▶ 보안 제품 리뷰/:: Trend Micro

Trend Micro Titanium Internet Security 2012 간단 리뷰 (2) - 환경 설정 / 보안 보고서

물여우 2012. 6. 15. 08:30
반응형
트렌드 마이크로 리뷰 두 번째 글입니다.



이번 글에서는 이전 글에서 살펴보지 않은 트렌드 마이크로의 기능들의 환경 설정을 살펴보겠습니다.

3. 환경 설정

3-1. 인터넷 및 전자 메일 제어

(1) 웹 위협

트렌드 마이크로의 웹 위협 설정은 URL을 기반으로 하는 악성 웹사이트 차단 기능을 조정합니다. 웹 위협 기능은 기본적으로 악성코드 유포를 목적으로 하는 악성 URL을 차단하나, 악성코드 유포에 이용된 중간 숙주 사이트나 취약점을 가진 사용자가 접속하는 최종 사이트를 차단하는 경우도 많습니다.


웹사이트 차단 기능은 '높음/보통/낮음'의 3단계로 구성되어 있습니다. 낮음의 단계는 악성 URL로 분석이 끝난 사이트만 진단하며 설정이 민감해질수록 진단 점위가 넓어지나 오진의 가능성도 생깁니다.

이러한 URL 기반 진단 기능은 2개의 장점을 갖습니다.
- 장점
1. 미진단 악성코드 유포의 사전 차단[각주:1]
2. 피싱 등 악성코드 유포를 포함한 모든 위험 사이트로의 접속 차단 가능

첫 번째 장점은 이전에 사용한 악성코드 유포 서버를 또 사용하는 경우에 매우 유용하다 할 수 있습니다. 최근의 악성코드들은 초기 유포시 시그니처 진단을 우회하는 경우가 많은데, 최초 유포에 사용되는 서버에 대한 접속을 직접 차단하면 시그니처 진단의 진단 여부와 상관없이 시스템을 보호할 수 있습니다.
 
그러나 이러한 장점들은 아래와 같은 단점으로 빛을 잃습니다.
- 단점
1. 실시간 분석이 아닌 블랙리스트 기반의 경험적 진단으로 악성 요소가 사라진 웹사이트 진단 가능
2. 하위 도메인이 악성으로 지정된 경우 악성 요소가 없는 상위 도메인 및 동일 도메인 전체가 악성으로 진단

첫 번째 단점은 구글 검색이나 파폭, 크롬 등의 웹브라우저를 사용하는 사용자들은 쉽게 이해할 수 있을 것이라 생각합니다. 구글 검색을 하거나 크롬같은 웹브라우저를 이용해서 웹서핑을 하다보면 특정 사이트를 위험사이트로 지정 접속을 차단하는 것을 종종 보셨을 겁니다.

차단된 웹사이트는 분명 악의적인 요소가 심겨져있엇거나 자체가 악성 웹사이트인 경우가 대부분입니다. 문제는 악성코드의 존재 여부를 실시간으로 분석하는 것이 아닌 이전에 분석된 내용을 바탕으로 악성 여부를 판단하기 때문에 웹사이트 내부에 심겨진 악의적인 요소가 없어진 경우에 발생합니다. 실제로 현재는 정상적인 웹사이트임에도 불구하고 이전의 악성 요소를 포함한 내역 때문에 진단되는 경우가 허다합니다.

두 번째 단점은 사실 진단 범위를 효과적으로 넓혀주기 때문에 장점이라고 볼 수도 있습니다. 보통 악의적인 요소가 심겨질 때 특정 링크에만 심겨지는 것이 아니라 해당 도메인의 모든 하부 링크에서 유포되도록 구성된 경우가 대부분이기 때문입니다. 하지만 웹사이트의 멀쩡한 다른 링크를 진단할 수 있다는 점에서 단점이 분명합니다.

단점 항목을 다소 장황하게 설명하는 이유는 이러한 문제가 국내 환경에 대한 대응이 쉽지 않은 외국 제품들 대부분이 위와 같은 문제를 내포하고 있기 때문입니다.

오진 사례


실제로 위 오진은 설정상 '낮음' 항목에서 발생한 것입니다. 파란과 티스토리, 이글루스의 첨부 파일 혹은 이미지 파일용 서버를 진단한 것인데, 해당 항목들 자체는 모두 정상입니다. 이 외에도 과거 유포 내역을 가진 정상적인 웹사이트나 주말 등에 항상 해킹되어 악성코드를 유포하나 현재는 정상인 웹사이트를 일괄적으로 차단하는 경우가 매우 많습니다.

