Avira Antivir Premium Security Suite 10 간단 리뷰 (2)

안티버 10버전의 두 번째 리뷰입니다. 실시간 감시의 변경된 부분을 살펴보도록 하겠습니다.

▶ 관련글

- Avira Antivir Premium Security Suite 10 간단 리뷰 (1)
- Avira Antivir Premium Security Suite 9 리뷰 (9) - 총 평

---

1. 실시간 감시 (Guard)

안티버의 실시감 감시 기능의 핵심 기능인 파일 감시(Guard) 기능은 10버전에서 중심적으로 변화된 항목입니다. Proactiv라는 행동기반차단 기능 추가와 이를 보완하기 위한 클라우드 기술 도입. 악성코드 진단시의 처리 방식의 추가 및 변경, 자동 실행 기능 차단 기능의 추 등이 변화되었습니다.

파일 감시의 경우 기본적으로 9버전과 거의 동일하기 때문에 파일 감시에 대한 세부적인 정보는 9버전 리뷰를 참고 바랍니다.

▶ Avira Antivir Premium Security Suite 9 리뷰 (3-1) - 파일 실시간 감시

(1) Proactiv의 추가

---

안티버의 장점은 시그니처를 이용한 휴리스틱 진단과 제러닉 진단이 매우 뛰어나다는 점입니다. 휴리스틱의 민감도와 모든 진단 카테고리를 활성화할 경우 오진이 어느 정도 있지만 오진에 비해 높은 진단율이 이를 만회한다 할 수 있겠습니다.

그렇지만 아무리 뛰어난 진단율을 갖고 있어도 안티버가 진단 못하는 악성코드가 실제로 존재하며, 안티버의 휴리스틱과 제너릭 진단을 우회하기 위한 새로운 방법을 찾기 위해 끊임없는 연구가 이루어지고 있는 것도 사실입니다. 이러한 악성코드에 대항해서 AVIRA에서는 시그니처의 진단율을 유지하되 새로운 진단 기능을 개발하여 악성코드 진단 기능에 추가하였습니다.

"ProActiv"라 이름 붙여진 이 기능은 HIPS의 일종으로 세부적으로 분류하자면 "Behavioral Blocker - 행동 기반 차단기" 로 동작하는 기능입니다. 해당 기능은 노턴의 "Sonar"가 대표적이며 어베스트의 신 버전에서도 추가된 기능으로 시그니처 기능을 보완하기 위해 많은 수의 제품들이 탑재를 하고 있는 기능입니다. 해당 기능은 어플리케이션이 실행될 때 이를 감지, 해당 프로세스의 행동 패턴을 감지 위험도를 측정하여 실행을 차단/제거 하는 기능입니다.

즉, 시그니처 엔진에서 진단하지 못하는 악성코드를 진단하기 위해 악성코드의 행동을 관찰하여 진단/처리 하는 기능이라 할 수 있겠습니다.

Proactiv가 추가된 모습

※ 메뉴 설명
- Enable Avira Antivir ProActiv : Proactiv 활성화/비활성화
- Take part in Avira Antivir ProActiv community : 클라우드 기술을 이용한 온라인 정보 공유(*)

환경 설정에서 보실 수 있는 것처럼 Proactiv 기능은 파일 감시 기능과 함께 동작하며, 종속되어 있다고도 볼 수 있습니다. 메인 화면이나 트레이 등에서 파일 감시 기능을 비활성화하면 해당 기능도 같이 비활성화 됩니다.

ProActiv 기능은 자체적인 규칙(Rule DB)에 따라 실행된 프로세스를 악성코드로 진단할 수 있지만 사용자가 임의적으로 실행을 허용할 프로세스와 차단할 프로세스를 설정할 수 있습니다.

사용자가 직접 차단/허용 하는 방법

위의 그림처럼 차단 또는 허용할 프로세스를 찾아 추가할 수 있습니다. 차단 기능은 비록 AVIRA의 자체적인 규칙에는 포함되지 않지만 사용자가 판단할 때 실행을 차단해야할 프로그램을 관리할 수 있도록 할 수 있으며, 허용 기능은 AVIRA의 규칙 상으로는 악성코드로 판단되나 특정 환경에서 반드시 실행되어야할 프로그램을 실행시킬 수 있도록 하는 기능입니다. 허용 기능은 시그니처 엔진의 진단 제외 기능과 동일한 역할을 한다 할 수 있습니다.

