AVAST Internet Security 7 리뷰 (2) - 파일 감시 & 웹 감시 (실시간 진단)

어베스트의 실시간 감시 기능 중에서 악성코드 진단을 위한 기본 기능인 파일 시스템 감시와 웹 감시 기능을 살펴보도록 하겠습니다.

▶  AVAST Internet Security 7 리뷰 모음

- AVAST Internet Security 7 리뷰 (1) - 개요 및 UI
- AVAST Internet Security 7 리뷰 (2) - 파일 감시 & 웹 감시 (실시간 진단)
- AVAST Internet Security 7 리뷰 (3) - 기타 실시간 감시 기능
- AVAST Internet Security 7 리뷰 (4) - 수동 검사, 부팅 검사 (악성코드 진단)
- AVAST Internet Security 7 리뷰 (5) - 방화벽
- AVAST Internet Security 7 리뷰 (6) - 가상 환경 (샌드박스/세이프 존)
- AVAST Internet Security 7 리뷰 (7) - 원격 지원
- AVAST Internet Security 7 리뷰 (8) - 기타 기능 및 일반 설정
- AVAST Internet Security 7 리뷰 (9) - 총 평

---

악성코드와 관련된 어베스트의 실시간 감시는 모두 8개의 기능으로 구성되어 있습니다.

- 파일 시스템 감시
- 메일 감시
- 웹 감시
- P2P 감시
- 메신져 감시 (IM 감시)
- 네트워크 감시
- 행동 감시 

여기서는 파일 시스템 감시와 웹 감시 기능을 살펴보도록 하겠습니다. 

3. 실시간 감시 (Real-time Protection)

실시간 감시의 메인 화면인 '보호 상태'탭의 모습입니다. 한 화면에서 모든 실시간 감시 기능들의 활성화 상태와 진단 정보를 파악할 수 있습니다. 사실 이 화면에서 특정 기능을 선택하면 해당 기능의 상태 화면으로 이동할 수 있습니다. 개인적으로 해당 화면이 메인 화면으로 동작하기 때문에 메인 메뉴에 따로 구성된 실시간 감시 기능 개별적인 메뉴들은 굳이 존재할 필요가 없어 보입니다.

3-1. 파일 시스템 감시

파일 시스템 감시는 로컬 시스템을 방어하는 기본적인 실시간 감시 기능입니다. 시스템의 저장 장치(hdd, sdd)에서 생성/수정/실행 등 특정 파일에 대한 접근 이벤트가 일어날 때, 이를 감지하여 악성코드를 진단하는 기능입니다.

기본적으로 어베스트의 진단 처리 방법은 '자동 처리'입니다. 그러나 리뷰 상에서는 '사용자 처리'를 기준으로 설명하도록 하겠습니다.

(1) 파일 시스템 감시 메인 화면

---

파일 시스템 감시 항목에서는 기본적으로 파일 감시에서 진단할 이벤트 목록(문서를 열 때, 파일 쓰기시)을 설정할 수 있습니다. 그러나 이 항목은 매우 기본적인 것만 설정하는 것으로, 파일 감시와 관련된 고급 서정은 '고급 설정' 에서 조정해야만 합니다.

중앙 부분의 감시 트래픽 창은 현재 감시하고 있는 파일과 진단된 파일의 수를 그래프를 통해 실시간으로 보여주는 정보 항목입니다. 앞서 언급한 것처럼 존재 이유를 잘 모르겠습니다.

하단 부분의 트래픽 기록 보기는 요약 탭의 '통계' 메뉴로 이동하는 버튼입니다. 이는 통계 항목을 다룰 때 자세히 살펴보겠습니다.

그 옆의 '방화벽 로그'는 번역이 잘못된 대표적인 사례로 영문판에서 'Shield Log'로 명명된 '진단 이벤트 기록 보기 기능'입니다.

