▶ 보안 제품 리뷰/:: AVAST

어베스트(AVAST) 7 예외 설정 및 안전지대(검역소) 사용 방법 (수정 12.06.02)

물여우 2012. 3. 23. 08:35
반응형
어베스트의 제외 설정과 검역소 사용 방법을 살펴보겠습니다.



1. 예외 설정 방법

어베스트의 예외 설정은 진단된 객체(파일) 또는 url 등을 검사에서 제외할 때 사용합니다. 즉, 오진 또는 다른 기타 사유로 어베스트가 특정 객체를 진단, 치료 하는 것을 방지하는 것을 의미합니다.

어베스트의 예외 설정은 기본 환경 설정 상에 존재하는 수동 검사(예약 검사 포함) 예외 설정과 각 실시간 진단 기능마다 구성된 예외 설정으로 나뉘어 있습니다.


1-1. 수동 검사 예외 설정

수동 검사와 예약 검사에 적용되는 예외 설정은 아래의 경로에서 사용할 수 있습니다.

메인 화면 환경 설정 -> 예외 탭

수동 검사 예외 설정 방법은 아래와 같습니다.

'검색' 버튼을 클릭하면 아래와 같이 특정 경로의 폴더를 선택할 수 있는 선택창이 나타납니다.

한 번에 여러 개의 폴더를 선택할 수 있으며, 숨겨진 폴더가 기본적으로 보여집니다. 물론 IE의 임시 폴더의 내부 폴더는 보여지지 않습니다.

문제는 폴더를 선택할 수 있지만 폴더 내의 개별 파일들을 선택할 수 없다는 점입니다. 아주 간단히 구현할 수 있는 부분임에도 구현을 하지 않아 매우 의아한 부분입니다.

물론, 예외를 하고자 하는 파일이 존재하는 폴더를 선택 후 사용자가 직접 해당 파일의 이름을 추가하면 해당 파일을 진단에서 제외할 수 있습니다.


'*'와 같은 정규식도 사용할 수 있긴 합니다.[각주:1]  하지만 선택 창에서 매우 편하게 설정할 수 있는 것을 커맨드라인에서 작업하듯 해야하는지는 의문입니다. 사용자 처리와 함께 매우 뒤떨어진 UI가 아닐 수 없습니다.


1-2 실시간 감시 진단 예외 설정

각 실시간 진단 기능의 개별 예외 설정은 해당 기능의 고급 설정에 존재합니다.
개별 진단 기능 탭 -> 고급 설정 -> 예외 탭
(예외 설정이 있는 개별 진단 기능 - 파일 시스템 감시, 웹 감시, P2P 감시, IM 감시, 스크립트 감시
 행동 감시는 신뢰 프로세스 설정 항목이 예외 설정을 대신합니다.)

파일 시스템 감시와 P2P 감시, IM 감시의 예외 설정은 통합 예외 설정과 동일합니다. 단, 해당 기능에 특화된 예외 항목들이 기본적으로 존재합니다.

P2P 감시에 기본 설정되어 있는 예외 항목들


이런 기본 예외 항목들은 주로 임시 파일과 설정 파일과 관련된 것들로 안정성이 확인되거나 퍼포먼스를 위해 추가된 항목들입니다. 이 파일들이 최종 파일로 합쳐지거나 변경될 때에는 정상적으로 진단 기능에서 감시를 하게 됨으로 굳이 삭제하실 필요는 없습니다.


웹 감시와 스크립트 감시는 통합 예외 설정과 조금 다른데, 해당 기능들은 웹 상의 URL 주소를 제외해야하기 때문입니다.

                         웹 감시 예외 설정                                       스크립트 감시 예외 설정


웹 감시와 스크립트 감시 예외 설정 모두 '예외 적용 URL' 항목이 존재합니다.

이와 별도로 웹 감시 항목에는 웹 상의 특정 확장자 객체를 제외하는 '예외 적용할 MIME' 형식과 웹브라우저 또는 네트워크 연결을 시도하는 특정 프로세스를 감시에서 제외시키는 '제외할 프로세스' 항목이 존재합니다.

