▶ 보안 제품 리뷰/:: Trend Micro

Trendmicro Internet Security 2010 리뷰 (3) - 수동 검사와 검역소/로그보기

물여우 2009. 12. 17. 18:01
반응형

트렌드 마이크로의 진단/치료 기능의 두 번째 리뷰로 수동 검사 기능과 검역소/로그 보기
기능 등을 살펴보도록 하겠습니다.





5. 수동 검사

트렌드 마이트로의 수동 검사는 메인 화면의 "개요"탭에서 "지금 검색" 버튼을 이용하여 사용할 수 있습니다.

수동 검사 사용하기



위와 같이 "지금 검색" 버튼의 우측 삼각형(▽)을 클릭하면 빠른 검색/전체 시스템 검색/사용자 정의 검색 등 3가지 설정의 수동 검사를 진행할 수 있습니다. "지금 검색" 버튼을 누르면 빠른 검색이 자동으로 시작됩니다. 

빠른 검색은 시스템 폴더와 레지스트리 검사 등 중요 항목들만 빠르게 검사할 수 있으며, 전체 시스템 검색은 시스템의 모든 항목을 검사합니다. 사용자 정의 검색은 사용자가 원하는 항목을 원하는 검사 설정을 선택하여 검사할 수 있습니다.


아래는 수동 검사를 시작할 때 활성화되는 수동 검사창입니다.

수동 검사창



검사 후 자동 종료 기능이 있지만 악성코드가 존재하지 않을 경우에만 종료되기 때문에 다소 불편한 점이 있습니다. 스파이웨어의 경우 기본 설정 상태가 사용자 처리이기 때문에 이런 제한이 있는 것 같기도 하지만, 자동 종료 기능에 제한을 둔 것은 큰 의미가 없다고 생각됩니다.

검사 진행 순서를 보면 시스템 취약점 검사(보안 업데이트 등의 유무 검사), 트로이 목마 류의 악성코드 검사, 쿠키, 레지스트리 검사 등이 이루어진 후 시스템 내부의 파일을 검사하게 됩니다. 나중에 검역소에서 살펴보겠습니다만 트렌드 마이크로에서는 바이러스류와 트로이목마류를 따로 구분해서 검역소에 보관합니다. 재밌는 건 바이러스 항목에서도 Trojan으로 분류되는 악성코드를 진단하고 있다는 점입니다.

트렌드 마이크로에서 트로이 목마라고 따로 분류한 항목을 살펴보면 단순히 악성코드의 분류 상 Trojan Horse라고 구분되는 악성코드를 의미하는 것이 아니라 바이러스나 트로이 목마 류의 악성코드에 루트킷과 같은 은폐형 기능이나 기타 다른 기능이 추가된 악성코드를 포함하고 있는 것 같습니다. 따로 루트킷 진단에 대한 설정이나 관리 기능이 없는 것으로 봐서는 트렌드 마이크로에서 트로이 목마로 따로 구분된 항목들은 루트킷 관련 진단이라고 볼 수 있지 않을까 생각합니다.


검사 종료 - 진단된 항목에 대한 결과 보고



검사가 끝나면 위와 같이 진단된 객체에 대한 정보를 제공합니다. 그러나 어떠한 파일이 어떠한 경로에서 진단되었는지에 대한 것은 알 수가 없습니다. 이는 나중에 "로그 보기" 기능을 이용해서 봐야합니다. 이왕 정보를 제공할 것이면 효율적으로 많은 것을 제공해야 하는데 팝업으로 보여주는 정보들은 그런 면에서 다소 부족합니다.


수동 검사의 환경 설정은 아래와 같이 "예약 및 사용자 정의 검색" 부분에서 사용자 정의 검색의 환경 설정에서 담당합니다.

수동 검사 환경 설정



환경 설정 항목은 아래와 같이 두 부분으로 나뉘어 있습니다.

특정 폴더를 사용자 결정



검사 설정 조정



처음 환경 설정의 이름에서 밝히듯이 원래는 사용자 정의 검사에 대한 환경 설정이지만 실질적으로 수동 검사의 모든 항목에 적용이 됩니다. 단, 폴더 지정의 경우는 사용자 정의 검사에만 적용됩니다.
환경 설정은 실시간 감시 항목과 유사하기에 따로 설명하지는 않겠습니다.


▶ 트렌드 마이크로 치료 기능의 성능

트렌드 마이크로에서 활성화된 악성코드를 제거하는 부분에 약간의 문제가 있는 것을 확인하였습니다.


