반응형
오늘은 카스퍼스키의 3번째 포스팅인 부분별 기능 소개 및 장단점 (part 2)를 써보겠습니다.
필자는 보안 전문가가 아니며 해당 프로그램에 대한 기술적인 지식이 없기에 이 글에 오류가 있을 수
있습니다. 오류가 있을 시 주저말고 알려주시기 바랍니다. ^^
2-4 Online Security
Online Security 기능은 악성코드를 예방하는 기능이 아니라 사회공학적인 악성행위(피싱/다이얼러)나
외부네트워크를 통한 공격을 차단하는 기능입니다.
위의 스샷에서 3부분으로 구분한 것에 따라 설명하도록 하겠습니다.
(1) 주요 기능
① Anti-Phisging : 웹트래픽 기능과 동일하게 포트 감시를 통해 피싱 사이트를차단합니다.
최근에 피싱과 같은 소위 '사회공학적 범죄'가 악성코드의 유포만큼이나 큰 문제가 되고 있습니다. 따라서 이런 안티 피싱같은 기능은 대부분의 보안 제품에 포함되고 있습니다. 보통 시그니처(url등)를 이용한
블랙리스트를 기반으로 웹서핑을 통하거나 링크를 통해 연결되는 피싱 사이트를 차단단하는 방식을 쓰는데 이는 전통적인 시그니처 기반 악성코드 탐지 방식처럼 한계가 분명히 존재합니다. 카스퍼스키도 마찬가지여서 현재(11/20) 약 만삼천여개의 블랙 리스트를 보유 중이지만 피싱에서 사용자를 완벽하게 보호할 수는 없습니다. 따라서 활성화는 시켜두되 이를 전적으로 신뢰하지는 마시기 바랍니다.
역시 위 스샷처럼 On-line Security 화면에서 기록보기, 활성/비활성, 설정 조정이 가능합니다.
② Network Attack Blocker : 역시 포트 감시를 통해 외부 네트워크에서 행해지는 공격에서 사용자의 피시를 보호하는 기능입니다. 웜이나 기타 취약점 분석기 등을 통한 취약점 공격 또는 해킹된 웹사이트에서 이루어지는 취약점 공격을 방어하는 기능입니다.
안랩의 V3나 노턴 등 많은 제품에 포함되어 있습니다.
이러한 패킷 감시를 통한 네트워크 공격 패턴을 감지하는 기능을 nIDS(Network Intrusion Detection System)라 부릅니다. 일반적으로 Firewall(방화벽)과 연동하여서 패킷 감시를 통해 공격이 탐지되면 방화벽의 규칙을 생성하여 공격을 차단하는 방식입니다. 이보다 진일보한 기능으로는 nIPS(network Intrusion Protection System)가 있는습니다. 이는 nIDS와 Firewall이 통합되어진 기능으로 보면 됩니다.
nIPS 같은 기술이 보안 제품에 추가되는 이유는 일반적으로 방화벽은 네트워크 공격에 대한 방어에 한계가 존재하기 때문입니다. 간단하게 생각하면 방화벽은 기본적으로 이미 정해진 규칙을 이용해 패킷을 필터링 한후 이에 대해allow/block을 정해주는 문지기와 같습니다. 따라서 사용자가 방화벽의 접근통제 규칙을 잘못 만들었을 경우, 방화벽 자체가 공격 당하는 경우, 일반적으로 허용된 서비스 포트(80 등)를 이용한 공격에 기본적인 방화벽은 무용지물이 될 가능성이 존재합니다.
물론 nIPS 같은 기술은 규모가 기업 등에서 사용하는 하드웨어로 구성된 IPS나 UTM 장비 등에 구현되어있고 개인 사용자들이 사용하는 일반 보안제품에는 그 기능의 일부가 들어있을 뿐입니다.
