Panda Internet Security 2010 리뷰 (3-3) - 악성코드 진단 : 수동 검사

판다의 악성코드 진단 기능과 관련도니 마지막 포스팅으로 수동 검사 기능에 대해서 살펴보도록 하겠습니다.

저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.



▶ Panda Internet Security 2010 리뷰 모음

(1) 개요 및 설치 환경
(2) 메인 화면 및 트레이 UI
(3) 악성코드 진단/치료 
      - 실시간 시스템 감시 : ① 정식 진단  ② 의심 진단



5. 수동 검사 - Scan

판다의 수동 검사는 클라우딩 기술이 포함된 의심진단 기능이 존재하는데, 이 기능으로 인해서 반드시 네트워크 연결을 필요로 합니다. 물론 네트워크가 연결안된 상태에서도 검사가 가능하나 네트워크가 연결되지 못한다는 것을 판다가 파악하고 일반 AV엔진으로만 검사하는 것으로 검사 설정이 변경되는 과정이 다소 오래 걸리는 단점이 있습니다.


아래와 같이 판다의 수동 검사는 판다 메인 화면의 두 번째 탭인 Scan 항목입니다.

스캔 메인 화면 모습

위 그림과 같이 판다에서 제공하는 여러 검사 경로 중 하나를 선택하여 검사를 진행할 수 있도록 구성되어 있습니다. 취약점 검사는 나중에 살펴볼 취약점 실시간 감시 기능과도 연관성이 있는데 윈도우 업데이트 등이 안된 경우 등 시스템 내에 존재하는 취약점을 찾아 사용자에게 알려줍니다.

사용자 지정 경로 검사는 아래와 같이 구성됩니다.

사용자가 직접 검사 경로를 설정하는 경우

특정 파일 및 특정 폴더 검사는 위와 같이 메인 화면창에서도 가능하지만 아래와 같이 마우스 우클릭 쉘 메뉴를 통해서도 가능합니다.

5-1. 환경 설정

수동 검사의 환경 설정은 이전에 살펴본 실시간 감시 항목과 거의 동일합니다. 실시간 감시 항목의 정식 진단(Known Threat)와 의심 진단(Unknown Threat) 설정 중에서 시그니처 진단과 관계된 항목들이 함께 존재한다고 보시면 됩니다.

(1) Scan 탭 - 검사 환경 및 강도 설정

수동 검사 환경 설정창

이 부분은 실시간 감시 항목에서 모두 살펴본 내용이니 포스팅 맨 위 링크를 참고 바랍니다.

앞서 언급한 것처럼 판다의 수동 검사에는 클라우딩 의심 진단 기능이 포함되어 있는데 위 그림의 의심 진단 항목과 함께 묶여 구성되어 있습니다. 

판다의 클라우딩 기술은 맥아피나 안랩의 그것과 달리 실시간 감시에서는 동작하지 않고 오로지 수동 검사 항목에서만 동작합니다. 제가 보유하거나 얻는 샘플들의 수가 적어서 별 의미가 없는 이야기지만 기본적인 시그니처 휴리스틱 항목을 보완하는 역활로서는 좋은 것 같습니다.

기본적으로 다른 제품들처럼 시스템에 내장된 av엔진으로 검사 후 미진단되는 항목에 대해서만 서버에 보내 확인을 하는 것으로 보입니다. 역시 모든 파일을 보내는 것이 아닌 특정 키값만을 보내며, 모든 파일을 다 검사하는 것은 아니라고 합니다만 자세한 정보는 없습니다.

시그니처 휴리스틱 부분은 설정은 단순히 활성화/비활성화 항목 하나만 존재하지만 실시간 감시의 실시간 감시 항목과는 다르게 클라우딩 기능의 활성화/비활성화 항목도 포함되어 있습니다. 이것은 개인적으로 좋은 구성은 아니고 판다의 단순함에서 비롯된 단점 중 하나라고 봅니다. 앞서 언급한 것처럼 네트워크 연결이 없을 경우의 딜레이 현상이 존재하고 일반 AV엔진에 포함된 시그니처 휴리스틱에 비해 다소 민감한  클라우딩 진단 설정만 비활성화하고 싶은 경우 환경 설정 내에서는 조정이 불가능하기 때문입니다.

참고로 클라우딩 기술을 이용하여 진단된 의심 파일도 진단명은 일반 시그니처 의심진단과 동일한 Suspicious files 입니다.

(2) Actions- 진단된 파일 처리, Warnig - 진단 알람 설정

악성코드 처리 설정창

두 번째 Action 탭에서는 진단된 악성코드 처리 방법을 설정합니다.

판다의 악성코드 진단 항목 중에서 유일하게 사용자 처리 항목이 존재합니다. 그러나 의심 진단의 경우 사용자가 처리할 수 없고 자동으로 검역소로 이동하게 됩니다.

정식 진단과 의심 진단의 처리 방법 차이

설정이 단순하고 자동 처리 방식이 주요 정책이다보니 이런 문제가 발생하는 것 같습니다.
의심진단된 객체의 위험성은 사용자가 판단할 사항이 아니다?