아래는 ProActiv로 특정 프로세스가 차단될 때 생기는 팝업창입니다.
 

안티버의 ProActiv 진단창

실행이 차단될 때 활성화되는 윈도우 팝업창

(2) ProActiv communiy

---

ProActiv 기능을 비롯한 행동기반 진단 기능들은 프로세스가 구동할 때 수행하는 행동들을 감시하기 때문에 이론적으로는 악성코드의 행동을100%의 차단할 수 있지만, 실제로는 그렇지 못합니다. 카스퍼스키나 코모도에 포함된 HIPS도 마찬가지지만 Behavioral Blocker(행동 차단기) 기능도 악성코드의 행동 패턴을 모두 갖고 있지 못합니다. 또한 정상 프로그램의 경우 악성코드와 유사한 행동을 하는 경우도 매우 많기 때문에 행동 기반 진단 규칙은 매우 제한적으로 만들어질 수 밖에 없습니다. 그래서 현재는 시그니처 엔진을 보조하는 역활로 밖에 사용 못하는 것이 사실입니다.

AVIRA의 경우 이러한 행동 차단기의 약점을 보완하고 빠르게 대응하기 위해 일종의 클라우드 기술을 적용하였습니다. 환경 설정에서 "*" 표시된 항목인 Antivir ProActiv community 기능이 바로 그것입니다.

개인적으로는 에프시큐어의 딥가드처럼 악성유무가 바로 분석되어 실행 차단/허용 여부가 사용자에게 알려지는 것처럼 정보의 전달/피드백이 실시간으로 이루어지는 기능으로 생각하였습니다. 그러나 ProActiv의 규칙은 정규 업데이트에 반영되고 해당 기능은 정보의 전달만을 합니다. 따라서 타 제품들의 정보 공유 기능과 거의 유사합니다. 차이점은 클라우드 기술을 이용해서 실시간으로 정보가 전달되는 것 정도입니다.

해당 기능은 사용자 시스템내에서 행동 차단 규칙상으로는 이상이 없으나  행동이 수상한 프로세스가 발견되면 AVIRA 서버에 해당 프로세스의 정보를 보내고, 서버에서는 이를 분석 악성코드 유무를 판단하여 정규 업데이트에 ProActiv 규칙에 이를 반영합니다.

※ ProActiv Community 기능을 이용할 때 주고 받는 정보
▶ 1차 정보 : 사용자 시스템에서 의심스런 정보가 있다고 서버에 보고
- Information about the relevant rules : 해당 프로세스를 의심하게된 규칙 정보
- The MD5 sum of the file               : 해당 프로세스의 MD5 값
- The size of the file                      : 해당 프로세스의 크기
- Version number of the rules           : 규칙의 버전 정보
▶ 2차 정보 : 1차 정보로 서버에서 악성 여부가 의심된다 판단할 때 요구하는 정보
- The MD5 sum of the file               : 해당 프로세스의 MD5 값
- The file name                             : 해당 프로세스의 이름
- The contents of the file                : 해당 프로세스의 실제 파일 전송(?)

문제가 되는 것은 아마 2차 정보의 3번째 항목이 아닐까 합니다. 해당 파일 전체를 전송하는 것인지 일부 항목들만 전송하는 것인지는 모르겠습니다만, 실제 사용자 시스템 내의 파일이 전송된다는 점에서 사용자들의 판단이 요구되는 부분이라 생각됩니다.

특별히 보안을 필요로 하는 개인 정보나 기밀 파일이 아닌 이상 해당 기능을 통해 전송을 해도 큰 문제는 없으므로 해당 기능을 활성화하는 것이 악성코드 진단과 차단에 도움을 줄 수 있는 방법이라 생각 됩니다만, 반드시 사용해야하는 기능은 아니므로 사용자들의 판단에 따라 활성/비활성 여부를 결정하시기 바랍니다.


(3) 악성코드 진단시 처리 방법의 변화 : 사용자 처리

---

안티버의 자동 처리는 9버전과 차이가 없습니다. 악성코드가 진단되면 자동 처리에서는 선택된 처리 방법에 따라 악성코드를 처리하며 아무런 팝업을 띄우지 않습니다. 수동 처리에서는 변경된 존재합니다.

▶ 포괄적 복구 기능 (Generic repair of registry data and infected files)

---

해당 기능에 대한 영문을 직역하다보니 포괄적 복구라는 다소 애매한 번역이 이루어졌습니다. 해당 기능을 간단히 설명하면 아래와 같습니다.