아래와 같이 일부 악성코드가 활성화되었을 때 활성화된 프로세스의 종료나 인젝션된 dll 같은 파일의 제거가 잘 안되는 경우가 많았습니다. 또한 동일한 악성코드가 동일한 상황에서 치료 또는 치료 실패가 되는 경우를 발견하기도 하였습니다. 테스트에 사용된 샘플들은 올해 초에 발견된 다소 오래된 샘플들이며 타 제품에서는 변경된 레지스트리 수정을 포함하여 비교적 제거가 잘되는 편입니다.(일부 제품에서는 재부팅을 요구하기도 합니다.) 쉽게 말해 특별히 제거가 어려운 악성코드는 아닙니다.

인젝션된 dll 파일을 제거 못하는 경우


참고로 위에 "감염된 파일이 무시됨" 경우는 재부팅 이후 치료를 하기 위해 무시되어다는 뜻으로 재부팅 이후에는 처리가 되었습니다.

아래는 DU Super Controler 프로그램으로 넷리미터와 트렌드 마이크로 제품이 제 시스템에서 충돌을 일으키고 있어 임시로 사용한 트래픽 감시용으로 사용되는 제품입니다. 현재 해당 프로그램의 중요 파일을 트렌드 마이크로에서 오진하고 있는데 해당 제품의 설치시에 해당 파일을 진단하였으되 제거 하지 못하였고, 활성화된 이후에는 프로세스를 terminate(강제 종료)하지 못해 제거를 못하는 모습을 보여줍니다.


활성화된 프로세스 종료 불가


실시간 감시는 물론 수동 검사에서도 치료가 안되기 때문에 지속적으로 진단에 대한 팝업 경고만 계속 떠서 상당히 불편한 상황이 연출되었습니다. 위 그림을 보시면 지속적으로 진단은 하되 삭제/격리보관 등의 처리가 안되고 있음을 보여주고 있습니다. 사용자의 접근을 차단하는 "잠김" 처리가 된 것처럼 보이지만 실제로 해당 파일을 활성화된 상태로 정상적으로 동작 중입니다.

일부 파일은 제너릭 진단이기 때문에 치료가 안되었다 볼 수도 있지만 제가 확인해본 봐로는 트렌드 마이크로의 제너릭 진단은 안티버의 그것과 달리 정식 시그니처에 의한 진단이기에 다른 파일의 치료와 다른 경우라 생각하기 어렵습니다.



▶ 클라우드 기술 기반의 "스마트 네트워크 프로텍션"

    이 부분은 정확한 정보를 얻지 못해 개인적인 생각을 기초로 작성하였음을 밝혀둡니다.

트렌드 마이크로의 홈페이지를 살펴보면 클라우드 기술 기반의 "스마트 네트워크 프로텍션" 기능을 상당히 강조하고 있음을 알 수 있습니다. 개인용 제품인 TIS에도 해당 기능이 포함되어 있어 사전 진단과 함께 방대한 샘플에 대한 진단이 이루어진다고 홍보하고 있습니다.

그러나 기업용 제품과 달리 개인용 제품에서는 해당 기능에 대한 설정이나 사용에 대한 항목이 보이지 않습니다. 유일한 것은 아래의 기능인데 트렌드 마이크로에서 홍보하는 것과는 차이가 있습니다.



스마트 네트워크 프로텍션은 트렌드 마이크로 뿐만 아니라 타사의 DB 서버와 연결되어 사용자 시스템의 파일을 외부 서버에서 검사하는 방식입니다. 기업용 제품에서는 아래와 같이 사용이 가능합니다.

오피스 스캔 웹 콘솔의 스마트 스캔 설정 모습



스마트 네트워크 프로텍션 기술은 실 제품에서 스마트 스캔 기능이라 명칭되어 사용되는데 아래와 같이 동작된다고 합니다.

스마트 스캔 구성 - 출처 :트렌드 마이크로




간단하게 보면 최종 사용자 시스템인 클라이언트 시스템과 내부 서버가 연결되고 내부 서버는 외부 클라우드용 DB가 담긴 트렌드 마이크로 서버와 연결되는 것을 확인할 수 있습니다. 내부 서버는 외부 서버와 연결되어 클라우드 DB용 패턴을 다운로드 받습니다. 클라이언트들은 이 내부 서버에 파일의 특정 정보(query값)만 보내어 위험성을 판단합니다.

