▶ 보안 제품 리뷰/:: Bitdefender

Bitdefender Total Security 2012 간단 리뷰 (2) - Auto Pilot / HIDS

물여우 2011. 10. 8. 08:00
반응형


2. 전면 자동 처리 (Auto Pilot)

기존의 자동 처리와 구분하기 위하여 전면 자동 처리라고 의역한 Auto Pilot 기능은, 기존의 자동 처리 항목을 발전시킨 기능입니다.


기존의 자동 처리가 환경 설정 상에서 설정된 항목을 기준으로 발생한 이벤트를 자동으로 처리한 것이라면, 2012버전에서 새롭게 추가된 전면 자동 처리는 사용자가 따로 설정하는 항목이 없이 비트디펜더 스스로 모든 것을 처리하게 합니다. 즉 버튼 하나로 사용자의 관리없이 비트디펜더 스스로 모든 것을 처리합니다.

사실 모든 이벤트를 자동 처리한다는 것도 의미가 있지만 가장 중요한 것은 사용자 알람이 없다는 것입니다. 악성코드 진단에 대한 처리부터 시작해서 방화벽의 네트워크 연결 관리, 스팸 관리, 업데이트 등 비트디펜더 내의 모든 항목을 비트디펜더 스스로 처리하는데, 진단 정보나 처리 정보 등 거의 모든 정보를 팝업창 등을 통해 사용자에게 알리지 않습니다.

알람이 없다는 것이 나쁜 점만은 아닌 것이, 일반적으로 간단한 업데이트 팝업창만 나타나도 대부분의 사용자가 혼란스러워하는 경우가 많습니다. 일반 사용자를 대상으로 했을 때 전면 자동 처리 기능의 추가는 훌륭한 결정이었다고 봅니다. 

쉽게 말해 예전 ESET에서 내세운 표어 중 '설치한 후 잊어라'를 퍼포먼스가 아닌 시스템상으로 구현한 것이 전면 자동 처리라고 할 수 있습니다. 사실상 사용자가 설정하는 항목이 없을 뿐 최근 들어 대부분의 제품들이 제공하는 자동 처리와 별반 다를 것이 없긴 하지만, 정보 전달마저 하지 않아서 사용자의 관리 여부 자체를 없애버렸다는 점에서 매우 특이합니다.

그러나 내부 정책의 변화, 특히 악성코드 진단과 관련된 정책을 고려해보면 전면 자동 처리는, 여러 가지 문제점을 갖고 있습니다. 2009버전을 기준으로 악성코드 진단 부분의 정책 변화는 크게 2가지로 아래와 같습니다.

2009 버전

2012 버전

실시간 감시 자동 처리 설정 변경 가능

처리 설정 항목 자체가 없음

Auto Pilot 해제 후에도 자동 처리만 존재

정식 진단도 검역소 저장 가능

정식 진단 무조건 치료 또는 삭제

의심 진단만 검역소 저장 가능


2009도 기본적으로 사용자 처리 없이 자동 처리만 존재하는데, 자동 처리를 위한 설정이 아래와 같이 제공되며, 검역소 저장을 위한 항목이 존재했었습니다. (※ 좌측이 2009, 우측이 2012의 실시간 감시 설정)



하지만 2012에서는 위와 같이 자동 처리 항목의 설정이 아예 없을 뿐더러 검역소 저장 관련 항목이 없습니다. 기본적으로 '치료/삭제' 는 이루어지지만 정식 진단은 검역소 저장이라는 '보험'이 없습니다. 이로 인해 사실상 제외 설정 자체가 의미 없어지며, 오진으로 인해 생기는 피해를 복구하기가 쉽지 않습니다.

실시간 감시 진단창 - 사용자 처리 없음


판다를 비롯해서 최근 보안 제품들이 이러한 검역소 미저장 정책을 시행하고 있는데, 개인적으로 오만하다고 밖에 할 수 없는 어처구니 없는 정책입니다.


실시간 감시 뿐만 아니라 수동 검사 기능도 진단된 항목에 대한 처리를 선택할 수는 있습니다만, '권장 처리(치료 또는 삭제)와 삭제, 처리 없음' 등 3가지 항목만 존재할 뿐 검역소 저장 등의 설정은 존재하지 않습니다.

수동 검사 결과창 - 사용자 처리


이런 정책과 전면 자동 처리 기능이 합쳐지면, 잘 사용하던 프로그램이 하루 아침에 오류를 일으키는 황당한 일을 겪을 수 있습니다. 그때 가서 로그 기록을 살펴봤을 때는 이미 늦은 것입니다.