진단 이벤트 보기에서는 파일 이름과 경로, 위험도, 진단명, 처리 명령, 처리 결과 등의 정보를 볼 수 있습니다. 하단 부분을 보면 오류 항목이 연속적으로 나타나고 있는데, 이 부분은 아래에서 버그 항목을 살펴볼 때 자세히 살펴보도록 하겠습니다. 로그 기록에 시간 표시가 없다는 점, 로그 기록을 개별적으로 삭제할 수 없는 점은 상당히 큰 단점입니다.

참고로 처리 결과에 아무런 정보가 없는 것은 사용자 처리로 처리했을 때 나타납니다. 사용자가 명령한 방법대로 처리되었으나(안전지대 이동), 로그 기록상 처리가 안 된것으로 표시되고 있습니다. 처리가 안 된 것으로 분류되어 있어 로그 상에서 처리 항목을 바꿀 수 있지만, 이를 적용시킬 방법을 찾지는 못했습니다. 물론 처리가 안 되었다 표시되어도 안전 지대로 이동 등 사용자가 지정한 처리 방식으로 실제로는 처리되었기 때문에 걱정할 필요는 없습니다. 사소한 버그인지 UI상 제가 찾지 못한 다른 과정이 있는 것인지 잘 모르겠습니다.


(2) 진단 팝업창

---

아래는 어베스트의 정식 진단 팝업창입니다.

아쉽게도 진단 무시 항목은 없으며, 자동 처리 상태에서는 존재하는 오진 신고 기능도 존재하지 않습니다. 진단 무시 항목이 없는 것이 가장 불편한 점인데, 약간의 꼼수를 사용하면 진단 무시 처리를 할 수 있습니다. 방법은 간단한데 아무런 조치를 취하지 않고 'x'버튼을 눌러 해당 팝업창을 종료하면 됩니다.

설치 초기에 이를 알지 못해서 정상 파일 진단에 대한 제외 처리를 상당히 복잡하게 했습니다.
(※ 검역소 격리 -> 실시간 감시 비활성화 -> 검역소 복구 -> 진단 제외 -> 실시간 감시 활성화)

정식 진단과 달리 PUP 진단이나 의심 진단의 경우 자동 처리 방식에서는 편리하게도 진단 예외 항목이 존재합니다.

하지만 사용자 처리로 설정을 바꿨을 경우, 정식 진단과 동일한 팝업창이 나타납니다. 

진단 예외 항목 또는 진단 무시 항목이 편의성 측면에서 사용자 진단 팝업창에 추가되었으면 합니다. 추가적으로 팝업창을 처리 과정없이 그냥 종료할 때에는 진단을 무시할 것이 아니라 자동 처리(검역소 이동 등)되는 것으로 UI를 수정하면 좋을 듯 합니다.


(3) 환경 설정

---

파일 감시의 환경 설정은 크게 4부분으로 나뉘어 있고, 추가적으로 자동 샌드박스에 관한 설정이 포함되어 있습니다. 자동 샌드박스는 관련 항목들과 더불어 나중에 따로 다루겠습니다.

1. 검사 설정 : 실시간 감시의 방식, 민감도 등의 항목들을 설정합니다.
2. 처리 방식 설정 : 진단된 객체의 처리 방식을 설정합니다.
3. 예외 설정 : 실시간 감시에서 제외할 항목들을 설정합니다. 
4. 보고서 설정 : 진단 목록 및 기타 이벤트 로그에 대한 보고서 관련 설정

5. 자동 샌드박스 기능 설정

예외 설정이나 보고서 설정은 다른 감시 항목들과 동일하기 때문에 여기서만 설명합니다.


① 검사 설정

---

검사 설정 중 실시간 검사 방식에 관한 설정은 아래와 같습니다.

'실행시, 파일을 열 때, 파일을 쓸 때, 외부 저장 장치 연결시 검사' 항목 등 4개 항목으로 구성되어 있습니다. 기본적으로 실시간 감시 하에서 반드시 필요한 항목들이기 때문에 가급적 모든 항목에 체크하는 것을 권장합니다.

