▶ 보안 제품 리뷰/:: Bitdefender

Bitdefender Internet Security 2009 리뷰 (2-3) - 바이러스 차단 (2) : 수동 검사

물여우 2009. 2. 27. 16:56
반응형

비트디펜더의 바이러스 차단 항목에 대한 두 번째 포스팅으로 수동 검사기능은 살펴보겠습니다.

참고 : 이번에 리뷰할 비트디펜더 2009는 한글을 지원하는 제품이기에 기능 명칭이나 설명시에 한글
         명칭을 통해 설명하겠습니다만, 비트디펜더의 한글화가 매끄럽지 못한 부분이 있어 앞으로의
         포스팅에서는 일부 명칭은 영문판의 명칭을 같이 사용하도록 하겠습니다.


저는 보안 전문가가 아니며 해당 프로그램에 대해 전문적이고 기술적인 지식을 가지고
이 글을 작성하는 것이 아니므로, 이 글의 일부 내용에는 오류가 있을 수 있음을 밝힙니다.




4-2. 바이러스 검사



바이러스 차단 항목의 두 번째 탭인 바이러스 검사 항목은 수동 검사와 예약 검사 및 이동 저장 장치
검사 등을 수행합니다.

모든 수동 검사 항목은 실시간 감시와 마찬가지로 B-HAVE 기능이 활성화되어 있습니다.

(1) 시스템 작업 : 비트디펜더에서 제공하는 기본 검사 항목입니다.

각 작업을 더블 클릭하거나 시작 버튼을 클릭하면 검사가 진행되며 오른쪽 클릭을 하면 아래와 같이
설정창을 활성화 시킬 수 있습니다.

시스템 작업과 사용자 추가 작업은 각각 설정 정보가 저장됩니다. 위의 그림에서 '열기'를 클릭하면
수동 검사 설정 활성화되며, 작업 경로 보기/예약/로그들은 각각의 수동 검사 설정  탭화면으로 바로
연결시켜줍니다.  자세한 것은 사용자 작업 추가 설명시 살펴보도록 하겠습니다.

'복제'는 동일한 검사를 사용자 작업 부분에 추가시키는 기능입니다.


① 심층 시스템 검사(Deep System Scan) : 가장 강력한 설정의 시스템 검사입니다.


심층 검사의 기본 정보입니다. 실제 검사 설정은 아래와 같습니다.


※ 자료 보관소(압축 파일 검사)의 설정 중 '전체검사 실행'은 정확하게 어떤 기능인지 정보를 구할 수가
없었습니다. 개인적인 테스트 결과 다중 압축 관련 설정으로 보입니다. 기본적으로 압축 파일 검사 설정
시 이중 삼중 압축된 파일도 내부를 검사하지만 이 기능은 다중 압축 파일 검사 제한을 아예 없애는 것
같습니다. 따라서 이를 설정시 수동 검사시에 검사 시간이 상당히 늘어납니다. 
 
   ⓐ 감염시 조치 방법
      ˚ 감염 파일(정식 진단 및 일부 의심 진단)
      ˚의심 파일 
      
     
      ˚ 숨겨진 파일(루트킷 진단)


   ⓑ 검사할 폴더 설정 : 시스템에 설치된 모든 드라이브(HDD)


② 전체 시스템 검사 : 심층 검사와 루트킷/압축 파일 검사 설정을 제외한 나머지 설정은 동일합니다.



③ 빠른 시스템 검사 : 시스템의 중요한 폴더만을 검사합니다.

특정 폴더만을 검사하기에 부트섹터 검사 등은 제외되었습니다.

검사하는 폴더는 %Windows%, %Program Files% 입니다.


④ 자동 로그온 검사 : 비트디펜더는 부팅시 시스템 검사를 수행할 수 있습니다.
단, 이 기능은 서비스 항목이나 드라이버 로딩 등이 이루어질 때 시작되는 것이 아니라 윈도우 로그인
화면 혹은 바탕화면 등 사용자 환경이 모두 활성화 된 후에 시작되는 검사입니다. 


개인적인 테스트로는 검사 설정 및 폴더는 빠른 시스템 검사와 동일한 것 같습니다.


