Panda Internet Security 2010 리뷰 (8) - 압축 파일 처리 방식

판다의 AV 엔진에서 압축 파일내에 악성코드가 있을 경우에 어떻게 처리하는지를 살펴보도록 하겠습니다.

저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.

▶ 관련글 

Panda Internet Security 2010 리뷰 (3-1) - 악성코드 진단 : 실시간 감시 [정식 진단]
Panda Internet Security 2010 리뷰 (3-2) - 악성코드 진단 : 실시간 감시 [의심 진단]
Panda Internet Security 2010 리뷰 (3-3) - 악성코드 진단 : 수동 검사

이번에 살펴볼 것은 일반적인 압축 파일 내에 악성코드가 담겨 있는 경우 판다의 처리 방법입니다. 특별한 것은 아니고, 이전에 다른 제품들의 리뷰내에 포함된 내용처럼 압축 파일 포맷별 처리/내부에 악성코드만 있는 경우/내부에 악성코드와 정상 파일이 혼재이 있는 경우 등을 구별해서 살펴보려고 합니다.

개인적으로 웹가드 류의 패킷 감시 기능과 함께 실시간 감시에서 시스템 리소스 과다 사용의 주범인 압축 파일 검사 기능도 사용하기 때문에, 많은 수의 압축 포맷 해제 지원과 악성코드만 개별적으로 삭제해주는 제품을 좋아합니다.

그러나 개인적으로 사용하는 압축 포맷은 RAR과 ZIP, 7z 정도이기 때문에, 여기에 윈라의 SFX 기능으로 된 실행압축 경우만 추가해서 살펴보도록 하겠습니다. 인스톨러 파일 등이나 UPX 등을 이용한 패킹은 다루지 않겠습니다.

아래 첫 번째 그림은 압축 파일내에 악성코드와 정상 파일이 같이 있는 경우이며, 두 번째 그림은 악성코드만 존재할 때입니다.

정상 파일과 혼재

악성코드만 존재

1. RAR과 SFX 압축

SFX 압축 설정

RAR 포맷으로 압축이 되었거나 SFX 압축을 한 경우 수동 검사에서는 내부 파일 중 악성코드를 진단하기는 하지만 처리를 못합니다. 즉, 압축 파일을 해제할 수는 있지만 재압축이 불가능하기 때문에 사용자에게 진단된 사실만을 보여줍니다.

RAR, 또는 SFX 압축된 내부 악성코드 진단시

실시간 감시에서는 RAR 파일과 SFX 압축된 경우 동일하게 아래처럼 접근을 차단시킵니다.

실시간 감시에서 SFX 내부 파일 처리

이 경우 악성코드가 있다는 것을 판다에서 인지하였지만 처리를 못해 해당 압축 파일에 접근만 못하게 하는 것인데, 실시간 감시를 해제할 때까지 접근이 차단되어 수동으로 압축을 해제할 수도 없습니다. 애초에 내부 파일을 처리 못할 것이면, 굳이 정상 파일도 사용하지 못하도록 접근을 차단할 필요가 있을까 하는 생각이 듭니다.


2. 7z 포맷
 

테스트에 쓰인 7z 포맷 설정

아쉽게도 7z 포맷은 실시간 감시 및 수동 검사에서 지원을 하지 않습니다. 7z 포맷이 나온지는 한참 되었고 rar이나 zip포맷과 같이 거의 표준화되다 싶이 많이 쓰이는 압축 포맷인데도 불구하고 판다를 비롯한 많은 제품에서 최신 버전인 2010버전에서도 지원을 안하는 경우가 대부분인 것을 보면 상당히 아쉽습니다.

7z 포맷일 경우 내부 파일 검사를 못함

3. Zip 포맷

가장 많이 쓰이는 포맷답게 판다에서도 압축 해제 및 재압축 처리를 지원하고 있습니다.

테스트에 쓰인 zip 설정

아래는 실시간 감시에서의 진단입니다. 참고로 테스트의 편의를 위해 수동 검사와 실시간 감시의 테스트에서 다른 악성코드를 사용하였습니다.

실시간 감시에서의 진단

위의 그림같이 실시간 감시에서도 압축 해제 후 악성코드를 처리한 후에 다시 재압축을 실시합니다.
수동 검사의 경우는 아래처럼 처리가 됩니다.

아래 그림은 실시간 감시나 수동 검사에 의해 악성코드만 삭제되고 정상 파일들은 남겨져 재압축 된 것을 보여줍니다.

악성코드 단일 파일만 있는 경우 아래처럼 빈 압축 포맷만 남겨진 것을 확인할 수 있습니다.
비록, 빈 파일이지만 압축 포맷은 유지되고 있습니다.

간혹. 수동 검사로 압축 파일 내부의 악성코드를 처리할 때 아래처럼 재부팅 요구를 할 때가 있습니다. 테스트 시에도 동일한 파일을 여러번 테스트할 때 갑작스레 등장한 경우가 있는데 이 경우 재부팅을 하고 돌아오면 역시 악성코드 처리 후에 재압축 됩니다. 

---

카스퍼스키처럼 암호가 걸린 압축된 파일 내부에 실행파일이 있는 경우 진단되는 정책을 통해 짭짤한 효과를 보는 제품도 있지만, 대부분의 제품에서는 일반 사용자들이 압축을 따로 해제하지 않고 파일을 검사할 수 있다는 용도 이외에는 압축 파일 내부 검사는 쓸일이 없다고 생각합니다. 왜냐하면 실시간 감시가 정상적으로 동작하고 있는 상태에서는 압축된 파일을 해제하여 시스템에 파일이 생성될 때 악성코드가 바로 진단 되기 때문입니다. 압축 파일을 제대로 지원못하는 것이 보안상 큰 문제가 되는 것은 아닙니다. .

앞서 언급한 것처럼 개인적으로는 웹가드류의 패킷 검사 기능을 활성화시키고 거기에 압축 파일 내부 진단도 반드시 포함시키기 때문에, 네트워크 대역폭의 감소 효과와 함께 시스템 리소스 사용 등 이중으로 낭비되는 부분이 있긴 하지만 시스템 유입 전에 확실한 차단을 원하는 분들에게는 괜찮은 설정이라고 생각합니다. 요즘처럼 100MB급 광랜과 함께 CPU등 여러 처리 능력이 올라간 시스템에서는 용량이 작은 압축 파일의 다운 및 검사는 시스템에 큰 영향을 주지도 않습니다.

이번에 살펴본 판다에서도 다른 제품과 비슷하게 RAR이나 7z 포맷을 제대로 지원못하는 것이 다소 아쉽습니다. 그러나 언급한 대로 큰 문제는 아니니 안심하시고 사용하셔도 될 것 같습니다.

참고로 alz 포맷 진단 못합니다. ㅎㅎ

이상으로 판다의 압축 파일 처리에 대해서 살펴봤습니다.