비트디펜더가 최근 테스트에서 오진이 상대적으로 적어진 것이 사실이지만, 오진이 아예 없는 것도 아니기 때문에 검역소 저장없이 삭제되는 점은 이해가 안 갑니다. 편의성을 위해 각종 기능들이 자동 처리화 되는 것은 분명히 필요한 일입니다. 하지만 자신들의 실수(오진)를 되돌릴 수 있는 최소한의 안전 장치(검역소)를 무용지물로 만드는 것은 문제가 있다고 봅니다.


살펴보지는 않겠습니다만 방화벽을 비롯해서 기타 기능들도 전면 자동 처리 기능으로 인해 자동으로 동작하게 됩니다. 

 

3. 새로운 행동 기반 진단 기능 - HIDS


2011버전부터 새롭게 추가된 기능인 HIDS는 'Host Intrusion Detection System'의 약자로 원래는 아웃바운드 연결을 통한 방화벽 우회를 막기위해 개발된 기능입니다. 이전에 설명한 HIPS 설명글의 HIPS와 내부적으로는 다르지만, 사용자 입장에서는 거의 동일한 기능이라 생각해도 무방합니다. 앞으로 설명할 HIPS와 Behavioral Blocker에 대한 개념은 아래 글을 참고 바랍니다.



비트디펜더의 HIDS는 기본적으로 비활성화되어 있지만 방화벽의 일반 규칙에서 활성화할 수 있습니다.


설정은 'Permisseve/Normal/Aggressive' 등 3단계로 구성되어 있는데, 가장 민감한 Aggressive에서는 루트킷 드라이버 설치 및 dll 인젝션, 키로깅 시도, IE 취약점 공격 시도 등 매우 다양한 항목을 진단/차단할 수있습니다. 다양한 항목을 진단할 수 있는 대신, 정상 프로세스의 행동을 진단할 수 있고, 실제로도 오진이 상당합니다.

HIDS와 비교되는 것이 비트디펜더의 또 다른 행동 기반 진단 기능인 Active Virus Control입니다. 보통 Behavioral Blocker류라 불리는 기능으로 과거 2009버전에서 거동 분석기라 번역된 Behavioral Scanner가 발전되면서 이름이 바뀐 것인데, HIDS와 진단 항목이 다소 겹치는 부분이 있지만 별도로 동작합니다.


HIDS와 Active Virus Control의 진단은 팝업창으로 구분할 수 있습니다.

                         HIDS 진단                                                Active Virus Control 진단


먼저 Active Virus Control의 경우 진단된 프로세스의 정보를 제공하며 프로세스의 실행을 '허용/차단/삭제'할 것인지를 사용자에게 요구합니다. 즉, 자동 처리가 기본인 비트디펜더 시스템 상에서 몇 안되는 사용자 처리 항목을 가진 기능이 바로 Active Virus Control입니다.

이와 반대로 HIDS는 HIDS가 무언가를 진단하고 차단했다는 것만 알려줄 뿐 세부 정보를 알려주지 않습니다. 정확한 정보는 'More Details' 버튼을 통해 로그 기록 보기에서 확인할 수 있습니다.


로그 기록을 보면 차단된 프로세스의 정보와 차단 이유를 알 수 있습니다. Active Virus Control과 달리 HIDS는 기본적으로 진단된 프로세스를 무조건 차단(프로세스 강제 종료)시킵니다. 사용자는 이 로그 기록 보기에서 프로세스의 구동 규칙을 '허용'으로 바꿀 수 있습니다.

앞서 링크한 글에서 제가 분류한 HIDS 혹은 HIPS의 특징은 사실상 '시스템을 관리한다'할 만큼 다양한 관리 항목을 갖고 있고, 관리 항목과 진단된 항목을 사용자가 직접 처리할 수 있는 것이었습니다. 그런데 비트디펜더의 HIDS는 다양한 관리 항목을 갖고 있되, 이것이 공개되어 있지 않아 사용자가 수정할 수 없고(민감도 설정을 제외하고), 진단된 항목 또한 사용자가 직접 처리할 수 없습니다.

실상 이름과 관리 항목은 HIDS지만 실제 행동은 Behavioral Blocker와 같이 동작하고 있습니다. 게다가 비교적 안정적인 Active Virus Control가 사용자 처리가 가능함에 비해 상대적으로 이보다 더 민감한[각주:1](Aggresive 모드에서) HIDS가 자동 처리되고 있다는 점은 UI 설정상의 오류가 아닐까 합니다.

