Avira Antivir Premium Security Suite 9 리뷰 (3-1) - 파일 실시간 감시



안티버의 실시간 감시 기능 3가지 중 파일 실시간 감시를 살펴보도록 하겠습니다.

저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.



▶ Avira Antivir Premium Security Suite 9 리뷰 모음

- 개요 및 설치 과정 , 메인 화면 UI



4. 파일 실시간 감시 - Guard

                                                파일 실시간 감시 메인 화면

안티버의 파일 실시간 감시는 모든 유명 보안 제품과 마찬가지로 파일 접근시(쓰기/삭제/이동/변경 등)에
감시를진행하며, 프로세스에 인젝션 된 dll 모듈 등의 검사를 지원하는 등 기본적이면서도 안정적인
파일 실시간 감시를 지원합니다.

위의 그림에서 알 수 있듯이 메인화면에서 검사한 객체와 진단된 객체에 대한 기본적인 통계를 제공합
니다. 파일 실시간 감시에서 진단된 세부적인 내용은 Event 기록 보기에서 제공합니다.


① Virus Information : 진단된 파일의 진단명에 대한 정보를 보여줍니다. 아래 그림처럼 IE 기반으로 Avira
    의 정식 홈페이지의 악성코드 정보 항목을 불러드립니다.

                                                         악성코드 정보

4-1. 파일 실시간 감시 설정 - Guard Configuration

안티버의 파일 실시간 감시 설정은 Scan/Action for concerning/Futher action/Exception/Heurictic/Report
등 모두 6가지 항목으로 나뉘어 있습니다.


(1) Scan : 파일 감시의 일반 설정을 조정합니다.

① 검사 확장자 설정 :  일부 보안 제품 경우 시스템 퍼포먼스를 위해 특정 확장자 검사를 권장하는 경우
    도 있습니다만 안티버는 파일 실시간 감시에 의한 시스템 퍼포먼스 감소가 매우 적은 편이어서 모든
    파일 검사를 권장합니다.
 
   ⓐ 특정 파일 검사는 안티버 내부에 지정된 파일 확장자만을 검사합니다.
   ⓑ 사용자 지정 확장자 검사는 사용자가 직접 파일 실시간 감시가 검사할 파일 확장자를 지정합니다.
       File extensions을 클릭하면 아래와 같은 확장자 설정창이 활성화됩니다.    

       여기에 기본 설정된 확장자가 특정 파일 검사 설정시에 사용되는 확장자 리스트입니다. Insert
       (추가)/Delete(삭제)버튼으로 확장자를 사용자가 지정할 수 있습니다.

                                                  Insert 클릭시 - 확장자 기입창 

    기본 파일 확장자 리스트를 보면 '*' 표시가 있는데 이 경우는 아래와 같은 역활을 합니다.
    'EXE*' 라 확장자를 지정하면 EXE0, EXE1, EXEyz 같은 확장자의 경우에도 감시를 진행하게 됩니다.


② 압축 파일 검사 설정 : 기본적으로 압축을 해제한 후에 검사하기 때문에 사용시에 딜레이가 발생되어
    기본 설정에서는 비활성화되어 있습니다. 그러나 검사할 압축 파일의 최대 크기가 9999KB가 한계이
    기 때문에 이 기능을 사용해도 시스템에 큰 무리를 주지는 않습니다. 약간의 딜레이를 감수하실 수
    있다면 해당 설정을 가급적 활성화하는 것을 권장합니다.

    다중 압축 파일 설정은 압축 파일 내에 또다른 압축파일이 있는 경우인데 단순한 압축파일 일때가
    기본 깊이(Depth) 1, 압축파일 내부에 또 압축 파일이 있을 경우 깊이가 2 이런 식으로 확장됩니다.
    시스템 퍼포먼스를 위해 이 경우 실시간 감시에서는 깊이를 1로 하셔도 무방합니다.

     지원하는 압축 포맷에 대한 것은 수동 검사시에 언급하도록 하겠습니다. 아쉽게도 7z 포맷은 지원을
     하지 않습니다.


(2) Action for concerning files : 파일 실시간 감시에 의해 진단된 파일의 처리 방법을 설정합니다.