(2) 사용자 작업 : 사용자가 수동 검사 항목을 스스로 설정하여 작업화 시킬 수 있습니다.

기본적으로 '내문서' 라는 작업이 설정되어 있으며, 이름 그대로 내문서 폴더와 바탕화면, 시작프로그램
폴더 등을 검사하며 검사 설정은 전체 시스템 검사와 동일합니다.

'신규 작업' 버튼을 클릭하여 사용자 작업을 추가합니다.

① 개요 탭 : 검사를 위한 기본 설정 및 검사 강도를 설정합니다.


옆면의 감시 강도 수준 휠 버튼을 조정하거나 '맞춤형' 버튼을 클릭하여 감시 강도를합니다.  
                                                     감시 강도 사용자 설정

실시간 감시 항목과 거의 같기 때문에 실시간 감시 항목의 설정을 참고 바랍니다.
특별히 다른 점은 사용자가 검사할 악성코드 종류를 좀 더 세부적으로 결정할 수 있다는 점과 루트킷
검사가 추가되었다는 점입니다. 루트킷 검사의 조치 중 '이름 변경'은 프로세스나 드라이버 파일의 이름
을 강제로 변경하여 정상적인 작동을 못하게 하는 설정입니다.

② 경로 탭 : 검사를 진행할 폴더를 추가합니다.


특정 폴더를 추가하고 싶으면 '폴더 추가' 버튼을 클릭하여 추가합니다.


③ 예약 관리

비트디펜더의 예약 검사 기능은 타사 제품에 비해 좀 단순한 편입니다. 특정 날짜와 시간에 한번 예약
검사를 하거나 시스템 시작시(부팅시 자동 검사) 검사를 지정할 수도 있습니다.
아쉬운 것은 주기적인 예약 검사 경우 분/시간/일/주/개월 단위로 구성되는데 설정상 주기 별로 단 한번
밖에 검사를 진행할 수 없다는 점입니다. 따라서 일주일에 두번, 매달 4번 이런 식의 설정은 각 예약
작업을 따로 만들어 설정해야하는 불편함이 있습니다.



④ 로그들 : 수동 검사 결과 정보

메인 화면의 '이력' 버튼으로 로그 기록을 살펴볼 수 있지만 각각의 수동 검사 설정이 따로 나뉘어 제공
되는 것과 마찬가지로 로그 기록도 위와 같이 각 검사별로 따로 확인할 수 있습니다.

각 로그기록을 더블 클릭하거나 보기 버튼을 클릭하면 세부적인 로그 기록을 확인할 수 있습니다.


(3) 기타 작업 : 마우스 오른쪽 쉘 메뉴 검사와 이동저장장치 검사 등이 설정되어 있습니다.

① 단축 메뉴 검사(마우스 쉘 메뉴 검사)

                                                              기본 설정

                                                            검사 설정

                                                          마우스 쉘 메뉴

참고로 비트디펜더는 파일 실시간 감시와 방화벽의 패킷 감시를 아래와 같이 작은 정보창(활동바로 명칭)을 바탕화면에 띄울 수 있는데, 이 정보창에 검사하고 싶은 파일이나 폴더를 드래그하면 자동으로
위의 단축메뉴 검사가 활성화 됩니다. 

                                                     출처 : 비트디펜더 도움말


② 장치 감지 (이동 저장 장치 감지)

기본적인 설정은 단축메뉴 검사와 동일합니다. 위의 그림과 같이 검사할 이동 저장 장치를 설정할 수
있습니다.


(4) 수동 검사 실행 
수동 검사시에는 Uiscan.exe 프로세스가 로딩되어 구동됩니다. 기본적으로 시스템에 부하를 적게 주는
편이며 '낮은 점유율로 실행' 설정을 하면 시스템 부하는 더욱더 줄어듭니다만 검사 시간은 늘어납니다.