MIME 항목은 퍼포먼스를 위해서 설정을 해야할 부분이긴 합니다. 하지만 내부 코드를 보고 파일 포맷을 확인하는 것이 아니라 파일명의 확장자만 가지고 판단합니다. 이 때문에 웹 상에서 유포되는 악성코드가 진단에서 우회되는 경우가 많습니다. 예를 들어 최근 웹 상에서 유포되는 악성코드들이 gif 파일로 위장 후 시스템 내에서 PE 파일로 변경되는 경우처럼 웹 감시에서 진단을 하지 못하는 경우가 발생합니다.

물론 최종적으로 파일 시스템 감시에서 진단이 되기는 합니다만, 앞선 글에서 언급한 것처럼 오류 발생으로 팝업창이 무한히 나타나는 경우가 많아 불편함이 이만 저만이 아닙니다.



2. 바이러스 안전지대 - 검역소


어베스트의 검역소는 바이러스 안전 지대라는 이름을 갖고 있습니다. 검역소는 진단된 객체를 격리시켜 따로 저장시켜두는 공간을 말하며, 검역소에 격리된 악성코드는 활성화되지 않았기 때문에 안전합니다. 검역소는 차후 오진으로 판명될 때 정상 파일을 되돌릴 수 있는 백업 기능이라 보시면 됩니다.

검역소는 아래 경로로 사용할 수 있습니다.

메인 화면 유지 관리 탭 -> 바이러스 안전 지대



검역소에서 아쉬운 점은 진단명 정보가 나타나지 않는 다는 점입니다. 해당 파일이 정식 진단인지 의심 진단인지 PUP진단인지 사용자가 기억해야만 합니다. 로그 기록의 부실함과 더불어 정보 제공 측면에서 어베스트는 매우 부족한 제품이라 생각합니다.


우클릭 메뉴의 '복구'는 진단된 경로로 파일을 다시 되돌려주는 것이고, '추출하기'는 사용자가 임의의 경로로 복구하는 것을 의미합니다. USB 등 원래 경로가 사라질 때 유용합니다. '검사'항목은 DB 업데이트 후 해당 파일이 진단에서 제외되었는지를 확인할 때 유용합니다. 반대로 사용자가 '추가'한 파일이 진단되는 지를 확인할 수도 있습니다.

'바이러스 연구소로 제출'은 의심 파일이나 사용자가 임의로 추가한 파일을 어베스트의 분석실로 직접 보내는 기능입니다.


이메일 주소를 기입하면 나중에 보내진 파일에 대한 정보를 받을 수 있다고 합니다. 참고로 위 창에서 '...' 버튼을 이용해서 검역소에 저장된 파일 외에 시스템에 있는 아무 파일이나 전송할 수 있습니다.


어베스트의 메인 화면 환경 설정에 아래와 같이 검역소와 관련된 설정이 존재합니다.



검역소의 크기와 의심 파일 제출 시 제출 용량을 설정할 수 있습니다.

일반적인 상황에서 위 설정이 크게 문제되는 것은 아닙니다. 하지만 과거 정상적인 특정 PE파일을 무작위로 진단한 오진이 발생했을 때, 검역소의 용량 제한으로 상당수 파일들이 그냥 삭제가 되면서 시스템에 큰 문제를 발생시킨 사례가 있었습니다.

이와 같은 오진이 또 발생할 확률은 적겠으나 만약을 대비한다는 차원에서 무제한 용량을 의미하는 '0'으로 최대 크기를 설정하시는 것을 권장합니다.



끔찍한 수준의 오진을 자주 하면서도 예외 설정이 부실한 것은 정말 이해할 수  없는 일입니다.

번역도 조금 다듬어야할 것이 제외 설정에 대한 제품 상 명칭은 예외 도움말에서는 제외로 표시되어 있습니다. 개인적으로 제외 설정이라고 많이 쓰기도하고, 기능 성격상 예외보다는 제외가 더 맞는 말이어서 제외 설정으로 쓸까 하다가 제품 상에 명시된 명칭을 그대로 사용했습니다.

이래저래 불만족스러운 부분이 많습니다.


- 이상입니다.

  1. 폴더를 제외할 때도 반드시 '*' 정규식을 사용해야 합니다. [본문으로]
반응형