즉, 클라이언트 PC들이 개별적으로 트렌드 마이크로의 클라우드용 DB서버와 연결되는 것이 아닙니다. 
외부 서버와 클라이언트가 개별적으로 연결하여 쿼리값과 결과값을 주고 받는 맥아피의 아르테미스나 안랩의 ASD와는 차이가 있으며, 이런 구조 때문에 개인용 제품에서는 특별한 설정이나 사용 방법이 없는 것으로 보입니다.

트렌드 마이크로 자체적으로는 클라우드 기술 기반 진단 기능에 상당히 공을 들이며 크게 홍보하고 있는데 개인용 제품에서는 사용할 수가 없다는(또는 확인하기가 어려운) 것은 상당히 아쉬운 부분이라고 생각합니다.




6. 검역소

트렌드 마이크로의 검역소는 "바이러스 및 스파이웨어 제어" 탭의 "격리 보관" 항목에 존재합니다.

검역소


검역소에 접속하는 버튼의 한글화가 애매하게 되어 있음을 볼 수 있습니다. "격리된 파일 검사"라 번역되어 있지만 검역소에 보관된 파일을 AV 엔진으로 다시 검사하는 것이 아닙니다.

검역소 모습



앞서 언급한 것처럼 바이러스/스파이웨어/트로이 목마 등 3가지로 악성코드를 구분하고 있습니다. 
3가지 구별된 항목은 악성코드를 종류별로 구분한 것이지만 악성코드의 처리 방법에 따른 분류로 보면 이해하기는 더 쉬울 듯 합니다. 바이러스 항목은 트렌드 마이크로의 자동 처리로 인해 저장된 악성코드이고, 스파이웨어 부분은 사용자가 직접 처리한 악성코드, 트로이 목마는 수동 검사를 통해 발견된 은폐형 악성코드 등이 저장되었다 생각해도 큰 무리가 없습니다.


바이러스 항목에만 사용자가 직접 특정 파일을 "추가"하는 기능이 있습니다. 아래와 같이 "기타 설정 및 가입"탭에서 사용자 진단 정보를 공유하도록 설정하셨다면, 검역소에 저장된 파일은 자동으로 신고가 되기 때문에 오진이나 악성으로 의심되는 파일을 저장하시면 됩니다.

스마트 보호 네트워크 활성화 설정



그러나 사용자가 직접 신고하는 것이 아닌 자동 신고이기 때문에 신고된 항목에 대한 처리, 즉 시그니처 제외 또는 추가에 대한 답변을 들을 수도 없고, 제대로 신고가 되었는지에 대해서도 알 수가 없기 때문에 매우 불편합니다.   



7. 로그 보기

트렌드 마이크로의 로그 보기 기능은 "개요"탭의 "보안 보고서"이나 "기타 설정 및 가입"탭의 "로그" 항목을 클릭하여 사용할 수 있습니다.

로그 보기 기능 사용하기



로그 보기 기능은 "통계 항목"과 "자세한 로그"  보기로 구분되어 있습니다.

통계 보기



자세한 로그를 클릭하면 아래와 같이 세부 정보를 볼 수 있습니다. 아래와 같이 날짜별/진단된 항목/진단된 항목에 대한 세부정보 등 3단 구조로 되어 있습니다.



로그 기록에서는 위에 그림으로 남긴 바이러스 항목외에 트렌드 마이크로의 모든 행동에 관한 정보가 저장되어 있습니다. 앞선 리뷰에서 밝힌 것처럼 무단 변경 방지 기능에 대한 로그 기록은 정보가 세부적이지 못해 상당히 불만이지만, 기본적으로 직관적으로 정보 파악이 가능한 UI는 상당히 좋은 편이라고 생각합니다.





이상으로 트렌드 마이크로의 악성코드 진단과 관련된 부분을 모두 살펴봤습니다.

개인적으로 클라우드 기술에 흥미가 있어 트렌드 마이크로 제품에 주목하게 된 것인데 개인용 제품에서는 해당 기능을 활용하는 부분이 없어 보여 상당히 아쉽습니다. 특히, 10여개의 보안 업체와 협의하여 클라우드용 패턴 서버를 구성한다는 점에서 진단율과 관련되어 상당한 효과를 보여줄 것 같아 더욱 그렇습니다.


다음 편에서는 방화벽을 중심으로 기타 기능들을 살펴보겠습니다.

이상입니다.
반응형