재밌는 점은 해당 항목들이 모두 미체크되어 비활성화되어 있어도 파일의 새로운 생성 및 수정, 실행 시에 진단을 한다는 점입니다. 단순 버그인지, 탐색기를 통한 파일 접근은 또 다른 것인지, 아니면 exe 파일 등 특정 포맷 파일은 저 설정에서 제외되는 것인지는 알 수 없었습니다. 분명한 것은 보이는 설정과 실제 동작이 다르다는 점입니다.

또 하나 파일을 열고 쓸 때 항목들을 보면, '모든 파일 검사'가 있습니다. 쉽게 말해 포맷 확장자 구분없이 모든 파일을 검사한다는 설정인데, 중앙 부분의 '사용자 지정' 검사를 체크해도 모든 파일 검사가 체크되면 모든 파일을 검사합니다. 사용자 지정 검사를 할 때에는 모든 파일 항목이 비활성화되던가, 반대로 모든 파일 체크시에 사용자 지정 검사 부분이 비활성화 되는 등의 UI 개선이 필요해 보입니다.


다음 검사 설정인  '고급' 설정은 주로 퍼포먼스와 관련된 설정입니다.

1. 확인된 시스템 dll을 검사하지 않습니다.  - 사용 비추천
  - 시스템 파일 등 OS 관련 시스템을 검사하지 않습니다.
2. 임시 캐시 사용
  - 검사시 정상 파일로 등록된 경우 다음 검사부터 제외되서 검사 속도, 시스템 리소스 사용을 줄임
3. 임시 캐시 사용  - 사용 비추천
  - 유요한 디지털 인증을 갖고 있는 경구 검사에서 제외ㆍ특징/설명

1번의 경우 검증된 시스템 파일의 경우 검사를 하지 않는 설정입니다. 사용 비추천의 이유는 최근 악성코드들이 시스템 라이브러리 파일을 변경하는 경우가 많기 때문입니다. 물론, 현재 유포되는 악성코드들이 변경한 파일들은 어베스트에서도 진단됩니다. 다만 파일 자체를 비교하는 것이 아닌 일부 정보만 갖고 비교하기 때문에 시스템 파일 변조가 좀 더 정교해질 경우 진단이 우회될 수 있기 때문에 사용을 비추천하는 것입니다. 3번은 1번과 마찬가지로 가짜 디지털 인증 등 악성 코드의 진단 우회 문제로 사용을 비추천합니다.

다음은 압축 파일 검사 설정입니다. 이 항목은 시스템 퍼포먼스에 상당히 큰 영향을 주기 때문에 기본 설정을 권장합니다. 특히 처리 과정에서 버그가 있기 때문에, 가급적 어베스트를 통한 압축 파일 내 검사는 피하는 것이 좋다 생각합니다.

검사 설정의 마지막 '감도' 설정은 휴리스틱 관련 설정입니다.

휴리스틱 항목은 일반 휴리스틱과 코드 에뮬레이션 항목 두 가지가 존재합니다. 일반 휴리스틱은 3단계로 구성됩니다. 휴리스틱 민감도가 올라갈수록 진단율은 올라가겠으나, 오진율도 증가합니다.

전체 파일 검사는 파일 용량이 큰 파일의 검사를 용량이 작은 일반 파일과 동일하게 검사하는 방식인데, 약간의 시스템 퍼포먼스 감소 효과(특정 파일 접근 시 딜레이가 발생)가 있습니다. 그러나 최근 악성코드들이 큰 용량의 파일을 생성하여 진단을 우회하려는 시도를 하기 때문에 체크하기를 권장합니다.

'PUP 및 의심 파일' 항목은 애드웨어 등 PUP 관련 항목들을 추가로 검사하기 위한 설정입니다. 

② 처리 방식 설정

---

 

처리 탭은 정식 진단, PUP 진단, 의심 진단 등 3 가지 탭으로 구성되어 있으며, 처리 과정이 3차 과정으로 구성 것은 동일합니다. 기본적으로 1차 과정에서 '질문'을 선택해야 사용자 처리 팝업창을 사용할 수 있습니다.