(필자의 지식적인 한계로 여기까지 설명합니다. 좀 더 전문적인 정보를 알고계신 분이 있다면 정보공유부탁드립니다. ^^)
개인 사용자에게 입자에서 본다면 위 기능이 굳이 필요 없어 보일 수도 있습니다. 왜냐하면 이미
'알려진' 패턴(취약점 공격 등)만을 감지/차단할 수 있기 때문입니다. 그럼에도 불구하고 이 기능이 권장되는 이유는 다음과 같습니다.
MS 등에서 발표되는 취약점 업데이트가 발표된지 몇 시간 안에 크래커에 의해 그 취약점을 이용한 공격법이 나오게 됩니다. 이른바 'Zero Day Attack'인데 일반적으로 사용자의 보안 업데이트가 이루어지는 시점보다 빠르게 공격이 이루어집니다. 따라서 nIPS 기능을 사용하면 보안업데이트의 설치가 늦어진다고해도 이러한 제로데이 공격을 차단하는 것이 가능합니다. 물론 완전히 새로운 방식의 공격 패턴은 막을 수 없지만 취약점 내용은 달라도 이를 이용한 공격방법은 비슷한 패턴을 가지는 경우가 많다고 하기 때문에 충분한 사용가치가 있습니다.
(시스템 리소스 점유가 크지 않다면, 많은 기능이 있을 수록 좋겠죠 ^^;)
Total 0 (숫자는 지금까지 차단한 공격 수를 의미)를 클릭하면 위와 같은 스샷이 나오는데 차단한 공격에 대한 정보를 볼 수 있습니다. 빨간 박스는 감지된 공격을 감행한 IP에서의 연결을 차단하는 시간을 정하는 것입니다. 왼쪽 체크박스에 체크를 하고 60으로 맞추어두면 공격이 시작되어 차단된 후 60분 동안은 공격을 감행한 IP의 어떤 연결도 차단이 됩니다.
③ Anti-Dialer : 특정 웹사이트에서 서비스를 이용하는데 고가의 사용요금이 물리는 PC 통신 전화번호를 사용하게 하여 사용자에게 피해를 입히는 Dialer를 차단하는 기능입니다. 국내에서는 거의 없어진 공격이라 생각하면 되고 간혹 외국에서 아직까지 모뎀을 이용한 PC 통신이 존재하는 나라에서 필요한 기능입니다. Dialer 기능을 가진 악성코드는 파일 감지 기능에서 탐지하고 여기서는 모뎀에 연결되는 특정 번호를 차단하는 방식입니다.
0(total 0)를 클릭하면 위 스샷처럼 특정 번호에 대한 제외 설정을 할 수 있습니다. Add를 클릭하여 아래 스샷의 화면에 전화번호를 기입하면 됩니다.
(2) 부가 기능
① Virtual Keyboard : 이번 버전부터 추가된 기능으로 마우스를 이용한 가상화 키보드입니다.
이 가상 키보드에 대한 기술적인 정보를 찾을 수가 없어서 커널/사용자 모드 기반 여부, 암호화 수준 등에 대해아는 바가 없습니다.
필자가 사용해본 결과로는 국내에서 웹 등에 로그인 할 때를 제외하고는 쓸 수가 없었습니다.
암호화 프로그램을 사용하는 은행(공공인증서 등)이나 공공기관에서는 이중 암호화로 인해 제대로된 키보드 값이 전달이 안되더군요. 특별히 웹 사이트 등에서 사용하실 것이 아니면 국내에서는 성능에 비해 쓸 일이 거의 없습니다.
(참고 : 조금 오래된 테스트지만 http://www.firewallleaktester.com/ 에서 시도한 테스트에서는 모두 통과)
② Browser Coniguration : 웹브라우저의 취약점과 일부 위험한 설정을 감지/수정하는 기능입니다.
역시나 이 기능도 System Restore, System Analyzer 와 같은 모듈을 사용합니다.
(3) 그래프를 통해서 감지된 위협요소의 현 통계를 보여줍니다.
개인적으로는 역시 불필요한 기능으로 생각합니다.