실시간 감시(파일 감시)에서 악성코드가 진단되면, 해당 파일과 관련된 레지스트리와 시스템에 상주한 프로세스 등을 검사하여 악성코드로 인한 변경점을 자동으로 검사하여 사용자에게 해당 변경점을 포괄적으로 해결 할 수 있도록 하는 기능

쉽게 말하면 악성코드가 진단되면 시스템을 재빠르게 검사해서 악성코드가 변조한 시스템 부분을 진단하여 처리하는 기능입니다.

먼저 악성코드가 진단되면 아래와 같이 "One-Click" 처리창이 활성화됩니다.

One-click 진단 처리창

"Remove"를 누르면, 진단된 객체를 바로 삭제(검역소 이동), "Details"를 누르면 사용자가 진단된 객체에 대한 처리 방법을 선택할 수 있습니다. 둘 중 하나를 선택하면 아래와 같이 시스템을 자동으로 검사하기 시작합니다. 

시스템 검사

해당 검사는 상주된 프로세스와 일부 레지스트리 값 등 매우 제한된 항목만을 검사하기 때문에 몇 초간의 짧은 시간이면 끝나게 됩니다.
 
이후 "Details"를 선택했다면 아래와 같이 이전 버전에서 보이던 사용자 처리 창을 볼 수 있습니다.

사용자 처리창 - 크기 변경이 불가하여 오른쪽이 짤리는 문제

※ 검역소 이동 말고 다른 항목을 선택하였을 경우 하단 부분의 "Copy file to quaratine before action"을 선택하면 검역소에 따로 보관 후 선택된 처리 방법을 실행합니다.

사용자가 악성코드에 대한 처리 방법을 실행("Apply now")하면 아래와 같이 변조된 부분에 대한 복구를 자동으로 시작합니다.

시스템 복구 중

해당 기능은 단순히 웹에서 다운된 파일이거나 압축 파일에서 해제되는 등 외부에서 바로 유입되어 실행되기 전의 파일을 진단했을 경우에는 전혀 필요없는 기능입니다. 시스템 검사와 복구 기능이 다 합쳐서 몇 초 안되는 짧은 시간이지만 이건 상대적인 것으로 보아야하기 때문에 실제로는 진단과 처리에 쓸데없는 시간이 소요된다 할 수 있습니다. 결과적으로는 사용자 처리에서 진단과 처리까지의 경과 시간이 상대적으로 길어졌습니다.

개인적으로는 이러한 이유 때문에 해당 기능이 상당히 불편한데, 이런 기능을 AVIRA에서 의도적으로 추가한 이유는 이미 감염된 시스템내에서 악성코드가 생성한 추가적인 파일에 대한 진단 또는 DB 업데이트를 통한 새로운 진단이 이루어졌을 때 유용하게 사용할 수 있기 때문입니다. 이를 위해서 9버전에 비해 감염된 악성코드의 제거와 시스템 변조 사항에 대한 처리 기능이 어느 정도 개선되었다고도 합니다.

그렇긴해도 포괄적 복구 기능을 활성/비활성화할 수 있도록 환경 설정을 개선해주기를 희망합니다. 사용자 시스템이 클린 시스템이라는 가정에서 외부에서 유입된 파일만을 진단하면 될 것을 진단될 때마다 시스템의 상주 프로그램과 레지스트리 등을 검사할 필요는 없기 때문입니다. 클린 시스템이 아니더라도 이런 방식보다는 수동 검사를 통해 일괄적으로 처리하는게 더 완벽하고 깔끔하게 처리하는 방법이 아닌가 합니다.


(4) 자동 실행 차단 기능 추가

---

악성코드 유포 방법의 순위권에 들어가 있는 외부 저장 장치를 통한 유포는 Autorun.inf라는 파일 내에 저장된 실행 파일 정보를 통해 특정 파일을 실행시키는 방식을 사용합니다. 따라서 요즘 보안 제품에는 USB 등의 외부 저장 장치가 연결되면 해당 드라이브를 자동으로 검사(수동 검사 형식)하거나, Autorun.inf파일을 변조하여 악성코드가 정보를 수정하지 못하던지 하는 방법을 이용하여 해당 유포 경로를 차단합니다.

