카스퍼스키 무료 수동 검사 도구 - Virus Removal tool

진단과 치료가 무료로 제공되는 카스퍼스키랩의 수동 검사툴을 소개합니다.

저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고,
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.



▶ 관련글

- 무료 악성코드 검사 도구 모음
- 에프시큐어 온라인 스캐너 4.1 버전으로 업그레이드
- 카스퍼스키랩의 Online Scanner : 엔진버전 7

 

1. Kaspersky Virus Removal Tool : 수동 검사용 진단/치료 툴

"무료 악성코드 검사 도구 모음" 포스팅에서는 온라인 스캐너를 비롯해서 실시간 감시 기능이 빠져있는 설치형 제품들을 소개하였습니다. 특히, 글 마지막에서 소개한 노턴이나 A-squared 같은 제품들의 장점은 무료로 제공한다는 점 외에도 실시간 감시용 모듈이 빠져있어 보안 제품의 중복 사용으로 인해 발생될 수 있는 문제점이 상대적으로 적다는 것입니다.

이번에 소개할 카스퍼스키랩의 무료 제품은 위와 같은 제품들처럼 실시간 감시 모듈이 빠져있는 수동 검사용 툴입니다.

카스퍼스키의 수동 검사툴은 아래와 같은 기능과 제한이 있습니다.

• 카스퍼스키 유료 정식 제품(7버전)이 진단하는 모든 종류의 악성코드를 진단/치료
  (루트킷 진단 엔진도 포함되어 있음)
• 검사 및 치료가 끝난 후 종료시에 자동 삭제 기능 제공
• 실시간 감시 기능 미포함 - 시그니처 진단 및 HIPS 기능 부재
• DB 업데이트 불가능

쉽게 말해서 유료 제품에서 실시간 감시 기능과 업데이트 기능 등이 빠져있다고 생각하시면 됩니다. 업데이트 기능이 불가능한 대신 이 수동검사툴은 거의 매일 최신 업데이트를 반영하여 배포합니다. 즉, 새로운 DB를 받으려면 설치한 제품을 삭제 후에 다시 다운받아 사용해야합니다. 

그러나 기본적으로 프로그램 종료시에 자동 삭제를 지원하기 때문에 설치/사용/제거 등 사용법이 매우 쉬워 다운받는 불편함만 감수하면 매우 유용한 도구가 될 수 있습니다. 업데이트가 안되기 때문에 다소 불편한 것이 사실이지만 설치본에 이미 업데이트 파일이 포함되어 있기 때문에 포터블 방식의 프로그램을 사용하듯 USB 등에 담아 언제든지 사용할 수 있어 악성코드에 감염된 PC나 인터넷이 안되는 경우에도 매우 유용하게 사용할 수 있습니다.

(1) 다운로드 링크 - 현재 7.0.290 버전 제공

- 정식 링크 : http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/

위 URL에 접속하면 아래와 같은 화면이 나오며 다운로드 질문창이 활성화됩니다.

최신 DB가 반영되어 있어 정식 링크에서 다운받는 것이 좋은데 다운로드 속도가 상당히 느립니다. 보통 5~30KB 수준의 속도로 40MB가 조금 넘는 크기의 파일을 받아야 하기에 상당한 시간이 걸립니다. 장시간의 다운로드 시간을 고려했는지 카스퍼스키랩 직원들이 결성한 아마추어 그룹의 노래를 제공합니다. 일정한 간격을 두고 새로운 곡을 제공하더군요. :) 

개인적으로는 Orbit같은 다운로드 가속기를 통해 다운받기를 권장합니다. 늦어도 20분 이내에는 다운받을 수 있습니다.

(※ DB만 업데이트하는 방법도 있긴 합니다만 개인적으로는 최신 버전을 다운받는 것을 권장합니다.)

(2) 제품 사용법

다운받은 파일을 실행하면 아래와 같이 Virus remove tool의 설치 여부를 물어보게 됩니다.

최초 실행 화면

"Next" 버튼을 클릭하면 아래와 같이 설치 경로를 물어보게 됩니다.