2-5 Content Filtering
Content Filtering 기능은 악성 코드나 악성 위협에 대한 기능이 아니라 특정 Content를 차단하는 기능입니다. 이 부분은 구분없이 그대로 설명하겠습니다.
① Anti-Spam : 사용자에게 보내지는 스팸메일을 차단하는 기능입니다. 일반 웹메일이 아닌 POP3나 SMTP등을 이용하는 아웃룩, 썬더버드 프로그램를 이용하는 사용자에게 필요한 기능입니다.
Anti-Malware 에 포함된 메일 감시 기능이 메일에 포함된 스크립트나 첨부파일을 검사하는 기능이라면
Anti-Spam 기능은 메일 자체를 차단하는 기능입니다.
역시 감시 기능의 강도와 설정을 Content Security 메뉴에서 조정이 가능합니다.
안티스팸 기능은 카스퍼스키에서 정한 시그니처를 통한 차단을 제공합니다만 개인마다 다양하게 들어오는 스팸 메일을 모두 차단하는 것은 어림없습니다. 이는 대부분의 보안 제품의 스팸차단 기능의 공통적인 한계인데 이런 한계를 줄이고자 Train 기능을 제공합니다.
쉽게 설명하면 Train 기능은 카스퍼스키에게 스팸메일과 정상적인 메일에 대한 정보를 제공함으로써
이 정보를 바탕으로 카스퍼스키가 내부 알고리즘에 따라 규칙을 생성하여 차후에 시그니처에 없는 스팸을 자동차단 할 수 있게 하는 기능입니다.
참고로 카스퍼스키에서는 스팸메일과 정상 메일을 50개 이상 지정해주어야 함을 권장하고 있으며
MS의 아웃룩만을 이용할 수 있습니다.
Train을 클릭하면 위와같은 마법사가 나옵니다. 필자는 아웃룩 계정을 설정하지 않아서 간단한 스샷만을 제공하겠습니다.
여기서 스팸/정상 메일을 지정하면 됩니다.
② Banner Ad Blocker : 광고차단 기능입니다. 웹브라우저나 웹브라우저의 보조 프로그램 등에서 제공하는 광고 차단 기능에 비해 막강한 기능을 제공합니다. 차단하려는 광고의 일부 명칭(ex : ad)이나 광고 배너의 주소만 안다면 웹브라우저 상의 광고 뿐만 아니라 네이트온 등에서 뜨는 광고까지 차단이 가능합니다. 문제는 과거 7.0 버전에서는 일부 광고관련 특정 차단 리스트가 제공되었는데 이번 버전부터는
기본적으로 제공되는 차단 리스트가 숨겨져 있습니다. 일반적으로 URL등을 이용한 차단리스트를 제공하는 것 같은데 7.0과 달리 사용자가 그 정보를 알 수없는 관계로 확실하지는 않습니다.
일단 AD, Banner등의 단어를 이용한 필터링 리스트는 현재 없어보입니다. 기본값으로 국내 중요 웹들의 광고는 전혀 차단이 안되네요.(참고 : 한글판과의 차이점이 보입니다. 한글판은 네이버 등 일부 사이트의 광고 url이 포함되어있다고합니다)
③ Parental Control : 미성년자 보호 기능으로 웹브라우저냐 메신져 등에서 성/도박/마약 등에 대한 컨텐츠를 감시 차단하는 기능입니다. 보호할 미성년자와 부모로 권한을 양분하여 관리하게 됩니다. 이에 대한 자세한 설정은 Setting 편에서 하도록 하겠습니다.
역시 포트 감시를 통한 패킷 분석으로 해당 컨텐츠를 차단합니다.
④ Privacy Cleaner : 사용자 컴퓨터 내부에 남겨진 개인정보 유출 가능성이 있는 파일들을 지웁니다.
레지스트리 정리 기능이 있는 것은 아니지만 최근에 많이 선보이는 시스템 최적화 유틸과 비슷합니다.
