▶ 보안 제품 리뷰/:: Kaspersky

Kaspersky Internet Security 2009 리뷰 - 총평

물여우 2008. 12. 11. 03:27
반응형



카스퍼스키의 리뷰의 마무리 포스팅입니다.

1. 총평


카스퍼스키 인터넷 시큐리티 2009는 AV와 Firewall 등이 통합되어 있는 종합적인 제품입니다. 
특히, 휴리스틱, 루트킷 탐지, HIPS와 nIPS, 행동탐지 기능 등 현재 각 보안 제품의 최신 기술들을 상당수를 포함하고 있으며 그 성능 또한 우수한 편이고, 각가지 기능들이 잘 연계되어 있습니다.

기본적인 AV의 성능을 좌우하는 악성코드 대응 수준과 악성코드 검출율은 상당히 높은 편이며 국내외 보안 제품과 비교해봐도 정상급 수준을 유지하고 있습니다. 또한 활성화된 악성코드의 제거 기능 같은 시스템 치료 능력이 뛰어나고, 자신을 보호하는 자기보호 기능도 상당한 수준을 자랑합니다. 기본적인 AV의 성능이 우수한 제품이라 생각할 수 있습니다.
이러한 점은 국제적으로 권위있는 VB100, ICSA 등의 결과와 AV-Test나 AV-Comparatives 등 기타 여러 테스트에서 검증되고 있습니다.


참고 : 아래의 테스트 기관의 홈페이지를 참고하시기 바랍니다.
① Virus Bulletin -> http://www.virusbtn.com
② AV-test.org    -> http://www.av-test.org 
③ AV-Comparatives ->
http://www.av-comparatives.org
④ 
Checkmark(West Coast Labs) -> http://www.check-mark.com
⑤ 
ICSA Labs -> http://www.icsalabs.com     
⑥ Matousec  -> 
http://www.matousec.com/ 
이외에도 많은 테스트들이 있습니다.

또한 카스퍼스키는 사용자의 수준과 기호에 맞는 설정을 조정할 수 있도록 비교적 세세한 설정조정을 제공합니다.
물론 세세한 설정이 가능하다는 것은 반대로 사용자에게 복잡함을 줄 수 도 있습니다만, 초보 사용자들을 위한 기본적인 최적화 설정을 제공하고 있고, 세세한 설정만큼 카스퍼스키의 활용폭을 증가시킬 수 있다는 점에서 카스퍼스키의 커다란 장점으로 생각됩니다.


과거 버전인 7.0과 비교해보면 휴리스틱(새로운 휴리스틱 진단 추가 등) 및 루트킷 탐지 강화, HIPS 관리 기능 강화 (Application filtering과 Proactive Defense의 독립), 시스템 취약점 분석 기능 및 보조 기능 추가 등이 이루어졌습니다. 
이러한 변화점들로 카스퍼스키가 한 단계 도약해서 더욱더 강력한 제품이 되었다는 데에는 이견이 없어보입니다.

변화된 점 중에서 필자가 특히 중요하게 생각하는 것은 HIPS의 시스템 관리 기능의 강화입니다.
7.0의 HIPS 기능은 다른 전문 방화벽 제품에 포함된 HIPS 기능에 비해 굉장히 제한적인 범위를 가졌습니다. 엄밀히 말하면 HIPS 기능은 아니었죠.  그러나  8.0버전의 HIPS 기능은 방화벽과 연동되어져서, 리뷰에서 이미 밝혔듯이 사용이 간편하면서도 시스템의 전반적인 부분을 모두 제어할 수 있다는 점에서 획기적으로 변화되었다고 생각합니다. 

또한, 7.0에 비하여 8.0 제품은 시스템 리소스 점유율이 상당히 줄어들어 가벼워졌다는 점도 무시할 수 없습니다.
기본 트레이 상태에서의 메모리 점유율을 보시기 바랍니다. 

                                                     트레이 상태의 시스템 리소스 점유율

카스퍼스키를 종료한 후 다시 실행시켜서 최적화된 상태의 메모리 점유율과 핸들/쓰레드 수를 나타내고 있습니다.
실제 상황에서는 다 많은 메모리 점유율을 보입니다만 통합제품임에도 불구하고 상당히 적은 메모리 점유율과 핸들/쓰레드 수를 갖고 있습니다.