감염된 압축 파일의 기본 설정인 '압축 파일에서 압축된 파일만을 제거;실패시 아무 처리 안함'을 선택해도 현재 압축 파일 자체가 삭제가 되는 버그가 있습니다. 따라서 압축 파일 내의 악성코드가 진단된 경우 진단 처리에 주의하시기 바랍니다. 또한 5버전에 존재하던 7z 포맷 관련 버그가 아직도 존재하는데, 이는 아래에서 따로 다루겠습니다.

악성코드 종류별로 처리 과정을 따로 구성할 수 있다는 점은 장점이라고 봅니다.


③ 제외 설정 - 예외

---

제외 설정은 나중에 따로 다루겠습니다.


④ 보고서 파일 설정

---

앞서 언급한 로그 기록 보기와 관련된 설정입니다. 사실 앞서 살펴본 로그 기록외에 세부적인 로그 기록은 따로 저장됩니다. 문제는 해당 로그를 어베스트 UI내에서 직접 살펴볼 수 없다는 점입니다. 왜 이런 UI상의 설계 오류가 존재하는지 잘 모르겠습니다.

세부 로그가 저장되는 경로는 아래와 같습니다.

- Windows 2000/XP
  C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\report
- Windows Vista or Windows 7
  C:\ProgramData\AVAST Software\Avast\report

3-2 웹 감시

(1) 웹 감시 메인 화면

---

기본적으로 파일 시스템 감시와 동일한 UI를 갖고 있으며, 트래픽 상태창의 존재와 방화벽 로그 등 잘못 번역된 부분도 동일합니다.


(2) 진단 팝업창

---

                          자동 처리창                                                 사용자 처리창

파일 시스템 감시와 마찬가지로 사용자 처리 항목에서 진단 무시 항목이 없습니다. 무시를 하려면 그냥 팝업창을 닫아야합니다.

웹 감시에서는 7버전들어 처음 도입된 클라우드 평판 기능을 활용할 수 있습니다. 사용자가 매우 적을 파일을 다운받을 경우 아래와 같이 위험 경고가 표시되며 사용자는 다운로드 완료 또는 연결 차단을 선택할 수 있습니다. 

해당 기능을 테스트해본 결과, 말그대로 사용자 평판 정보만을 사용하는 것 같습니다. 즉, 평판 정보는 어베스트의 자체 분석 정보와 연동되지 않고, 사용자 수의 유무에 따라서만 나타난다 볼 수 있습니다. 일례로 이미 오래전부터 진단하고 있는 악성코드라 할지라도 사용자 수가 적으면(평판 목록에 없으면) 위 평판 경고 창이 나타납니다.

(3) 환경 설정

---

웹 감시 기본 설정은 아래와 같습니다.

평판 검사와 다운 도중에 패킷을 검사하는 '인텔리전트 스트림 검사 사용' 항목이 존재합니다. 인텔리전트 검사를 해제하면 다운 완료 후에 검사합니다.

웹 검사 항목은 검사할 파일 종류를 선택합니다.

어베스트의 웹 감시 기능은 타 제품에 비해 상대적으로 효율이 좋아서 모든 파일을 검사하더라도 웹서핑이나 다운로드 속도에 큰 영향을 주지는 않습니다.

3-3. 파일 시스템 감시 및 웹 감시 버그

앞서 언급한 단점과 버그 외에 다소 치명적인 버그 2개를 리뷰 중에 확인할 수 있었습니다.


(1) 웹 감시 종료 시 나타나는 파일 시스템 감시의 진단 오류

---

이 오류는 웹 감시가 비활성화된 상태에서 감연된 사이트에 접속시 감염 페이지(html)을 정상적으로 진단하는지를 확인하기 위해 테스트에서 발견한 것입니다.