세 번째 탭은 악성코드가 진단 사실에 대한 알람창에 대한 설정입니다. 이 부분은 실시간 감시 항목과 동일하기에 실시간 감시 : 정식 진단 포스팅을 참고 바랍니다.

5-2. 수동 검사 화면

아래 그림은 판다의 실제 수동 검사 화면입니다.

수동 검사 모습

검사 시간 경과 및 예상 완료 시간 등의 정보는 없지만 압축 파일이나 특정 파일 분석에 따라 시간 정보가 정확한 것은 아니어서 상관없을 듯 합니다.

앞서 설명한 것 중 Ask Which action to take 로 처리 방법을 설정하면 수동 검사 중 악성코드가 진단되면 아래와 같은 처리창이 활성화됩니다.

사용자 처리 창

간단하게 구성된 처리창이지만 실시간 감시에서도 이런 항목이 존재하였으면 하는데 개인적으로 참 아쉽습니다.

아래 그림은 검사가 완료된 상태의 모습입니다.

검사 완료/ 결과 정보 창

Report 버튼을 클릭하면 리포트 항목이 활성화되는데 이 부분은 리포트와 검역소를 다룰 때 설명하도록 하겠습니다.


이번에는 앞서 언급한 판다의 클라우딩 기능에 대해서 조금 더 살펴보도록 하겠습니다.

수동 검사를 시작하여 수동 검사창이 활성화되면 아래와 같이 가장 먼저 판다의 클라우딩 서버에 연결을 시도합니다.

판다 서버와의 연결

외부 네트워크에 연결이 된 상태라면 문제없이 진행이 되지만 네트워크가 연결 안된 경우 Connecting 과정에서 지속적으로 멈추어져 있습니다. 제 시스템에서는 1-2분 정도, 간혹 더 오랫동안 서버에 연결 신호를 계속 보내며 검사가 정체됩니다. 결국 판다 서버에서 연결 신호에 응답이 없을 경우 아래와 같이 사용자에게 네트워크 미연결 상태라는 것을 알려줍니다.  

연결 실패 정보

이후 av 엔진으로만 검사가 진행됩니다. 따라서 정식 DB 진단 및 시그니처 의심 진단은 정상적으로 진행됩니다.

판다에서 제공하는 무료 제품 중 하나인 클라우딩 백신은 실시간 감시/수동 검사 모두 클라우딩 방식으로 동작합니다. 정작 유료 제품에서는 실시간 감시 항목에서 클라우딩 기능을 사용할 수 없는 이유는 아마 사용자 시스템의 퍼포먼스 문제와 서버의 대역폭 확보, 그리고 오진 위험성 때문이 아닐까 합니다.

판다의 수동 검사는 PE 등에서 보이느 리소스 점유는 적지만 상당히 시스템 퍼모먼스를 떨어트리며 속도도 2009에 빨라졌다고는 하지만 여전히 느린 편입니다. 여기에는 클라우딩 기능도 한 몫한다고 생각합니다.


판다의 수동 검사 메인 화면을 보면 취약점 검사 항목이 있습니다. 해당 항목은 아래와 같은 검사창을 활성화 시킵니다.

취약점 검사

5-3. 예약 검사 - Schedeul scan execution

판다의 예약 작업은 수동 검사 항목에서 같이 설정합니다.

예약 작업 환경 설정

기본적으로 존재하는 윈도우 부팅 시 검사 기능은 사용자가 삭제할 수 없습니다.

예약 작업 항목의 설정을 변경할 때에는 "Scan Settings"를 클릭합니다.

환경 설정 변경

검사할 경로 설정은 아래와 같이 설정합니다.

경로 설정

두 번째 검사 설정 항목은 앞서 다룬 수동 검사 항목과 동일함으로 넘어갑니다.

예약 작업 검사는 맨 아래 버튼입니다.

예약 작업 일시 설정

기본 작업으로 구성된 윈도우 부팅시 검사 기능은 위와 같이 비활성화된 상태입니다.

판다 자체가 그리 가벼운 제품이 아니기 때문에 이런 예약 작업까지 활성화시켜두면 부팅시 딜레이가 상당합니다.


예약 신규로 생성할 때에는 아래의 과정을 거칩니다.

예약 작업 생성 시작

예약 작업 검사 경로 설정

예약 작업 세부 설정

위 항목에서 Schedul 항목의 설정은 아래와 같습니다.

예약 작업 시작 설정

예약 작업 이름 설정

예약 작업 생성 종료

---

판다의 수동 검사 항목시 시스템 퍼포먼스 하락도 상당합니다. 그러나 전체적으로 무거운 판다 제품 치고는 수동 검사시의 리소스 사용은 비교적 적은 것 같습니다. (나중에 살펴보겠습니다만 PE 등에서 보이는 리소스 사용은 상당히 작습니다.)

판다의 클라우딩 기능이 수동 검사에만 존재하는 점과 의심 진단의 경우 자동 처리된다는 점 등이 개인적으로는 불만이지만 간단한 설정과 간편하고 직관적인 UI는 역시 장점으로 보입니다.


이상으로 판다의 수동 검사 항목에 대한 포스팅을 마칩니다.