물론 여전히 수동 스캔시나 업데이트 시에 메모리 점유율과 CPU 사용율 등이 높아지는 경향은 여전합니다.
특히 업데이트시에 네트워크 대역폭 사용과 시스템 리소스 점유율이 높아집니다.
그러나 7.0 버전에 비하면 굉장히 가벼워 졌음을 느낄 수 있으며 체감적으로 확연한 차이를 느낄 수 있습니다.

                                                       업데이트 시의 시스템 리소스 점유율

물론, 안티버, 노드와 최근에 버전업된 노턴 2009, V3 365 제품군에 비하면 여전히 무거운 무게감을 갖고 있습니다만
포함된 기능들의 수와 성능을 생각해볼 때 현재의 시스템 리소스 점유율은 상당한 수준임을 알 수 있습니다. 


마지막으로 외국 보안 업체 중에서 국내에 지사가 설치된 몇 안되는 업체의 하나로써 개인 사용자들에 대한 지원도 어느 정도 잘 되고 있다는 점도 무시못할 장점입니다.
전세계 보안 제품 매출 1, 2위를 다투는 시만텍이나 맥아피, 빼어난 성능을 자랑하는 동유럽 제품들이 국내에서 맥을 못추는 이유는 사용자에 대한 서비스가 미흡하기 때문입니다. 물론 점유율 면에서는 OEM으로 제공되는 제품들과 엔진이 라이센싱되어 도입되는 제품들이 높겠습니다만, 비교적  카스퍼스키랩이 국내 보안 업체에서 제공하는 서비스에 가장 근접하는 서비스를 제공하는 업체가 아닐까 생각됩니다. 


결론적으로 현재의 통합제품 중에서는 최고의 제품이라 생각합니다.


2. 개선점에 대한 개인적인 의견


마지막으로 필자가 카스퍼스키 2009에 바라는 개선점을 다루어 보겠습니다. 크게 4가지의 개선점을 다루겠습니다.
마지막 개선점을 제외하고는 비교적 소소한 문제점들이고 개인적인 생각이기에 다른 사용자들과 의견이 다를 수 있음을 밝힙니다.

참고 : 카스퍼스키의 리뷰 중에서 밝혔던 아래의 여러 문제점들은 이미 다루었으므로 따로 다루지는 않겠습니다.
① 복잡한 UI
② Application filtering 의 어려움 - 규칙 설정의 어려움과 방화벽 규칙에 대한 정보 부재 등
③ 방화벽 기능의 불편한 점들 - 네트워크 모니터에서 네트워크 연결보기가 불편한 점, 차단/허용이 불가능한 점 등
④ Banner AD Blocker 에서 기본 설정된 규칙을 알 수 없는 점 등
⑤ 카스퍼스키 이벤트 로그 보기의 복잡함 - Reports와 Detected 부분이 따로 존재하는 것 등


2-1. 알람창에 관한 개선점

(1) 알람창에서 카스퍼스키의 감시 기능에 대한 설명 부재




위의 두 알람창의 차이를 아시겠습니까?? 
눈치 빠른 분들은 알람창의 폴더 경로를 보시고 알아채셨을 것 같습니다. 위의 그림은 웹트래픽 검사의 알람창이고,
아래의 그림은 파일 실시간 감시의 알람창입니다. 

한가지를 더 살펴봅니다.


위 두개의 그림은 모두 어플리케이션 필터링에서 해당 어플리케이션의 행동에 대한 권한 부여를 사용자에게 물어보는 알람창입니다. 밑에 그림과 비교해보시기 바랍니다.




어플리케이션 필터링의 알람창과 차이점이 무엇인지 아시겠나요? 위의 그림 3개는 모두 Proactive Defense에서 해당 어플리케이션의 행동에 위험성이 있다고 판단해서 사용자에게 조치를 요구하는 알람창입니다.  익숙하지 않은 사용자들은 어플리케이션 필터링과 사전방역 기능의 알람창을 구분하기가 쉽지 않을 것입니다.