개인적으로는 별로 쓸모없는 기능으로 생각됩니다. Ccleaner나 신뢰할 수 있는 시스템 최적화 유틸을 사용하는게 다른 부가기능과 더불어 더 편합니
역시 System Restored와 같은 모듈을 사용합니다.(최적화 관련 기능은 모두 같은 모듈을 사용하는군요.)
⑤ 그래프 : 역시 별 필요없는 차단된 컨텐츠의 현재 상황을 보여주는 그래프입니다.
3. Scan
수동 스캔을 할 수 있는 곳입니다. 모든 기능이 모듈화된 만큼 스캔 중에 다른 옵션을 변경하거나(스캔관련 옵션은 변경하여도 진행되는 스캔에 영향을 주지 않습니다.) 업데이트를 동시에 할 수 있습니다.
이런 기능은 카스퍼스키의 소소한 장점 중에 하나입니다.
3-1. Scan
Scan 메뉴는 기본 탭(사용자 폴더 지정), Full Scan, Quick Scan 등 3가지 스캔 메뉴를 제공합니다.
위 그림은 기본 탭의 스샷으로서 스캔할 폴더를 사용자가 따로 지정할 수 있습니다.
Scan의 3가지 메뉴는
추가할 수 있습니다.
참고로 카스퍼스키는 3가지 각 메뉴에 대한 설정도 따로 세세하게 조정이 가능합니다.
이런 부분은 타 보안 제품과 구별될 수 있는 강점이라 생각합니다. 복잡해 보일 수 있지만 개인적으로는 세세한 조정이 가능하다는 점에 점수를 많이 주고 싶습니다.
아래 하단 부분에서 다양한 스캔 설정을 할 수 있습니다.
(물론 Setting 부분에서 세세하게 설정이 가능합니다.)
- Recommended : Scan 강도 조절
- Prompt when the scan is complete : 위험요소 탐지시 처리에 대한 설정 (설정에 따라 문구가 다름)
검사 종료 후 사용자 처리(Prompt on completion)/탐지시 바로 사용자 처리(Prompt for action)/자동 처리(Do not Prompt)
- Manually : Scan 기능의 스케쥴러 기능
스캔 시작 버튼을 누르면 아래와 같은 스캔창이 나옵니다. 따로 설정창이 활성화 되는 것이 아니고 이미 시스템에 로딩된 avp.exe에서 처리됩니다. 비교적 스캔시에 시스템 리소스 사용율은 적었으며 체감적인 무게감도 그리 느껴지지는 않았습니다.
keep the Computer turned on : 스캔 후에 컴퓨터를 자동 종료하거나 재부팅하는 기능입니다.
이 기능이 없어서 따로 윈도우 Shut down 명령이나 다른 프로그램을 사용해야 하는 불편한 제품들이 은근히 많습니다.
3-2. Full Scan
시스템의 모든 부분을 검사하는 Scan 메뉴입니다.
개인적으로는
아래의 검사 설정은 3-1. Scan과 동일합니다.
3-3. Quick Scan
시스템의 중요 부분만을 스캔합니다. 사용법은 3-1. Scan과 동일합니다.
4. Update
수동업데이트를 실시하는 곳입니다. 현재 업데이트 된 각종 정보를 볼 수 있습니다.
역시 업데이트 화면에서 여러 설정을 조정이 가능 합니다.
카스퍼스키는 업데이트의 Rollback(예전 업데이트로의 복구)기능을 제공합니다.
카스퍼스키의 단점 중 하나로는 일반 DB업데이트가 아닌 모듈 빌드업이 진행된 경우 재부팅이 필요하다는 것 입니다. 물론 대부분의 보안 제품이 마찬가지입니다만 카스퍼스키 경우 재부팅이 필요할 때 재부팅을 하지 않고 장시간 사용 중에 새로운 업데이트가 진행되었을 때 재부팅 후 카스퍼스키의 프로세스인 AVP.exe 등이 제대로 로딩되지 못하고 오류가 난다는 점이 특히 문제가 됩니다. 이는 상당히 심각한 문제로 개인 사용자라고 하더라도 24시간 이상 PC를 운용하는 경우에 특히 문제가 됩니다.
