▶ 보안 제품 리뷰/:: Kaspersky

Kaspersky Internet Security 2012 리뷰 (5) - 수동 검사 (악성코드 진단)

물여우 2011. 11. 4. 08:30
반응형
 카스퍼스키의 수동 검사를 살펴보도록 하겠습니다.



5. 수동 검사 (Scan)

실시간으로 시스템을 감시, 악성코드를 진단하는 실시간 감시와 달리 수동 검사는 사용자 또는 예약 작업에 의해서 시스템을 검사하는 기능입니다. 여러 가지 검사 방법을 제공하지만 전체 검사의 경우 루트킷 검사 등이 추가되어 있고, 진단 민감도가 높게 설정되는 등 실시간 감시보다 더 강력한 진단 성능을 보여줄 때가 많습니다.

카스퍼스키의 수동 검사는 아래와 같이 구성되어 있습니다.

ㆍFull Scan (시스템 전체 검사) : 전체 시스템을 모든 검사 기능을 사용하여 검사합니다.
ㆍCritical Area Scan (빠른 검사) : 시스템 주요 항목을 검사합니다.
ㆍVulnerability Scan (시스템 취약점 검사) : 시스템의 취약점을 검사, 위험한 시스템 설정이나 낮
                                                               은 프로그램 버전, 보안 패치 미설치 등을 검사
ㆍCustom Scan (사용자 지정 검사) : 사용자가 직접 검사할 경로와 진단 민감도를 설정
ㆍContext menu Scan (우클릭 메뉴 검사) : 특정 파일, 폴더를 지정 후 우클릭 메뉴를 통해 검사

 
5-1. 수동 검사 사용법

수동 검사는 아래와 같이 메인 화면의 노란색 박스를 클릭하여 진행합니다.

"Scan" 버튼을 클릭하면 아래와 같이 수동 검사 화면이 나타납니다. 앞서 이야기한 검사 기능들이 보이고 있습니다. 사용자 지정 검사의 경우 해당 부분에 마우스로 검사하고자 하는 파일이나 폴더를 끌어오면 자동으로 검사가 진행됩니다. 저에겐 우클릭 검사가 조금 더 편하지만 위젯을 이용하는 경우에는 UX면에서 조금 더 편할 것 같습니다.


위 항목 중 하나를 선택하여 "" 이 화살표를 클릭하면 수동 검사가 진행됩니다. 수동 검사 진행 화면은 메인 화면과 함께 "Task Manager"에서 볼 수 있습니다.


앞선 글에서 설명한 것처럼 태스크 매니저는 수동 검사(예약 검사 포함)의 진행 과정과 검사가 끝난 항목들의 결과 정보를 표시하고 있습니다.

악성코드가 진단될 경우 자동 처리의 경우 진단 팝업 및 처리 팝업이 나타나기만 하며, 사용자 처리의 경우 실시간 감시와 동일한 형태의 진단 처리 팝업창이 나타납니다.

                자동 처리 시 결과 팝업창                                        사용자 처리 시 팝업창


참고로 취약점 검사는 진단 결과가 아래와 같이 나타납니다. 이를 보기 위해서는 메인 화면의 "Detected vulnerability" 버튼을 클릭합니다.

 


다행히 제 시스템에서는 자동 실행 관련한 문제 말고는 큰 문제가 없습니다.


▶ 수동 검사 후 시스템 종료 방법


2012에서도 수동 검사 후 '시스템 종료'를 비롯한 다양한 후속 처리가 가능합니다. 단, 이러한 후속 처리는 "전체 검사 - Full Scan"에서만 가능합니다. 전체 검사를 실행시키면 태스크 매니저에 아래와 같은 후속 처리 기능이 생깁니다.


ㆍKeep the computer turned on : 검사 후 시스템 켠 상태로 유지
ㆍShut down the computer : 검사 후 시스템 종료
ㆍSwitch the computer to stanby mode : 검사 후 대기 모드로 전환
ㆍSwitch the computer to sleep mode : 검사 후 수면 모드로 전환
ㆍReboot the computer  : 검사 후 시스템 재부팅


5-2. 환경 설정

(1) 일반 설정


환경 설정의 두 번째 탭 메뉴가 수동 검사 환경 설정입니다. 아래는 일반 설정(General settings)입니다.


