▶ 보안 제품 리뷰/;; Ad-Aware

Ad-Aware Free Internet Security 리뷰 (3) - 실시간 감시 (Ad-Watch)

물여우 2010. 8. 23. 09:48
반응형
애드어웨어의 실시간 감시 기능을 살펴봅니다. 





4. 실시간 감시 (Ad-Watch)

4-1. 기본 실시간 감시


(1) 실시간 감시 설명 및 UI

애드어웨어(Ad-Aware)는 실시간 감시를 Ad-Watch라는 독특한 이름으로 부르고 있습니다. Ad-Watch는 기본적으로 4개의 감시 항목으로 구성되어 있으며 외부 기능으로 추가적인 실시간 감시를 갖고 있습니다. 무료 제품에서는 아쉽게도 1개의 기본 감시와 1개의 추가 감시만 존재합니다.


▶ Ad-Aware Free Internet Security의 실시간 감시(Ad-Watch) 특징
- 프로세스 실행시에만 진단
- 자동 처리 (프로세스 실행 차단)
- 진단시 실행만 차단까지만 수행 : 검역소 이동 등의 추가 조치 없음


아래는 Ad-Aware에서 제공하는 실시간 감시 항목을 정리한 것입니다.
(※ 회색 부분은 유료 제품에서만 지원)

실시간 감시 종류

기능 설명

- process Protection

실행되는 프로세스의 악성 여부를 진단 (시그니처 기반)

- File Protection

파일 생성/수정/삭제 파일에 접근이 이루어질 경우 자동으로 검사

안티 바이러스의 기본적인 실시간 감시 기능

- Registry Protection

레지스트리의 변경 여부를 감시

변경시 해당 사항에 대해 허용 여부를 사용자에게 알림

- Network Protection

Ad-Aware 탐지된 위험 사이트에 접속시 이를 차단

(안티버의 웹가드 같은 AV엔진 검사 방식이 아님)

- DownLoad Guard

IE에서만 동작하는 기능.
 IE에서 사용자 시스템으로 다운받는 파일을 AV엔진으로 검사

부분적으로 웹가드와 비슷하나 사용자가 직접 다운받는 파일만 감시



위 표에서 알 수 있듯이 애드어웨어 무료 제품에서는 안티 바이러스에서 기본적으로 제공되는 실시간 감시 기능의 일부가 빠져있습니다. Ad-Aware는 프로세스가 실행될 때에만 실시간 감시 기능을 통해 악성코드를 진단할 수 있습니다. 그래서 개인적으로 Ad-Aware 무료 제품의 최대 단점은 바로 실시간 감시 항목이라 생각합니다.


일반적으로 안티 바이러스의 실시간 감시는 시스템에 파일이 생성되거나 파일에 접근할 때, 백그라운드에서 자동으로 검사를 수행하며, 이를 통해 악성코드를 진단할 수 있습니다. 또한, 현재 실행된 프로세스의 경우 프로세스에 인젝션된 라이브러리 파일까지도 검사할 수 있습니다.[각주:1]
 

일반적으로는 애드어웨어 무료 제품에서 제공하는 실시간 감시 방법으로도 크게 문제되지는 않지만, 기술적으로 악성코드가 실행될 때, Ad-Aware에서 제공하는 실시간 방법 등을 우회하는 것이 가능하다고 알려져 있습니다.

따라서 개인적으로는 보안에 다소 취약할 수 있는 일반 사용자들이나, 무료 제품을 주로 사용하고자 하는 사용자들의 경우, 파일 접근/생성시에도 실시간 감시를 통해 악성코드를 진단할 수 있는 다른 무료 제품을 권장합니다.

유료 제품의 경우 실시간 감시 기능이 문제없이 제공되니 오해가 없길 바랍니다. 사실상 무료 제품은 유료 사용자를 위해 맛보기 형식으로 제공되는 무제한 체험판이라고 볼 수 있기 때문에, 정책적으로 무료 제품에 기능 제한을 가한 부분이 이상한 것은 아니라고 봅니다.


아래는 실시간 감시시 악성코드를 실행시켰을 때 나타나는 팝업창입니다.

실시간 진단 팝업창



※ "Don't alert me about this process again" 에 체크시 동일한 악성코드를 실행시에 다시 실행 차단 알림 창을 띄우지 않습니다.

앞서 설명한 것처럼 실시간 감시 기능은 악성코드가 발견될 때 자동으로 처리합니다.  환경 설정 상에서도 사용자 처리 관련 항목이 없습니다. 또한, 실시간 감시를 통해 악성코드를 진단했을 경우, 실행되는 것만 차단하고 해당 파일을 검역소 등으로 이동/백업하지 않습니다. 따라서 악성코드가 발견되어 보안 제품이 진단했을 때에도 악성코드가 시스템 내부에 남아있기 때문에, 사용자가 삭제하거나 수동 검사 수행 등의 추가적인 조치를 직접 취해야 한다는 단점이 있습니다.

이때문에 악성코드 진단시 재부팅을 통한 악성코드 제거 시도합니다. 재부팅 과정에서 애드어웨어가 진단한 악성코드를 자동 삭제합니다. 이는 수동 검사에서도 마찬가지입니다.

재부팅 치료에 대한 알림창


재부팅 과정에서의 치료 과정




아래는 실시간 감시 메인 창 모습입니다. 