카스퍼스키 사용자 분들은 특히 이점 유의하셔서 사용하시기 바랍니다.
5. License
라이센스에 대한 정보를 보여주는 곳입니다.
새로운 라이센스를 구입하거나 라이센스를 병합 혹은 삭제시킬수 있으며 이용약관을 볼 수 있습니다.
6. Status Viewer
Status viewer는 Status/Detected Threated/Statistics 3가지 기능으로 구성이 됩니다.
① Status : 카스퍼스키의 설정과 PC의 위험요소 탐지여부에 대한 정보 제공
카스퍼스키는 메인화면 상단에 아래와 같이 카스퍼스키의 현재 상태를 신호등에 빗대어 시각적으로 표시하여 줍니다.
카스퍼스키의 설정이 안전한 상태로 유지되고 있고 위험요소가 발견되지 않았을 때의 모습
카스퍼스키의 일부 설정이 비활성화 되거나 Not a virus등의 진단명을 가진 일부 악성의심요소 발견
카스퍼스키의 중요 설정(실시간 감시 등)이 비활성화 되거나 위험요소 진단 때의 모습
이처럼 Status 은 아주 직관적인 모습으로 현재의 위험 상태를 표현해주는 데 위의 스샷을 클릭하면 아래와 같은 화면이 나옵니다.
여기서 Resume all을 클릭하면 카스퍼스키의 기본 설정으로 되돌아가게 됩니다.
Hide message는 사용자가 이 경고를 무시하고 자신의 설정대로 유지하겠다는 것으로 녹색의 신호로 바뀌게 됩니다.
② Detected Threated : 탐지된 위험요소에 대한 정보를 보여줍니다.
메인 화면에서는
빨간 박스에 나와있듯이 4가지의 보기 메뉴가 있습니다.
Active Threated(처리되기 전 탐지만 된 악성코드 보기)
Qurantined(검역소에 저장된 악성코드 보기)
Disinfected files(치료 및 삭제 되어진 악성코드 보기)(1)
All detected malware(모든 탐지된 위험요소 보기)
http://arrestlove.tistory.com/5 에서 언급되어진 검역소와 검역소에 저장되지 않고 삭제된 파일 들에 대한 복구를 여기서 진행할 수 있습니다.
먼저 검역소에 저장되지 않고 삭제된 파일은 다음의 폴더에 저장되어 있습니다.
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP8\QB
예를 들어 설명해 보겠습니다.
위 화면에 보이는 JS 파일은 정식 진단되는 악성코드 파일입니다.
정식진단정책에 위험요소로서 정의된 악성코드가 발견되었을 시 다음과 같은 알람창이 활성화됩니다.
이미 이야기 설명한 것처럼 정식진단에 포함된 악성코드는 검역소나 처리 무시 기능이 없습니다. 오진인 경우 일단 삭제나 차단(explorer등의 작업 프로세스의 파일 접근차단) 후에 제외설정을 하고서 복구등을 해야합니다. 일단 삭제해보겠습니다.
정상적으로 삭제가 진행 되면 위와 같은 알람창이 활성화 됩니다. 해당악성코드가 삭제 되었, 이에 대한백업 복사본을 생성한 것을 알려주고 있습니다.
자 이제 복구를 시켜보도록 하겠습니다.
Detected Threated 화면에서 해당 악성코드에 대한 정보를 찾아갑니다.
복구하려는 해당 파일에서 마우스 오른쪽 클릭 후 위 스샷의 빨간 박스의 Restore를 클릭하면 삭제되었던 폴더로 복구됩니다.
아래의 Clear list는 탐지된 모든 파일에 대한 정보를 지우는 것이기 때문에 주의하셔야 합니다.
여기서 탐지 정보가 제거되면 백업 폴더의 저장된 복사본도 지워지기 때문입니다.
따라서 만약 QB폴더의 크기가 너무 커져서 삭제가 요구된다면 Delere from the list를 사용함으로써 특정 파일만 지울 수 있으니 이 기능을 사용하시기 바랍니다.
