▶ 보안 제품 리뷰/:: AVAST

AVAST Internet Security 7 리뷰 (3) - 기타 실시간 감시 기능

물여우 2012. 3. 10. 08:30
반응형

행동 감시 외 나머지 5가지 실시간 감시 기능을 살펴보도록 하겠습니다.



어베스트의 실시간 감시 기능은 모두 8개입니다. 이전에 살펴본 파일 시스템 감시와 웹 감시를 제외한 나머지 기능등을 살펴보도록 하겠습니다.

- 파일 시스템 감시
- 메일 감시
- 웹 감시

- P2P 감시
- 메신져 감시 (IM 감시)
- 네트워크 감시
- 행동 감시 


고급 환경 설정 중 설명하지 않는 항목은 파일 시스템 감시와 동일한 항목으로 리뷰 2번째 글을 참고 바랍니다. 

3-4. 네트워크 감시

네트워크 감시는 nIPS 기능과 악성 사이트 차단 기능을 담당합니다. 따라서 웜 등 네트워크를 이용하여 침입하는 시스템 공격을 차단하며, 어베스트에서 분석한 악성 사이트로의 접속을 차단합니다. 

일반적으로 nIPS 기능은 방화벽과 함께 구성되고 악성 사이트 차단 기능은 웹감시 기능에 포함되는 경우가 대부분이지만, 어베스트에서는 네트워크 감시에서 통합되어 구성되어 있습니다. 덕분에인바운드 트래픽만 감시하는 웹 감시와 달리 아웃/인바운드 연결을 모두 감시하기 때문에, 방화벽을 우회하여 특정 주소(악성 사이트로 판명된)로 접속을 시도되는 악성코드의 외부 연결을 차단할 수도 있습니다.


아래는 네트워크 감시가 악성 사이트를 차단하는 모습입니다.

네트워크 감시 진단창

 

네트워크 감시 기능의 문제는 파일 시스템 감시와 달리 로그 기록 보기가 없다는 점입니다. 그래서 진단된 사이트의 정보를 팝업창에서만 알수 있으며, 팝업창을 닫고 나면 정보를 얻을 수가 없습니다. 또한, 사용자 처리 설정이 없어 진단된 주소는 무조건 차단되어야 합니다.

리뷰 중에서는 아직 해당 기능으로 오진이 발생한 경우는 없지만, ESET등 외국 제품들의 오진 사례를 비추어볼 때 진단 처리에 관한 로그 기록과 사용자 처리 설정이 없다는 점은 매우 큰 단점으로 여겨집니다.


3-5. 행동 감시

어베스트에서 유일한 행동 기반 진단 기능인 행동 감시는 악성코드가 주로 사용하는 특정 이벤트가 발생시 이를 진단, 차단하는 기능입니다.


역시 네트워크 감시와 마찬가지로 로그 기록 보기를 따로 제공해주지 않습니다. 그러나 설정상 사용자 처리 설정이 가능해서 진단시 아래와 같은 팝업창을 보여줍니다.

허용과 거부는 재부팅 전까지 해당 프로세스의 동작을 허용 또는 거부하는 항목입니다. 정상적인 프로그램인 경우 '허용하고 신뢰할 수 있는 프로그램에 추가'를 선택하고, 악성코드로 의심되는 경우 '삭제 또는 안전지대로 이동'을 선택하시기 바랍니다.


행동 감시의 고급 설정은 아래와 같습니다.

 

신뢰할 수 있는 프로세스를 사용자가 직접 추가할 수도 있습니다.

가급적 처리 방식은 '질문'을 선택하길 바랍니다. 자동으로 선택 시 답답할 정도로 어지간한 경우가 아니면 진단을 하지 않습니다. 


3-6. 스크립트 감시

웹브라우저 등에서 실행하는 특정 스크립트를 감시하는 기능입니다. 웹방어나 파일 시스템 감시의 DB와는 약간 다른 DB를 갖고 있는 것으로 알려져있습니다.

 

고급 설정은 아래와 같습니다.

IE와 파이어폭스, 크롬 등 주요 웹브라우저와 Adobe Reader 등 주요 악성 스크립트 공격 대상 프로그램을 감시하고 있습니다. 웹마같은 IE 기반 브라우저 등도 검사가 가능합니다. 