비트디펜더의 수동 검사 속도는 빠르다고는 할 수 없습니다. 특히 압축 파일 검사 설정은 검사 시간을
늘리는 주범인데 전체 검사 설정까지 활성화된 상태에서는 상당히 검사 시간이 증가합니다. 압축파일
지원 및 다중압축파일 검사 기능이 뛰어난 카스퍼스키도 유사한 설정 상태에서 비트디펜더와 비교하면
(초기 검사 - iswift 같은 기능 미적용) 
카스퍼스키가 검사 시간이 좀 더 적게 걸렸 것으로 기억합니다. 
(저의 pc내에 다중 시스템 설치(WoW cd라 불리는 것 같습니다) iso파일이 있어서 비교적 검사 시간이 긴 것 같습니다.)

수동 검사는 검사/처리/완료 등 3 단계로 구성됩니다.

                                                         1 단계 파일 검사 단계
기본적으로 검사는 부트섹터/루트킷 검사/레지스트리 검사/파일 검사 순으로 진행됩니다.

                                                         2단계 악성 코드 처리
검사가 끝난 후 조치 부분입니다. 기본적으로 감염파일(정식 DB, 일부 의심파일)등은 검사 설정에 설정
된 행동 처리대로 자동 처리됩니다.

그러나 의심파일인 경우나 일부 파일 경우 위와 같이 사용자에게 조치를 물어봅니다. 사용자 조치는
아래 같은 구성되어 있는데 상황에 따라 나타나는 조치가 다릅니다.


흥미가 있는 부분은 조치사항 없음으로 표시되는 것인데 이 경우 실행 압축 파일 내부에 있는 파일을
진단한 경우처럼 비트디펜더의 엔진에서 파일을 처리할 수 없을 때 발생합니다.

위와 같이 사용자 처리가 필요한 부분은 다음 항목에서 자세히 다루어 보겠습니다.


                                                 3단계 : 최종 결과 보고

하단의 '로그 파일 보기'를 클릭하면 세부적인 결과를 확인할 수 있습니다.



(5) 실시간 감시/수동 검사시 압축 파일 내부 진단시 팁

실시간 감시에서 언급했 것처럼 비트디펜더는 다양한 포맷의 압축 및 패커 파일의 내부를 진단할 수
있는데, 압축파일 내부에서 진단된 파일을 처리할 때 일부 압축 파일 포맷에서는 처리가 올바르게
이루어지지 않습니다. 

예를 들어 7z 포맷은 내부 파일을 진단할 수는 있지만, 내부 파일 중 진단된 파일만을 비트디펜더가
삭제할 수는 없습니다. 만약 압축파일 내부에 악성코드만이 있다면 치료/삭제 등은 적용되지 않지만
검역소 이동은 가능합니다. 그렇지만 압축파일 자체가 검역소에 격리됩니다. 또한, 압축 파일 내부에
다른 정상적인 파일이 함께 존재할 경우에는 어떠한 조치도 취할 수 없습니다.
이는 다른 정상적인 파일까지 삭제되는 것을 방지 하기 위함으로 보입니다. 

그러나 위와 같은 조치로 인하여 문제가 발생할 때가 있습니다. 예를 들어 7z 포맷이나 다른 압축 포맷
으로 실행 압축되었고 내부에 정상적인 파일도 함께 있는 악성코드 경우,  내부 악성코드가 진단은 되지만 치료/삭제/검역소 이동 등의 처리가 되지 않습니다.
수동 검사 실행 부분에서 언급된 '조치 사항없음'에 해당되는 부분인데 아직 7z 포맷의 플러그인이 완벽
하지않아서 발생하는 문제입니다. 만약 비트디펜더를 사용하면서 메모리에 로딩되거나 다른 프로세스
에 물려있는 것도 아닌데 처리가 안되는 악성코드는 이러한 문제가 아닌가 확인해 보시길 바랍니다.

zip 포맷 경우는 압축 파일 내부의 문제가 되는 파일을 치료/삭제/검역소 이동 하는 것들이 모두 자유롭습니다. 이러한 압축 관련 문제는 카스퍼스키나 에프시큐어를 비롯한 대부분의 보안 제품들에서 압축/패커 관련 모듈로 인해 발생되는 것 같습니다.


- 다음 포스팅으로 넘어갑니다.

반응형