압축 해제 경로 설정

검사와 치료에 필요한 각종 파일을 풀어둘 폴더를 결정하는 단계입니다. 이때 윈도우 시스템 폴더에도 일부 모듈 파일이 설치되어 실행됩니다. 이로 인해 제거 단계에서 재부팅이 필요해집니다.

저는 보통 바탕화면을 기본 폴더로 해서 설치합니다.

설치 화면

설치가 끝나면 Virus Removal Tool의 메인 화면창이 활성화됩니다. 카스퍼스키의 Removal 툴은 기본적으로 수동 검사와 의심 파일에 대한 분석 의뢰 기능을 제공합니다.

① 수동 검사 - Automatic Scan
명칭이 자동 검사인지라 오해할 수도 있는데 이는 Virus Removal Tool 자체의 엔진과 DB를 바탕으로 자체적으로 검사를 한다는 의미로, 시스템 분석 후 해당 정보를 카스퍼스키랩에 보내어 분석을 의뢰하는 수동적인 진단과 반대의 개념으로 사용된 것입니다.

수동 검사 메인창

카스퍼스키의 무료 수동 검사 도구에서 유일하게 불만인 점은 검사를 하려는 폴더가 미리 지정되어 있다는 점입니다. 온라인 스캐너에도 사용자가 검사하고자 하는 폴더를 세부적으로 설정할 수 있어서, 이부분은 다소 아쉬움이 남습니다. 모든 드라이브를 검사하려면 간단하게 내 컴퓨터를 체크합니다. 네트워크에 연결되거나 시스템에 설치된 모든 하드 디스크를 검사합니다.

(*) 검사 환경 설정
위 그림에서 빨간 박스로 묶인 부분을 클릭하면 유료 제품의 환경 설정과 거의 동일한 형태의 검사 설정창이 활성화 됩니다.

수동 검사 환경 설정

기본적인 것은 위 그림에서 설명하였고 감시 강도에 대해서 특히 Customize(사용자 설정)에 대해서만 추가적으로 설명합니다.

굳이 사용자 설정을 사용하지 않고서도 탭을 통해 High/Recommended/Low의 감시 강도를 설정할 수 있습니다. 이왕 사용하는 보안 제품이 진단못하는 악성코드를 검사하기 위해서 사용하기 때문에 최대 강도로 설정하는 것이 좋다고 생각됩니다만 중요한 것은 사용자의 선택입니다. :) 각 단계에 대한 세부적인 설명은 넘어갑니다.

기본적으로 High 단계에서도 루트킷 엔진은 미구동되며 휴리스틱의 강도도 중간 단계입니다.

"Customize" 버튼을 클릭합니다.

수동 검사 일반 설정

카스퍼스키 7버전의 유료 제품과 거의 동일한 환경 설정을 확인할 수 있습니다. 암호가 포함된 압축 파일 검사의 경우 암호를 알아서 분석해서 검사하는 것이 아니라 검사시 암호가 걸린 압축 파일을 접하게 되면 팝업창이 떠서 사용자가 직접 암호를 입력하여 검사하는 방식입니다.

휴리스틱 검사 설정은 아래와 같습니다.

휴리스틱 탭

카스퍼스키의 루트킷 검사 엔진은 두 가지 검사 방법을 갖고 있습니다. 루트킷을 찾는 기본 알고리즘이 다릅니다. 심층 루트킷 검사의 경우 검사 시간도 기본 루트킷 검사에 비해 오래 걸리고 오진의 위험성도 있지만 악성코드에 감염된 PC에서 은폐된 악성코드를 찾는데 좀 더 효과적입니다.

7버전의 휴리스틱은 8, 9 버전에 비해 다소 성능이 떨어지지만 비교적 좋은 진단율을 갖고 있다고 평가받고 있습니다. 위 그림에서 밝힌대로 오진 문제와 진단율을 저울질 하셔서 민감도 강도를 결정하시기 바랍니다.


이제부터는 실제 검사 및 치료에 대해서 살펴보도록 하겠습니다.

메인 화면창에서는 진단 결과 및 검역소 격리 또는 백업된 객체를 살펴볼 수 없습니다. 검사창에서 모든 진단 객체의 처리에 대한 것을 조정합니다.

각각의 탭에 대해서 살펴봅니다.