안티버의 자동 치료 설정의 단계별 조치는 첫 번째 조치가 Repair(치료)일 때에만 가능합니다.
안티버의 조치 중 Overwrite and delete라는 조치가 있는데, 이는 파일 삭제시 해당 파일의 섹터에 데이
타를 덮어씌워 복구 자체를 불가능하게 만드는 기능입니다. 즉, 일반적인 삭제시 삭제 파일을 복구하는
프로그램에서 복구가 가능한데 이 조치를 취하면 복구가 어렵게 됩니다. 다른 제품들에서는 보기 힘든
기능입니다.

(3) Futher actions : 진단 후 수행할 추가 행동을 설정합니다. 무언가 추가 기능이 많이 있을 것
     같으나 단순히 진단 내역을 기록여부를 설정하는 설정만 존재합니다.

(4) Exception : 파일 실시간 검사에서 진단을 제외할 객체를 설정합니다.

시스템 부팅시에 로딩되는 프로세스의 검사 제외 설정이 따로 있다는 것이 특징입니다.
프로세스는 영문 기준으로 15자, 파일 검사는 총 6000자(경로를 설정해야하기 때문)의 제한이 있습니다.

안티버의 제외 설정의 단점은 윈도우 탐색기의 폴더 보기 설정과 동일한 설정을 가지고 있다는 것입니
다. 이 부분이 문제가 되는 것은 인터넷 익스플로러의 임시폴더 경우처럼 실제로 각 폴더별로 구분되어
있지만 탐색기 상으로는 폴더 하부에 있는 것으로 보이는 경우에 경로 설정이 제대로 안되는 버그가
있기 때문입니다.
(참고 : IE 임시 폴더C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files)

이러한 이유로 간혹 웹사이트의 특정 파일을 오진할 때 이런 경우가 발생하면 상당히 귀찮아집니다.
여러 방법이 있겠으나 아래와 같이 NexusFile이나 TotalCommand 같은 익스플로러 대용 프로그램을
이용하여 정확한 경로를 구하면 쉽게 제외설정이 가능합니다.

                                              NexusFile의 경로명 찾기 예

위에서 복사한 경로명을 안티버의 경로명 기입란에 복사한 후 추가하면 정상적으로 추가가 됩니다.
참고 : 탐색기 경로와 실제 경로에 차이가 발생하는 경우
탐색기 경로 - C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\pagead[3]
실제 경로 - C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\7ZCZZE93\pagead[3]


제외 설정시 주의해야 할 부분은 실시간 감시에서 진단되는 파일명에 '[, ] , {, }' 등의 특수 문자가 존재
하는 파일은 제외설정시 오류가 발생하여 추가가 안된다는 것입니다.

이때 환경 설정이 저장되는 Avwin.ini 파일을 보면 정상적인 제외 설정 경로에 경로가 저장되지 않고
다른 영역에서 반복적으로 표시되는 것을 볼 수 있습니다. 이로 인해 환경설정을 담당하는 avconfig.exe
파일이 뻗어버리게 됩니다. 다소 어이가 없는 오류이며 이 버그로 인해 임시폴더의 파일은 대부분 제외
설정이 불가능 합니다.

따로 문의는 하였으나 아직까지 버그 자체는 수정되지 않고 있습니다. 이러한 오류로 avconfig.exe 파일
이 정상적으로 실행되지 못할 때 avwin.ini파일을 변경하는 것은 따로 포스팅하도록 하겠습니다.


(5) Heuristic : 안티버의 가장 뛰어난 장점인 시그니처 기반 의심진단에 대한 설정을 조정합니다.

매크로 바이러스는 DOC 같은 문서파일 내부의 매크로 기능등을 이용하여 악의적인 행동을 시도하는
악성코드를 의미하는데, 안티버는 이러한 매크로 패턴에 대한 휴리스틱을 지원합니다.

또한 일반 휴리스틱의 활성화 여부도 설정이 가능합니다. 다소 민감한 안티버의 휴리스틱 때문에 일반
사용자들이 오진 발생시 대처를 못하는 경우도 있었는데, 위 그림의 빨간 박스 부분을 체크 해제하여
휴리스틱 기능을 비활성화 할 수 있습니다. 단, 진단명에 'Heur' 명칭이 있는 경우만 해당됩니다.

검역소 이벤트 기록 중 Heur/HTML.Malware 경우 - 휴리스틱 기능의 활성화 여부와 민감도 설정에 따라
진단 여부가 변화됩니다.