실시간 삼시 메인 창



해당 창에서 실시간 감시 기능의 활성화 여부와 최근에 진단한 내역 등을 보여주며, 세부 로그 기록을 열람할 수 있습니다. 유료 제품에서는 파일 감시/레지스트리 감시/네트워크 감시 등의 기능이 제공되는 것을 확인할 수 있습니다.


아래는 실시간 감시에서 진단된 항목들의 실행 여부를 설정하는 Process Rules창입니다.

프로세스 규칙 관리창



사용자가 직접 규칙을 추가할 수는 없습니다. 실시간 감시에서 진단된 항목들을 자동으로 차단되어 등록됩니다. 사용자는 해당 프로세스의 실행을 계속 차단할 것인지 허용할 것인지를 설정하게 됩니다. 단, 수동 검사 항목에서 수동 검사와 실시간 감시 진단을 모두 포함하는 예외 항목이 있기 때문에, 자주 사용되는 항목은 아닐 것으로 보입니다.


(2) 실시간 감시 설정


실시간 감시 설정창



실시간 감시에 대한 설정은 매우 단순해서 위 화면으로 모든 것을 설명할 수 있습니다. 

"Detection Layers" 항목의 "Behavior-based detectin" 항목은 실시간 감시에서는 유료 버전에서만 활성화되는 기능인데, VIPRE의 휴리스틱 기능 중 한가지로 알려져 있습니다. LavaSoft에서 자랑하는 휴리스틱 기능인 "Genotype heuristics detection"과는 별개의 진단 기능입니다. Genotype 진단은 기본적으로 활성화되어 있는 것으로 보입니다.

 


4-2. 추가 실시간 감시 기능 : Download Guard

다운로드 가드는 앞서 설명한 것처럼 IE에서만 동작하는 기능이며, Ad-Aware와는 독립적으로 구성된 프로세스를 갖고 있습니다. 게시판에 첨부 파일로 올려졌거나 링크가 걸린 파일을 다운받을 때, 해당 파일을 검사하는 기능입니다. 

Ad-Aware 무료 제품에서는 실시간 감시 기능이 제한적이기 때문에, 외부에서 유입되는 악성코드를 차단하기 위해서는 필요한 기능입니다. 그러나 Download Guard도 IE에서 링크나 첨부 파일 형식으로 다운되는 파일만 검사하기 때문에, 일반적인 실시간 감시 기능으로서는 부족하다 할 수 있습니다. 또한 IE에서만 동작하기 때문에 파이어 폭스나 오페라는 물론, IE 기반 웹브라우저인 웹마, 맥쏜, 더월드 등에서도 동작하지 않습니다. 따라서 애드어웨어를 사용할 때 IE가 아닌 다른 웹브라우저를 사용할 경우, 보안상 더 취약하다고 할 수 있습니다.


아래 그림은 IE에서 다운을 시도할 때 활성화되는 다운로드 안내창입니다. 제목 표시줄에 "File Download" 와 하단부의 경고 메세지를 제외하고는 일반적인 IE의 다운로드 창과 동일합니다.

파일 다운로드시


여기서 "Open"이나 "Save"창을 누르면 아래처럼 다운을 받고나서 검사를 하게됩니다.

검사 완료 - 정상 파일


※ IE의 다운로드창과 마찬가지로 "Close this dialog...." 항목을 체크하면, 다운로드가 완료될 때(안전한 파일의 경우) 안내창이 자동으로 꺼지게 됩니다.


악성코드가 발견될 경우 아래와 같이 표시가 됩니다. 이때 "Send to Ad-Aware" 버튼을 눌러야먄, 다운된 파일을 삭제할 수 있습니다.

검사 완료 - 악성 파일



정상적으로 삭제가 될 경우 아래와 같은 팝업창이 뜹니다.

악성코드 치료 과정



위 팝업창 이후에 아래와 같이 수동 검사창의 결과창이 활성화됩니다. 이때 삭제된 파일을 사용자에게 처리하도록 요구하게 됩니다. 결국은 다운로드 가드에서 자체적으로 처리하는 것이 아니라, AV엔진을 빌려 검사한 후 처리는 Ad-Aware에서 맡기는 것을 알 수 있습니다.

수동 검사 형태로 변환



수동 검사 결과창과 검역소 등은 수동 검사 부분을 다룰 때 설명하도록 하겠습니다.






실시간 감시 부분은 Ad-Aware를 사용하면서 가장 아쉬운 부분이 아닐까 합니다. 이유에 대해서는 본문에서 충분히 이야기 한 것 같습니다.

제한적인 실시간 감시를 제공하기보다는, 파일 감시가 포함된 완전한 실시간 감시를 제공하거나, 실시간 감시를 완전히 비활성화시킨 무료 제품을 제공하는 것이 더 좋았을 것이라 생각됩니다. 중복 사용이 권장되는 사항은 아니나, 과거 Ad-Aware에서 무료 제품처럼 실시간 감시가 제거된 상태였다면, 안티 스파이웨어 또는 보조 검사 도구로서 사용을 할 수 있기 때문입니다.



- 이상입니다.


  1. ※ 과거 알약의 실시간 감시가 문제되었던 부분, 현재는 "높음" 설정으로 해결 [본문으로]
반응형