③ Statistics : 현재까지 진단된 모든 위험/위험의심 요소에 대한 통계를 보여줍니다.
System Security 를 제외한 모든 기능에서 탐지된 위험/위험의시 요소에 대한 통계를 보여줍니다.
오른편에 막대그래프로 표현된 부분은 사용자에게 아주 직관적인 정보를 보여줍니다.
각 Report 기능과 Status viewer가 따로 존재해서 초기에 사용자가 불편함을 겪을 수는 있겠지만
개인적으로는 카스퍼스키의 상세한 정보 전달 기능은 높이 평가합니다.
7. Report
Status 기능이 각 기능에서 탐지된 요소에 중점을 맞춘 정보 제공 기능이라면 Report는 각 기능 메뉴에서 일어난 이벤트 들을 보여주는 데 초점이 맞추어져 있습니다.
메인화면에서
각 기능에서 나타난 이벤트(구동/탐지/삭제/종료 등)를 날짜별로 구분하여 보여줍니다.
재밌는 건 여기서도 진단된 위험/위험의심 요소의 통계치를 볼 수 있다는 것입니다.
8. Help and Support
① Help : 카스퍼스키의 도움말을 활성화 하는 기능입니다.
카스퍼스키 2009의 장점 중 하나인 도움말 기능인데 카스퍼스키를 구동시켜 모든 상태창과 알람창을 보면 Help 버튼이 존재합니다. 즉 그 상태창이나 알람창에 대한 도움말을 직접 제공한다는 점입니다.
사용자가 원하는 정보를 찾아 도움말을 검색하는 수고를 상당히 줄여주는 편리한 점입니다.
문제는 상당히 많은 분량의 도움말이긴 하지만 일반 사용자가 카스퍼스키를 사용하기에는 정보가 부족하다는 점입니다. 바제2 카페의 한분은 '카스퍼스키의 도움말을 보고 카스퍼스키의 모든 기능에 대해 마스터 한 사람은 이미 도움말이 필요없는 실력의 소유자다' 라는 말씀을 하시더군요.
전문가용이라는 명제가 붙어 있는 제품이긴 하지만 개인 사용자에게 판매하는 제품이니 만큼 좀 더
자세한 도움말을 만들었다면 일반 사용자에게 좀 더 다가갈 수 있지 않을까 하는 아쉬움이 남습니다.
② Support : 고객 지원 기능으로 웹사이트를 통한 기술 지원 및 포럼등을 이용할 수 있습니다.
카스퍼스키는 Support tools을 이용한 사용자 분석을 통해 Advice를 제공하는 경우도 있습니다.
마지막 Execute Avz script 는 카스퍼스키의 내부 명령 스크립트를 짜서 추가하는 기능입니다.
개인 사용자가 이 기능을 이용하는게 쉬워 보이지는 않습니다.
- 이상 각 기능별 기능 소개에 대한 리뷰를 마치겠습니다.
- 카스퍼스키에서 Disinfected는 감염형 바이러스 등에 감염된 파일을 감염 부위를 제거하는 기능으로 정의를 합니다만 Status부분에서는 일반적인 삭제까지 포함하는명칭으로 지칭합니다. [본문으로]
반응형
'▶ 보안 제품 리뷰 > :: Kaspersky' 카테고리의 다른 글
| Kaspersky Internet Security 2009 리뷰 (4-1) - System Security 설정편 (8) | 2008.11.27 |
|---|---|
| Kaspersky Internet Security 2009 리뷰 (3-2) - Setting 편 (2) | 2008.11.24 |
| Kaspersky Internet Security 2009 리뷰 (3-1) - Setting 편 (2) | 2008.11.24 |
| Kaspersky internet security 2009 리뷰 (2-1) - 각 부분별 기능 소개 (0) | 2008.11.18 |
| Kaspersky internet security 2009 리뷰 (1) - 개요 및 설치 과정 (2) | 2008.11.17 |