Gen 등의 명칭이 쓰이는 안티버의 휴리스틱과 Heur이 쓰이는 휴리스틱에 대해서는 따로 포스팅 하도록
하겠습니다. 


(6) Report : 파일 실시간 감시의 이벤트 기록에 관한 설정을 조정합니다.

① 파일 실시간 감시에 의해 감시되는 객체에 대한 이벤트 기록에 사용할 정보의 종류를 설정합니다.
   - off : 감시되는 객체에 대한 이벤트 기록을 저장하지 않습니다.
   - Default : 악성코드로 진단된(의심진단 포함) 객체의 정보와 처리 과정 및 오류 등의 이벤트 로그를
      기록합니다.
   - Extended : Default 설정에서 추가적인 정보가 포함됩니다. 이 경우는 따로 확인은 안하였습니다.
   - Complete : 파일 실시간 감시에 의해 진행되는 모든 정보가 기록됩니다. 감시가 진행된 정상 파일에
     대한 정보까지도 저장됩니다.

    안티버의 로그 기록은 아래처럼 파일 실시간 감시 메인화면에서 볼 수 있습니다.

    이벤트 기록 저장 설정이 따로 있는 이유는 시스템 퍼포먼스 때문입니다. 안티버의 모든 로그 기록은
    임시파일에 저장되었다가 윈도우 종료시에 일괄적으로 저장되는데(로그 기록 파일에 저장될 때를 의미), 이
    때 저장되어야할 기록이 많거나 로그 기록 파일의 크기가 매우 크다면 데이타 추가에 딜레이가 생길
    수 있습니다. 특히 아래에 설명한 로그 기록 파일의 용량 제한 설정을 용량 무제한으로 하였다면, 오
    랫동안 안티버 사용시 로그 기록 파일의 용량이 상당히 커서 딜레이를 유발하게 됩니다.
    따라서 특별한 이유가 없다면 Default 설정을 사용하시기 바랍니다.

② 로그 기록이 저장되는 파일의 용량을 제한하는 설정입니다. 
    Backup report file before shortening 설정을 체크하면 용량 초과시 다른 곳에 로그 기록을 백업합니다.
    Write configuration in report file 설정을 체크하면 파일 실시간 감시의 설정을 변경을 기록합니다.


 

4-2. 파일 실시간 감시 진단시 - 진단 알람창

파일 실시간 감시에서 악성코드를 발견시 위와 같은 알람창이 활성화됩니다. 카스퍼스키같은 일부 제품
처럼 휴리스틱 진단과 정식 진단에 따른 알람창의 차이는 없습니다.

안티버에도 감염형 바이러스나 매크로 바이러스 등에서 Repair 처리가 활성화 되기는 합니다만, 거의
보기 어려운 처리 방법입니다. 

① 해당 박스를 체크하면 위에서 설정한 처리 방법이 규칙화되어, 동일한 경로에 동일한 파일이 있다면
    사용자에게 다시 질문없이 동일한 처리 방법이 적용됩니다. 주의해야할 점은 한번 설정된 처리 방법
    은 사용자가 수정이 불가능하다는 점입니다. 이러한 규칙화를 사용하는 이유는, 안티버 경우 진단된
    객체가 검역소로 이동하거나 삭제되지 않는 한 처리 될때까지(Ignore 등으로 조치해도) 사용자에게
    지속적으로 알람창을 띄우기 때문입니다.

    해당 설정은 로그 기록 파일 정보처럼 임시 파일에 저장되는데, 시스템 재부팅이나 업데이트 등으로
    인하여 안티버 모듈이 새롭게 활성화하는 경우에 초기화됩니다. 따라서 특정 파일에 대한 규칙을 구
    성하였다가 이를 삭제하고 싶다면 업데이트를 시도하던가 시스템을 재부팅하시기 바랍니다.


임시 규칙 설정과 같은 경우도 카스퍼스키와 비교하면 상당히 불편한 부분입니다. 자꾸 카스퍼스키와
비교됩니다만 UI와 환경 설정등이 깔끔하게 구성되지 못한 점은 안티버의 단점 중 하나라 생각됩니다.

최소한 임시 규칙 설정 부분의 개선이 이루어지고 진단 제외 설정을 진단 창에서 할 수 있도록 수정이
된다면 사용자의 불편함이 많이 줄어들 것이라 생각합니다.


- 이상입니다.