어지간한 스크립트 코드는 웹방어에서 진단하기 때문에 스크립트 감시에서는 특별한 스크립트만 진단하도록 구성되었기 때문인지는 몰라도 행동감시처럼 진단하는 경우가 정말 드뭅니다.


3-7. P2P 감시

어베스트의 웹 감시는 웹브라우저처럼 특정 포트를 사용하는 프로그램만을 감시합니다. 따라서 토렌트와 같은 p2p 프로그램에서 다운받는 파일은 파일 시스템 감시에서 진단을 해야합니다. 

파일 시스템 감시는 최종 방어 수단이기 때문에, 보안 수준을 높이기 위해 P2P 관련 프로그램을 전용으로 감시하는 기능이 바로 P2P 감시 기능입니다.


고급 설정은 아래와 같습니다.


매우 많은 수의 P2P 프로그램을 감시할 수 있습니다.

그런데 위의 그림에서와 같이 기본 설정 상태에서 'utorrent' 프로그램은 감시를 하지않고 있는 것을 확인할 수 있습니다. 제가 알기로 가장 많은 사용자를 가진 토렌트 프로그램인 'utorrent'의 감시가 해제된 것은 우습게도 시스템 퍼포먼스 때문으로 보입니다.

해당 기능은 웹 감시처럼 스트리밍 트래픽을 감시합니다. 토렌트 특성상 많은 수의 데이터가 지속적으로 출입하는데, P2P 감시에서 이를 감시할 경우 속도 감소는 물론 시스템 리소스 사용율이 증가하기 때문입니다.

웹사이트 접속과 달리 해당 프로그램 자체로 공격을 하는 경우는 현재 없을 뿐더러 다운로드가 완료된 파일은 파일 시스템 감시에서도 충분히 진단이 가능함으로 개인적으로 아래 다룰 IM 감시와 P2P감시는 굳이 설치할 필요가 없다 생각합니다.


3-8. IM 감시

IM 감시는 쉽게 말해 메신져 프로그램을 감시하는 기능입니다. 앞서 설명한 P2P 감시와 마찬가지로 웹방어로 감시 못하는 메신져 프로그램을 진단합니다.

고급 환경 설정은 아래와 같습니다.

국내에서 많이 사용되는 네이트온과 마이피플과 같은 프로그램은 진단을 하지 않습니다. 역시 다운로드되는 파일이나 링크된 사이트는 파일 시스템 감시와 웹방어에서 진단이 가능하기 때문에 외국 메신져 프로그램을 많이 사용하는 사용자가 아닌 이상, 굳이 설치할 필요가 없는 기능입니다.


3-9. 메일 감시


메일 감시는 메일 클라이언트 프로그램의 첨부 파일 등을 검사하는 기능입니다. 웹 메일을 주로 사용하는 경우 역시 설치할 필요가 없습니다.



아래는 고급 설정입니다. 수발신 메일 검사 및 SSL 연결 메일 감시 등을 설정할 수 있습니다.





개인적으로 '자동' 상태에서 행동 감시의 진단 팝업창을 보기 위해 100여개의 악성코드를 실행시켜봤는데 결과는 'Fail' 이었습니다. 나름 종류도 다양하고 시기적으로도 예전 및 최근에 유포된 악성코드들로 테스트한 것이었으나 모두 실패를 했습니다. 진단만 놓고 보면 노턴의 소나 기능과 상당히 비교되는 것 같습니다. 기능 자체가 HIPS 기능을 기반으로 해서 단일 이벤트에 대해 반응하고 오진 문제 때문에 민감도를 조절한 것인지는 몰라도 자동 상태의 진단은 너무 부실합니다. 시그니처 진단과 달리 오진 문제가 상당히 치명적인 행동 기반 진단이긴 합니다만 이리 진단율이 적어서야 의미가 없다 생각합니다.

개인적으로 P2P 감시나 IM감시같은 기능보다는 페이스북과 트위터 등에서 많이 사용되는 단축 URL을 접속 전에 검사할 수 있는 기능이 필요하다고 봅니다. 특히나 P2P감시는 시스템 리소스 사용이 상당히 큰 것 같던데, 퍼포먼스를 희생하고 사용할만한 기능은 아닌 것 같습니다. IE 등에 툴바 형식으로 제공되는 웹평판 기능에 단축 URL 검사 기능이 포함되면 괜찮을 것 같은데, 좀 더 두고봐야할 듯 합니다.


- 이상입니다.
반응형