ⓐ 진단 결과 보기

Detected 탭

검사시에 진단된 객체의 경로와 진단명을 보여주고 사용자 처리/자동 처리로 인해서 처리된 상태를 보여줍니다. 위 그림에서 빨간색으로 표시된 "Detected" 는 진단만 되고 처리가 안된 상태를 의미합니다.

진단 내역에서 오른쪽 버튼을 클릭하면 아래와 같은 쉘 메뉴가 나타납니다.

진단 내역 탭의 쉘 메뉴

ⓑ 이벤트 기록 보기

이벤트 탭

위 진단 내역 탭과 달리 검사한 모든 파일에 대한 정보 등 모든 이벤트에 대한 기록이 남습니다. 역시 오른쪽 클릭으로 쉘 메뉴가 나타나며 아래의 "Actions" 버튼으로도 쉘 메뉴를 사용할 수 있습니다.

이벤트 탭의 쉘 메뉴

ⓒ 통계 보기

통계탭

ⓓ 설정창

설정탭

이 탭에는 앞서 다루지 않은 두 가지의 추가적인 설정이 존재합니다.
수동 검사시에 시스템 리소스의 사용 우선권을 다른 프로그램에 넘기는 것과 검사 종료 후 시스템 자동 종료 기능입니다.

설정 내역을 살펴보면 Ichecker 같은 검사 효율성 증가를 위한 기능들은 기본적으로 활성화되어 있음을 알 수 있습니다.

ⓔ 검역소와 백업

검역소 탭

백업 탭

카스퍼스키는 다소 독특한 검역소 정책을 갖고 있는데 일반적인 보안 제품에 존재하는 검역소는 카스퍼스키의 백업과 유사합니다. 카스퍼스키의 악성코드 검사에서 정식 DB로 진단되는 경우 삭제 뒤에 백업 장소에 저장이되고, 휴리스틱으로 진단되는 경우 삭제 뒤에 검역소에 저장됩니다. 위 그림은 제가 실험한 악성코드들이 모두 정식 DB로 진단되어 검역소가 아닌 백업 장소에 저장된 것을 나타내고 있습니다.

혹시라도 수동 검사툴을 검사 후 삭제하지 않는다면 위와 같은 검역소 및 백업 장소에 저장된 객체들이 보관되어 있어 언제든지 복구가 가능합니다.



이제부터는 진단 후 처리 과정에 대해서 살펴봅니다. 이 때 자동 처리가 아닌 "검사 종료 후 사용자 처리" 설정을 바탕으로 설명하도록 하겠습니다.

수동 검사 중에 악성코드가 진단이 되면 아래와 같은 팝업창들이 트레이 아이콘 위에 활성화됩니다.

압축 파일 내부의 악성코드 진단

일반적인 진단 팝업창

이후 검사가 모두 마치고 사용자 처리의 단계가 다가오면 카스퍼스키의 오래된 사용자들에게는 매우 익숙한 소리와 함께(돼지 목따는 소리 -_-ㅋ) 아래와 같은 처리창이 활성화됩니다.

정식 진단의 경우 처리창

위와 같이 정식 진단된 악성코드의 경우 검역소 이동이 없습니다. 치료가 불가능할 경우 삭제를 해야하는데 이때 앞서 언급한 것처럼 백업 장소에 저장되니 안심하시기 바랍니다.

아래는 휴리스틱이나 기타 다른 의심진단으로 진단된 객체에 대한 진단창입니다. 이 경우 내부에 실행파일이 존재하며 암호로 보호된 압축파일을 진단하는 경우인데 휴리스틱 진단과 달리 해당 압축 파일을 지우는 설정을 따로 갖고 있습니다.

오진의 가능성이 있긴 하지만 기본적으로 정식 진단의 경우 거의 대부분 악성코드라고 생각하시면 됩니다. 바이럿 같은 감염형 바이러스가 아닌 이상 대부분의 악성코드는 삭제가 기본 처리 방식이고, 백업 장소에 저장이 되니 안심하시고 삭제하시기 바랍니다.

바이럿 처리창 - 치료 기능 활성화

참고로 암호가 걸린 압축 파일 검사가 설정된 경우 검사시에 압호가 걸린 압축 파일을 검사하게되면 아래와 같은 팝업창이 활성화됩니다.