물론, 현재도 각종 블로그에 첨부파일 형태로 악성코드가 올려진 경우도 존재하고, 알려지지 않은 해킹 문제도 있을 수 있습니다. 하지만 정상적인 항목의 접속을 차단했다는 결과가 중요합니다.

오진에 민감한 일반 사용자에게 이런 식의 접속 차단은 문제가 큽니다.


(2) 스팸 및 전자 메일로 보낸 파일 / 네트워크(방화벽)

스팸 및 전자메일 제어 항목은 스팸 메일과 첨부 파일에 포함된 악성코드를 검사합니다.
워낙 기능이 간단하게 구성되어서 굳이 설명할 필요가 없습니다.

네트워크 항목은 타 제품의 방화벽 항목입니다.

하지만 트렌드 마이크로는 윈도우에서 자체적으로 제공하는 방화벽을 기반으로 구성되어 있어, 아웃바운드 연결 제어가 불가능한 XP에서는 사실상 있으나 마나한 항목입니다. VISTA 이상되는 운영체제에서도 트렌드 마이크로 자체적으로는 관리하나 보안 수준이 증가하는 것은 아닙니다.


3-2. 예외 목록

예외 목록은 진단된 악성코드와 특정 객체를 진단에서 제외하는 것과 접속 차단된 웹사이트의 차단을 풀고, 특정 URL의 접속을 관리하는 기능입니다.

아래는 프로그램과 폴더를 제외할 수 있는 항목입니다.
'추가' 버튼을 클릭해서 특정 파일이나 폴더를 제외시킬 수 있습니다.


아래는 웹사이트 접속 관리 항목입니다.
역시 '추가' 버튼으로 아래와 같이 접속 차단을 제외하거나 차단시킬 URL을 지정할 수 있습니다.

이때, 앞서 언급한 특정 웹사이트의 진단을 제외시킬 때 '*'와 같은 정규식을 사용할 수 있습니다. 위 그림을 보면 티스토리나 이글루스의 첨부 파일 서버를 일괄적으로 진단에서 제외시킨 것을 확인할 수 있습니다.


 

3-3. 예약 검사

기본적으로 항상 활성화되어 있는 예약 검사는 '바이러스 및 스파이웨어 제어' 항목에 속해있습니다.


예약 검사 기능의 예약 기간은 기본적으로 일일 단위 혹은 매주, 매달 단위로 설정할 수 있습니다. 트렌드 마이크로의 특징이 여기서도 적용이 되어 검사 날짜 구간을 정하는 항목도 매우 단순화되어있습니다.

우상단에 붙여넣은 예약 검사 날짜 설정을 살펴보면, 일요일부터 토요일까지 항목이 매주 단위 설정, 그 밑에 단순히 '일' 이라고 표시된 부분이 일일 단위의 예약 검사입니다. 

단순화되어 직관성이 떨어진 항목으로 오른쪽의 그림처럼 검사 주기를 매일, 매주, 매달, 매년 순으로 설정을 단계적으로 조정하도록 구성된 것이 훨씬 직관적인 UI라 할 수 있겠습니다. 





 
3-4. 기타 설정


(1) 시스템 시작


시스템 시작은 운영 체제가 부팅 시 트렌드 마이크로의 보호 모듈을 얼마나 빨리 불러오느냐를 설정하는 기능입니다. 가장 빨리 불러올 때(추가 보안) 상대적으로 윈도우 부팅 시간이 증가하며, 가장 늦게 불러올 때(추가 성능) 시스템 부팅 시간이 감소합니다.

클린 PC나 사양이 낮은 넷북 등에서는 추가 성능으로 퍼포먼스 증가를 노리는 것도 좋습니다. 하지만 일반적인 경우 안정된 보호나 추가 보안을 선택하시는 것을 권장합니다.


(2) 프록시 설정 / 스마트 보호 네트워크 / 암호


업데이트나 클라우드 연결에 필요한 인터넷 연결 설정 시 프록시 관련 설정입니다.

아래는 트렌드 마이크로의 클라우스 시스템인 스마트 보호 네트워크의 사용 설정(사용자 시스템 정보 전송) 항목입니다. 해당 설정을 비활성화해도 트렌드 마이크로의 클라우드 시스템의 보호를 받을 수 있는 것으로 예상됩니다.