2010버전에서 아주 나쁜 편을 받은 예약 검사(idle 상태 검사, 자동 루트킷 검사)를 사용자가 비활성화시킬 수 있도록 구성된 점이 먼저 눈에 띕니다. 루트킷 검사의 경우 이전과는 달리 시스템 퍼포먼스를 크게 잡아 먹는 것은 아니지만 그래도 영향을 안 주는 것은 아니기에 저는 꺼두고 있습니다.

이동 저장 장치 검사는 usb 등을 연결 시 수동 검사를 진행하는 것을 의미하는데, 사용자 검사 결정 선택시 usb를 연결했을 때 아래와 같이 팝업창을 보여줍니다.

"Always perform in such cases"를 선택하면 동일한 usb는 지정된 검사를 자동으로 수행하거나 검사를 안 하게 됩니다.

바탕화면 아이콘 생성 기능은 아래와 같은 아이콘을 생성시키며, 아이콘 클릭시 해당 검사를 진행하게 됩니다.


(2) 검사 설정


수동 검사의 환경 설정 부분은 파일 감시와 거의 유사합니다. 루트킷이나 예약 검사 항목이 다를 뿐입니다. 따라서 리뷰 모음의 파일 감시 부분을 참고 바랍니다.


파일 감시와 동일하되 하단 부분에 실행 환경과 검사할 항목 설정 부분이 따로 존재합니다. 하지만 이 부분은 "Setting" 버튼을 클릭하여 진입하는 세부 설정 항목에서도 수정이 가능합니다.

참고로 사용자 처리에서는 "Action on threat detection" 항목이 아래와 같이 나타납니다.


아래는 세부 설정 모습입니다.

일반 설정


검사 경로 항목은 검사할 파일 종류와 최적화, 압축 파일 등에 대한 설정이 존재합니다.

최적화 항목에는 파일 크기가 커서 검사 시간이 정해진 시간보다 커질 경우 검사에서 제외하는 설정이 존재하며, 압축파일 항목에서도 새로운(new) 파일만 검사하기가 추가되어 있습니다.


추가 설정(Additional)에서는 루트킷 검사와 더욱 심도있게 검사하는 고급 루트킷 검사 항목이 존재합니다.

검사 환경(Run mode) 설정에서는, 수동 검사를 진행하는 방법을 설정할 수 있습니다.

수동 실행(Manually), 예약 실행(By schedule)을 각각 선택합니다.


암호로 보호된 압축 파일 검사 하기는 아래와 같이 암호가 걸린 압축 파일을 검사할 때 사용자가 암호를 입력하다록 하게 합니다.

이와 별개로 암호화된 이중 압축된 파일에 대한 진단은 2012에 대해서도 여전한 것 같습니다.

이에 대한 것은 제대로 설명한 것은 아니지만 이전에 작성한 의 하단 부분의 덧말을 참고 바랍니다.

참고로 파일 감시와 수동 검사, 사전 방역, 시스템 감시기 등의 기능을 사용할 때 고급 치료 과정을 사용할 수 있습니다. 이는 아래와 같은 팝업창을 동반하며, 재부팅 과정이 반드시 필요합니다. 고급 치료 과정에는 Roll&Back(완전 복구) 기능이 포함되어 있습니다.

고급 치료 과정 팝업창





수동 검사시에 중요한 성능 지수인 검사 속도는 빠른 편은 아니어서 제 기준으로 약간 느린 속도로 보입니다. 그러나 검사 시에 사용하는 시스템 리소스 사용이 큰 편이 아니라서, 간단한 문서 작업이나 동영상 시청 등은 무리없이 할 수 있었습니다. 제품 자체가 가볍고 검사 속도가 빨라도 리소스 사용이 커서 검사시에 다른 작업을 하기가 어려운 제품은 개인적으로 별로라 생각합니다.


개인적으로 수동 검사는 변경된 파일만 검사하는 것이 아니라 모든 파일을 검사하도록 설정하고 있습니다. 실시간 감시는 퍼포먼스 문제로 변경된 파일만 검사하지만, 수동 검사는 말 그대로 최후의 보루이자 시스템을 구석구석 가장 민감하게 검사할 수 있는 기능입니다. 가급적 검사 강도는 높이고 검사 경로는 모든 항목을 검사하도록 설정하는 것이 좋습니다.

마지막으로 시스템 자동 종료 기능이 전체 검사에서만 가능하다는 점이 다소 아쉽습니다. 개인적으로는 사용자 처리 검사를 주로 사용하는데, 자동 종료를 시킬 방법이 전혀 없더군요. 이 부분은 UI가 변화되기를 바랍니다.


- 이상입니다.
반응형