위에 예로 든 것처럼 카스퍼스키는 모든 알람창에서 해당 알람창을 활성화시키는 감시 기능에 대한 명확한 정보를 제공하지 않습니다.  

물론, Reports 메뉴에서 어떠한 감기 기능이 위험요소를 발견했는지 파악이 가능하고 카스퍼스키에 익숙한 사용자라면 해당 알람창의 내용만으로도 판단이 가능할 것입니다. 그러나 좀 더 직관적이고 간단하게 해당 기능에 대한 정보를 제공해주었으면 하는 바램입니다.



(2) 알람창에서 해당 악성 요소에 대한 정보보기

HIPS 기능은 사용자가 시스템과 해당 어플리케이션에 대해 많은 정보를 알고 있어야 제대로 활용이 가능합니다.
그러나 일반 사용자들이 시스템에 대한 지식과, 수 많은 어플리케이션들의 내부 파일들에 대한 정보를 모두 아는 것은 불가능할 것입니다. 그래서 코모도 코모도나 다른 HIPS 기능을 제공하는 보안 제품에서는 HIPS 기능에 의해 제어되는 프로그램의 해당 파일의 정보를 알람창에서 클릭만으로 파일 정보를 보여주거나 자동으로 웹 검색 결과를 보여주는 기능이 있습니다. 아래 그림을 보면 이해가 쉽습니다.


빨간 박스 부분을 클릭하면 아래 그림처럼 해당 파일의 정보를 보여줍니다. 일반 탐색기에서 보여주는 정보와 동일한 정보를 제공해주죠.

이런 기능이 사소하게 보일지 모르지만 HIPS 관련 알람창이 많을 경우 굉장히 유용합니다.

Pctools의 Threatfire 경우 해당파일을 분석한 자세한  정보를 제공하기도 합니다.

위의 그림의 빨간 박스 부분을 클릭하면 아래 링크처럼 해당 파일에 대한 자세한 정보를 제공합니다.
http://www.threatexpert.com/report.aspx?md5=c761b720addb5717b007c90ec36b0ef7



그러나 카스퍼스키는 아래 그림처럼 어플리케이션 필터링과 Proactive Defense 모두 해당 어플리케이션의 파일에 대한 정보를 알람창에서 알 수 있는 방법은 없습니다.  사용자가 알아서 검색해야하는 불편함이 따릅니다.



어플리케이션 필터링의 알람창에서는 아래 그림의 빨간 박스 부분을 클릭하면 해당 어플리케이션의 세부 규칙에 대한 정보를 보여주긴 합니다만 해당 파일에 대한 많은 정보가 담긴 것은 아닙니다. 




사용자 사용 편의성 측면에서 정보보기 기능이 꼭 추가되었으면 하는 군요.
추가로 해당 시스템 관련 개념에 대해 도움말에 자세한 정보가 기록되었으면 합니다.
(다른 부분에 대한 카스퍼스키의 도움말도 참.. 도움이 안되는 도움말입니다.)

마찬가지로, 파일 실시간 감시나 수동 스캔시의 알람창에서도 해당 파일에 대한 정보를 볼 수 있으면 좋을 듯 합니다.


① 해당 파일에 대한 정보는 역시 알 수 없습니다.
② 클릭하면 진단명에 대한 정보를 카스퍼스키랩에서 검색 결과를 보여줍니다. 다른 보안 제품에도 일반적으로 있는
    기능입니다.



(3) 알람창에서의 파일 및 레지스트리 경로 보기

현재 티스토리에 올린 그림의 크기가 카스퍼스키의 알람창의 크기와 동일합니다. 알람창의 가로 길이가 작다보니
아래 그림처럼 특정 파일의 저장 경로나 레지스트리의 경로가 제대로 표현되지 않습니다. 또한 마우스로 해당 부분을 드래그 하는게 불가능합니다.


물론 아래그림처럼 해당 경로에 마우스커서를 올려두면 파일 경로가 보이고 Reports 란에서도 경로를 모두 볼 수 있습니다. 문제는 해당 레지스트리 경로를 regedit나 웹에서 검색할 때 사용자의 불편함이 따른 다는 점입니다.