안티버에서는 실시간 감시 기능이 USB 등이 연결되어 오토런이 실행되거나 사용자가 접근하면 DB내에 있는 파일의 경우 바로 차단이 가능합니다만, DB에 없는 악성코드가 존재할 경우를 상정해서 아예 자동 실행 기능을 차단하는 기능을 추가하였습니다.

 

자동 실행 기능 차단

※ 메뉴 설명
- Block autostart function : 자동 실행 차단
- Exclude CDs and DVDs : CD, DVD, Bluelay 등의 광학매체에 포함된 자동실행은 허용

오토런 실행시 차단 팝업창

최근에는 체리사랑님의 USB ON과 같은 프로그램을 이용해서 시스템 드라이브와 USB 등에 autorun.inf을 변조못하도록 수정하는 분들이 많은데, 매우 좋은 방법이긴 하지만, 해당 프로세스를 행하지 않은 다른 사람의 USB가 연결될 경우에는 위험에 노출 될 수 있습니다. 애초에 시스템 상에서 자동실행 기능을 비활성화하는 것이 가장 안전하지만 안티버 사용자라면 위의 기능으로 간단하게 차단하는 것도 괜찮아 보입니다.

2. 실시간 감시의 버그

예전 9버전에 존재하던 버그 중 실시간 감시의 제외 영역에 "[", "]","{", "}" 등의 특수 문자가 존재할 격우 오류가 생기던 버그는 수정된 것으로 보입니다. 그러나 여전히 윈도 탐색기 기준으로 제외 설정을 하기 때문에 임시 폴더 상의 임시 파일에 대한 제외 설정은 불가능합니다.

현재 버전(10.0.0.536)에서 찾은 버그가 하나 있습니다. 윈도우 임시 폴더에서 특정 파일이 생성될 때 실시간 감시가 사용자 처리로 설정되어 있음에도 자동으로 처리가 되는 현상입니다.

최근에 한글 뷰어 2007설치본에 대해서 어베스트가 오진한 문제가 있었는데, 안티버에서도 비슷한 이유로 오진을 하고 있습니다. 이를 확인하던 중 아래와 같이 사용자 처리 설정하에서 자동으로 처리되는 문제를 확인하였습니다.

한글 뷰어 설치시 자동 차단으로 인해 설치 불가 모습

현재 한글 뷰어 2007은 내부에 다음과 관련된 스폰서 파일 때문에 외국 업체들 일부가 오진을 하고 있습니다. 따라서 설치 중 tmp 파일 일부를 진단하게 되는데, 진단된 객체는 위에서 설명한 것처럼 원클릭 처리창이 나오면서 사용자 처리 과정을 거쳐야합니다. 그러나 위의 그림처럼 해당 파일이 자동으로 처리되어 설치가 중단되게 됩니다. 아무런 팝업이 없기 때문에 이벤트 기록창을 확인해보면 아래와 같이 진단된 내역이 존재함을 알 수 있습니다.

사용자 처리 상에서 자동처리된 증거

해당 파일은 Deny Access처리가 되었는데, 살펴보니 이것은 현재 환경 설정상에서 자동 처리에 지정된 악성코드 처리 방법이었습니다. 실험적으로 자동 처리 설정을 활성화 하여 1차/2차 처리 설정을 ignore로 설정 후  다시 사용자 처리로 바꾸어 한글과 뷰어 2007을 설치해보면 아래와 같이 설치가 정상적으로 이루어지는 것을 발견할 수 있었습니다.

여러 가지 상황을 실험하던 중 아래와 같이 IE 웹브라우저의 임시 폴더에서도 사용자 처리창 활성화없이 자동처리되는 경우도 발견하였습니다. 이 경우는 외국에 서버를 둔 포르노 관련 사이트인데 현재 ISP에서 차단 중이기 때문에 접속하면 유해물 경고 페이지로 자동 이동(Redirection)이 됩니다.

특정 웹 접속시 생긴 버그

일반적으로 악성코드가 유포되는 사이트에 접속을 하면 정상적으로 사용자 처리창이 활성화 되었는데, 위의 두 경우는 왜 발생하는지 알 수가 없습니다.
 
상황이 어찌되었던 안티버의 버그인데 다음 버전에서는 수정이 되었으면 합니다.

---

안티버의 실시간 감시를 살펴보았습니다. 10버전의 변경점 중 사실상 핵심적인 부분을 살펴본 것 같습니다. 다음 리뷰에서는 수동 검사를 비롯한 다른 실시간 감시 기능의 변경점들을 살펴보도록 하겠습니다.

- 이상입니다.