여부를 확인할 수는 있습니다.)


 - 이상입니다.

 

 

반응형