▶ 보안 제품 리뷰/:: ETC

Nod32 2.7 네이버 오진 제외하기

물여우 2009. 6. 5. 02:09
반응형

Eset 제품의 네이버 오진에 대한 두 번째 포스팅입니다.

저는 보안 전문가가 아니며 해당 프로그램에 대해 전문적이고 기술적인 지식을 가지고
이 글을 작성하는 것이 아니므로, 이 글의 일부 내용에는 오류가 있을 수 있음을 밝힙니다.




이 포스팅은 올리지 않을 생각이었습니다만 이미 아래와 같은 방법으로 해결하는 분들이 있으셔서 해당
설정의 위험성을 알리고자 올려봅니다.

이전 포스팅에서 2.7버전에서는 제외설정이 불가능하다고 언급한 것은 2.7의 기능이 최신 버전에 비해
허술해서 보안상 권장하지 않는 방법으로 밖에 제외설정이 불가능하기 때문입니다.

위험한 방법이지만 아래와 같은 방법으로 진단 제외가 가능합니다. 제가 모르는 다른 방법이 있을 지도
모릅니다. 그런 방법이 있다면 가급적 그 방법을 공유해주시기 바라며 아래의 방법은 사용하지 마시기
바랍니다.
 
이 설정으로 인해 악성코드에 감염될 수 있다는 사실을 반드시 기억하시기 바랍니다!!
해당 설정을 지정하면서 생기는 피해는 제가 책임질 수 없습니다.

(1) IMON 제외


이몬의 설정에 진입합니다.

① 확장자로 제외 : 아래 순서대로 따라하시면 됩니다.




그리고 확인 버튼을 누르면 네이버 검색시 search.htm 파일을 이몬에서 진단하지 않습니다.


② 프로세스 제외 : IMON에서는 제외 항목에서 특정 프로세스의 네트워크 연결을 감시하지 않을 수 
있습니다.







(2) AMON 제외

아몬의 설정에 진입합니다.

① 파일 화장자로 제외

IMON과 동일하게 확장자를 추가하여 진단에서 제외시킵니다.


② 임시 파일 폴더 포괄적 제외 : 최신 버전과 달리 2.7 버전에서는 '*' 을 활용할 수 없습니다.




위의 단계에서

C:\Documents and Settings\Administrator(사용자에 따라 변경)\Local Settings\Temporary Internet Files  

를 복사/기입합니다.

아니면 아래의 폴더 버튼을 이용해서 임시 파일 폴더 경로를 찾아가셔도 됩니다.




위와 같이 IMON과 AMON에 조치를 취하면 IMON과 AMON에서 네이버를 오진하는 것을 제외시킬 수
있습니다.

그러나 위의 제외 설정을 보시면 아시겠지만 htm파일을 아예 감시에서 제외하거나 특정 프로세스,
폴더를 포괄적으로 감시에서 제외하는 방법입니다.

이러한 방법이 위험한 이유는 현재 웹상에서 유포되는 악성코드는 1차 소스인 htm파일을 통해 중간 취약점 매체인 pdf, swf 등을 다운받거나 아니면 직접적으로 최종 파일인 exe을 다운, 실행시키게
되기 때문입니다.

즉, 위와 같은 설정을 하게되면 일차적으로 악의적인 요소가 있는 htm 파일을 진단하지 못하게됩
니다. 만약 최종 파일인 exe 파일이 노드의 DB에 없다면 그대로 감염되는 것입니다. 노드같은 경우
는 htm 파일에서 iframe과 취약점과 관련된 특정 스크립트를 패턴 진단으로 진단하는 경우가 많기
때문에 exe파일이 DB에 없어도 사전차단 되는 경우가 많습니다.

다시 한번 말하지만 위의 방법은 권장하는 방법이 아닙니다. 정식 사용자시라면 3버전이나 4버전으
로 업그레이드 하는 것을 권장합니다. 최신 버전에서는 퍼포먼스는 떨어질 지 몰라도 자기 보호 기능
등의 향상과 함께 제외 설정도 안전하게 할 수 있습니다.




- 이상입니다.
반응형
1 ··· 3 4 5 6 7 8 9 10 11