개인적으로는 모양새는 나빠지더라도 알람창에서 해당 경로가 줄바꿈이 되어서 모든 경로가 그대로 보여지고 마우스로 경로 부분을 드래그해서 복사할 수  있었으면 합니다.  이유는 이미 설명한대로 사용자의 정보를 찾는데 간편함을 얻기 위해서입니다.


2-2. 파일 삭제시의 개선점

이 문제는 모든 시스템에서 동일하게 발생하는 지는 확인을 못했습니다.

보통 실시간 감시나 수동 검사에서 악성코드가 발견되면 아래와 같은 알람창이 활성화 됩니다.


그런데 주로 실행파일이나 드라이버 파일 등을 삭제하면 아래와 같은 알람창이 또 활성화 됩니다.


이 알람창은 카스퍼스키의 특정한 치료 기능 절차에서는 재부팅 과정을 필요로 함을 알리고 있으며 재부팅 과정을 권장사항으로 표현하고 있습니다.  그러나 위에 삭제된 H.exe는 현재 실행된 상태도 아니며 다른 프로세스에 의해 로딩되어진 상태도 아니고 그저 압축 상태에서 다시 복구한 상태입니다.

카스퍼스키는 다른 보안 제품들 중에서도 이미 실행중인 악성코드나 다른 프로세스에 의해 물려진 파일등을 치료하는 기능이 뛰어난 편입니다. 그렇지만 위의 경우처럼 단순히 DISK에 저장된 파일에 대해서도 일괄적으로 정해진 치료 절차(재부팅을 필요로 하는)가 굳이 적용될 필요는 없다고 봅니다. 실제로도 Skip을 눌러 해당 치료 절차를 이용하지 않아도 DISK에서 정상적으로 삭제가 되며, 삭제된 파일은 백업폴더에 저장이 됩니다.

버그는 아니라고 생각합니다만  치료 절차가 적용되어야할  파일과 아닌 파일을 카스퍼스키 스스로 구분할 수 있었으면 합니다.


2-3. Application Filtering의 쓰레기 규칙 제거

카스퍼스키를 사용하다보면 어플리케이션 필터링의 규칙에서 아래와 같은 규칙들이 쌓이게 됩니다.


어플리케이션들의 설치 파일에 대한 규칙입니다. 이런 규칙들은 설치시에만 필요하고 이 후에는 거의 필요가 없습니다.
이런 설치파일들에 대한 규칙들을 따로 삭제하지 않고서 여러 프로그램들을 설치하다보면 어플리케이션 탭란이 지저분해지기 시작합니다. 게다가 시스템 리소스를 크게 사용하는 것은 아니지만 규칙이 많을 수록 카스퍼스키가 무거워지기도 합니다.

문제는 이런 쓰레기 규칙을 사용자가 일일이 삭제해야 한다는 것입니다. 관리측면에서 귀찮은 일이죠.

코모도 경우는 아래 그럼처럼 Purge 기능으로 현재 사용하지 않는 규칙을 단번에 없앨 수 있습니다.


사용자 배려가 절실히 요구되는 카스퍼스키입니다.


2-4. 국내 보안 프로그램 오진

이 문제는 속히 개선되어야 할 점으로 생각됩니다.

국내의 관공서나 은행권 등에서는 액티브x 형식의 보안제품을 강제적으로 설치하게 됩니다. 문제는 카스퍼스키의 사전방역기능에서 상당수의 국내 보안제품을 오진한다는 점에 있습니다.  특히 키로거 방지 프로그램은 거의 예외없이 오진하더군요.(이 경우는 게임 같은 일반 어플리케이션에서도 오진이 큽니다.)

물론 한글판의 경우 많은 부분 제외 설정이 되어 있고 자동 모드시에 대부분 차단을 시키지는 않는 것으로 파악되었습니다만 최소한 국내에 진출한 업체라면 이런 부분은 좀 더 보완이 되어야 할 듯 합니다.

                                                  안랩 AOS의 키보드 보안 관련 모듈에 관한 알람창 



이상 카스퍼스키의 모든 리뷰를 마칩니다. 
반응형