여하튼 HIDS의 추가와 Active Virus Control의 발전으로 행동 기반 진단 기능의 성능을 테스트하는 Matousec를 비롯해서 AV-TEST와 AV-Comparatives의 테스트에서 놀라운 결과를 선보이고 있습니다.

8.27일자 Matousec 결과

2011 2분기 AV-TEST 결과 중

AV-Comparatives Whole Dynamic TEST 결과 중


물론 이런 결과는 Matousec의 경우 오진을 감수하는 최대 감시 설정 상에서 진행된 것이고, AV-TEST와 AV-Comparatives의 경우 시그니처 진단 등의 영향을 받아 나타난 것이기도 합니다. 하지만 과거에 비해 행동 기반 진단 기능의 진단 성능이 매우 높아졌음은 부인할 수 없습니다.

참고로 HIDS와 Active Virus Control의 진단 제외 및 규칙 수정은 로그 기록에서도 개별적으로 할 수 있지만, 제외 설정 항목 중 'Excluded Processed'에서 통합적으로 관리할 수 있습니다.




비트디펜더 2012버전을 간단하게 살펴봤습니다.

UI등의 변경 뿐만 아니라 퍼포먼스 측면에서도 이전에 비해 상당히 가벼워진 것이 체감되었던 것 같습니다. 그러나 토탈 제품군임을 감안해도 여전히 타 제품에 비해서 무거운 편입니다.

진단 능력이야 국내외 보안 업체에서 보증된 제품이기에 크게 언급할 부분은 없지만, 타 제품과 달리 웹사이트를 통한 악성코드 유포시 중간 단계의 스크립트 진단이 부족한게 다소 아쉽습니다. 예를 들어 취약점 공격을 위한 악성 플래쉬 등은 진단을 하는데 악성 플래쉬 다운 및 실행을 위한 중간 단계의 스크립트는 거의 진단하지 않고 있습니다. 그럼에도 각종 테스트 결과가 좋은 걸 보면 HIDS나 AVC를 반드시 사용해야할 듯 합니다.

개인적으로 사용하면서 몇 가지 불편했던 점을 언급하자면 아래와 같습니다.
 

1. 설치시 수행되는 자동 검사가 이벤트 기록 내역에 남지 않음
- 이 부분이 황당한게 비트디펜더 설치시 강제로 빠른 검사가 진행되는데, 진단 내역에 대한 정보가
  표시되지 않습니다. 이는 앞서 언급한 정식 진단 검역소 미저장 정책과 맞물려 시작부터 황당한 상
  황을 연출하게 됩니다. 다행히 설치 시에는 오진이 없었으나 테스트를 위해 압축 해제해 둔 악성코
  드가 아무런 언급없이(뭔가를 진단했다는 정보는 설치 과정에서 표시) 삭제되서 상당히 놀랐습니다.

2. 그레텍의 곰tv같은 일부 스트리밍 서비스가 제대로 동작하지 않음
- 시스템에 따른 문제로 보이는데, 곰플레이어나 웹상에서 곰tv 스트리밍 서비스가 정상적으로 동작하
  지 않습니다. 지금까지 살펴본 봐로는 스트리밍 서버의 URL을 차단하는 것 같은데, 이를 해결할 방
  법이 현재 딱히 없습니다. 

3. 특정 어플리케이션이 최초로 네트워크 연결을 시도할 때 인터넷에 연결 안됨
- 이는 오류라기 보다는 자동 처리에 기반한 비트디펜더 내의 문제인데, 자동 처리 과정에서 네트워크 연결을 허용할 때 약간의 딜레이가 있는지 최초 연결시에는 상당한 확률로 연결이 제대로 이루어지지 않습니다. 물론 방화벽 규칙이 생성되고 나서는 문제없이 연결됩니다.


개인적으로 자동 처리와 검역소 정책 때문에 솔직히 불만이 많은데, 이를 제외하면 비트디펜더라는 제품은 그래도 비교적 만족스러운 제품인 것 같습니다.

- 이상입니다.

 

  1. ※ Agrresive 모드에서는 IE를 다른 어플리케이션이 구동을 시키는 동작 등 정상 프로세스가 많이 행하는 일반적인 동작도 상당수 진단합니다. [본문으로]
반응형