제가 생각하기에 감염된 웹에 접속해서 임시 폴더에 감염된 스크립트가 다운될 때, 파일 시스템 감시에서이를 정상적으로 진단, 처리해야합니다. 여기서 정상적으로 진단했다는 의미는 웹 접속이 실질적으로 차단이 되어야한다는 점입니다. 접속해야할 페이지의 파일이 처리(삭제)되기 때문입니다.

그런데 어베스트 7에서는 진단과 처리가 된 것으로 표시되나 해당 페이지에 접속이 되버립니다. 아래 동영상을 보시겠습니다. 아래 동영상의 감염된 페이지는 최근 자주 사용되는 자바 취약점을 이용한 중간 숙주 주소이며, 정상적으로 접속이 되고 시스템에 자바가 없을 경우 자바 관련 팝업창을 띄웁니다.

아래 동영상의 테스트는 XP3, IE8 환경에서 수행되었으며, 자바는 설치되지 않았습니다. 어베스트 설정은 웹 감시는 종료, 파일 시스템 감시는 모두 사용중, 사용자 처리(질문)입니다.



웹 감시가 활성화된 상태에서는 정상적으로 차단이되며, PE 형태의 악성코드 다운로드시에는 파일 감시에서도 정상적으로 진단이 됩니다.


(2) 사용자 처리 선택 버그

---

이 버그는 임의적으로 발생하지만 치명적인 버그로, 5버전에서도 비슷한 버그가 존재했습니다. 아래 글 하단 부분을 참고 바랍니다.

- 뛰어난 무료 보안 제품 "어베스트 : AVAST 5 Free Antivirus" 간략 리뷰 (1)

해당 버그는 사용자 처리 설정 상태에서 특정 상황 시 파일 시스템 감시가 악성코드를 진단했을 때 진단 팝업창이 무한 반복되어 나타나는 현상입니다. 이때 진단 이벤트는 발생하여 로그 기록은 쌓이지만, 검역소에는 저장이 안 되는 것을 확인할 수 있습니다.

해당 버그나 나타나는 특정 상황은 매우 다양합니다. 웹에서 다운받을 때, 압축 파일 내부를 검사할 때, 압축을 풀 때, 파일에 단순 접근 또는 복사했을 때 등 매우 다양한 상황에서 나타납니다.

이 오류는 로그 기록에서 아래와 같이 나타납니다.

로그 기록 상으로는 다른 프로세스가 파일을 사용 중이라고 하지만, 윈도 탐색기나 압축 프로그램, IE 등의 프로그램에서 파일에 접근, 해제 및 압축, 다운로드를 할 때 나타나는 현상입니다. 즉 매우 정상적인 환경에서 나타나는 문제입니다.

아래 동영상을 참고 바랍니다.


이런 버그가 발생했을 때, 탐색기나 기타 오류와 관련된 프로세스의 경우 아래와 같이 '응답 없음' 상태로 빠지게 됩니다. 위 동영상에서는 중간에 압축 파일을 열 때 추가적인 진단이 발생하면서 오류 진단을 없앨 수 있었지만, 일반적인 경우에는 재부팅을 하거나 어베스트의 자기 보호 기능을 종료 후 어베스트 프로세스를 강제로 종료해야만 오류 팝업을 제거할 수 있습니다.

유독 사용자 처리 설정과 관계된 버그가 이전 버전부터 존재하는데, 빠른 개선이 필요하다고 봅니다.

---

어베스트의 가장 기본적인 방어 기능인 파일 시스템 감시와 웹 감시를 살펴봤습니다.

취향상 사용자 처리와 로그 기록이 세부적으로 구성되는 것을 좋아하는데, 어베스트는 유독 사용자 처리와 관련된 버그나 단점이 많고 로그 기록까지 부실해서 개인적으로 많이 불편했습니다. UI 자체는 상당히 깔끔하고 이쁜데(진단시 알림음의 여성분 목소리도 좋습니다!!), 기본적인 항목이 다소 허술하다 생각됩니다.



- 이상입니다.