암호 질문창

사용자가 수동 검사 툴을 검사 후에 삭제하지 않는 경우 이전에 검사한 항목들의 기록을 볼 수 있습니다. 아래와 같은 검사창 하단부의 버튼은 이전 기록으로 검사창을 바꾸는 버튼입니다.

② 시스템 분석 후 카스퍼스키랩에 의뢰 - Manual Care

시스템 분석 의뢰

두 번째 단계에서 카스퍼스키랩의 VirusInfo 포럼에 로그인 해야합니다. 회원 가입을 한 후 아래와 같이 첨부된 파일을 포럼에 올리면 이후에 카스퍼스키랩에서 가입시 사용한 메일 또는 게시글의 댓글에 답변을 합니다.

개인적으로는 이전에 카스퍼스키를 사용할 때에 포럼에서 프로그램을 다운받아 한번 사용해본 기능인데 메일로 스크립트 코드가 날라왔으나 정상적으로 실행되지는 못하였습니다.


③ 삭제
마지막으로 삭제에 대해서 살펴봅니다. 앞서 언급한 것처럼 수동 검사툴은 종료 후 자동 삭제를 지원합니다. 이때 시스템 폴더에 설치되어 활성화된 모듈도 같이 삭제하기 때문에 재부팅이 필요합니다. 기본적으로 실시간 감시가 없다고 해도 보안 제품간의 충돌 문제가 완전히 사라지는 것은 아니기 때문에 삭제하는 것이 좋다고 생각합니다. 백업된 파일의 오진 여부가 걱정되다면 다시 복구하여 따로 보관하기를 권장합니다.

종료 버튼을 클릭하면 아래와 같이 언인스톨 여부를 물어봅니다.

No를 클릭하면 카스퍼스키 관련 모듈을 모두 종료시키기만 합니다. 이후 다시 실행시키려면 최초 설치한 폴더에서 아래의 파일을 실행시키시면 됩니다.

 여기서는 Yes를 눌러 삭제를 진행하도록 하겠습니다.

"예"를 눌러 삭제를 진행합니다. 이후 아래와 같은 재부팅 요구창이 뜹니다. 특별히 작업을 하고 있는 것이 있다면 나중에 해도 됩니다만 정상적인 모듈 삭제를 위해 여기서 재부팅을 합니다.

재부팅 후에는 검역소 및 백업 장소에 저장된 파일을 비롯한 카스퍼스키 관련 모든 파일이 삭제됩니다.

---

카스퍼스키의 무료 수동 검사툴에 대해 쓰다보니 거의 보안 제품 리뷰 수준의 글이 된 것 같습니다. 사실 7버전대의 수동 검사툴은 상당히 오래전부터 제공되었습니다. 보안에 관심있는 분들이라면 해당 제품에 대해서 다들 아시리라 생각됩니다. 최근에 국내에서 카스퍼스키 엔진을 제공하는 PC그린이 카스퍼스키와의 계약이 올해까지로 밝혀졌고, 10여년간 카스퍼스키와 동고동락하던 에프시큐어가 비트디펜더 엔진을 차용하면서 국내 개인 사용자가 카스퍼스키 엔진을 가진 제품을 사용할 수 있는 범위가 줄어든 것 같아 이번 글을 작성하였습니다. 사실 개인적으로는 이전에 코모도 제품 사용 중에 문제가 생긴 적이 있어 기피하는 제품이었으나(다소 지저분했던 시스템 문제일 수도 있습니다만) 빌드가 290으로 업데이트 된 이후에 확인해보니 이전에 생기던 문제가 해결된 것 같습니다. 그러나 비록 큰 문제는 없다고 보고되고 있지만 제품을 사용하려는 사용자들께서는  기본적으로 보안 제품의 실시간 감시나 제품 자체를 종료하시고 사용하시기 바랍니다.

개인적으로는 이번 2010(9버전) 출시로 혹시나 8버전대의 무료 수동 검사툴 제공하지 않을까 기대했으나, 비공식적인 정보로 들은 "계획없음" 이라는 소식에 다소 아쉬움이 남습니다.

이상으로 카스퍼스키에서 제공하는 Virus Removal Tool에 대한 리뷰를 마칩니다.