 

암호는 나중에 다룰 '도구' 항목의 '보호자 통제' 기능 등의 설정이 임의적으로 변경되는 것을 막기위한 기능으로 트렌드 마이크로의 전체 설정을 보호하도록 암호를 설정하는 기능입니다.

 


(3) UI 스키닝




UI스키닝은 메인 화면의 UI, 실제는 바탕 화면의 이미지를 변경하는 기능입니다. 아래와 같이 UI 구성이나 세부 항목의 색상은 전혀 바꿀 수 없으며 단순히 배경 이미지의 변경만 가능합니다.

 



4. 보안 보고서


보안 보고서 기능은 트렌드 마이크로가 발생시킨 이벤트 항목을 기록, 편집하여 사용자에게 제공하는 기능입니다. 메인 화면의 '보안 보고서' 버튼을 클릭하면 볼 수 있으며, 기본 설정상에서 매달 첫 번째 날에는 이전 달의 기록을 종합해서 보여주기도 합니다.

보안 보고서 - 위협 항목


보안 보고서는 요약된 종합 보고서로 '위협/보호자 통제/시스템 튜너' 항목으로 구성되어 있습니다. 모든 항목은 위 그림의 위협 항목과 비슷합니다. 위협 항목은 진단된 위협 '유형'과 날짜별 진단 기록을 표시해 줍니다.

보안 보고서의 특징은 세부 로그 기록 자체가 검역소이며 진단 예외 설정과 연계되어 있다는 점입니다. 이는 이전 글에서 밝혔기 때문에 따로 설명하지는 않겠습니다.

세부 로그 기록

 

다만 세부 로그 기록 항목에서는 '날짜/파일 정보/진단명/진단 종류/응답' 등의 정보를 보여줍니다. 이중 '응답'은 진단된 객체에 대한 처리 결과를 보여줍니다. 아쉬운 것은 응답 항목은 처리된 객체를 복원할 경우 '복원' 표시를 따로 해주지 않기 때문에, 해당 파일을 복원한 것인지 안 한 것인지 로그 기록 상에서는 알 수가 없다는 점입니다. 

세부 로그 기록은 30일이 지나면 자동으로 삭제되기 때문에, 이를 지속적으로 남기려면 '내보내기' 버튼을 통해 따로 저장을 해두어야 합니다. 로그 기록 자체가 검역소의 역할을 하기 때문에 저장 기한이 제한되는 부분은 매우 아쉽습니다. 


그런데 트렌드 마이크로의 보안 보고서는 위의 일반적인 기능 외에 '근본 원인 분석 보고서'라는 이름의 색다른 기능을 제공합니다. 세부 로그 기록을 살펴보다보면 진단된 객체의 세부 정보 항목에서 아래와 같이 '이것의 출처는 어디입니까'라는 문구를 볼 수 있습니다.


이를 클릭하면 아래와 같이 진단된 객체가 진단하기 전까지 어떻게 시스템에서 생성되고 이동되었는지를 보여 줍니다.

아래는 또 다른 근본 원인 분석 보고서의 예입니다. 이 경우는 진단된 악성코드는 반디집으로 압축이 풀려 파일을 생성되었고, 다른 폴더에 이동된 후 이름이 바뀌게 된 것을 확인할 수 있습니다.

 

실시간 감시를 비활성화한 후 위 경로대로 작업을 한 것인데, 실시간 감시가 활성화되자마자 해당 파일을 진단하더니 위와 같은 분석 보고서를 제공하였습니다. 이 덕분에 실시간 감시를 비활성해도 진단을 하지 않을 뿐 분석 자체를 백그라운드에서 지속적으로 하고 있음을 알 수 있었습니다.

주의해야 할 점은 이 보고서 기능은 해당 파일의 아주 단편적인 정보만 제공해주며, 모든 진단 샘플에 대해서 나타나는 것이 아니라는 점입니다. 이 기능을 가지고 시스템을 분석해서 숙주 파일을 찾는다거나 하는 것은 사실상 매우 어렵습니다. 

 



이상입니다.
  1. 하지만 국내의 경우 KISA에서 ISP업체와 협력해서 악성코드 유포에 사용되는 서버의 접속 자체를 차단하고 있어서 사실 큰 효과는 없다할 수 있겠습니다. [본문으로]
반응형