▶ 보안 제품 리뷰/;; Ad-Aware

Ad-Aware Free Internet Security 리뷰 (6) - 심층 분석

물여우 2010. 9. 25. 21:33
반응형

애드어웨어의 세부 사항을 살펴보겠습니다.



지금까지 애드어웨어의 UI와 각 기능을 설명하였습니다. 이번 글에서는 프로세스 정보와 내부 엔진 정보, 버그 등 세부적인 정보를 살펴보도록 하겠습니다

(1) 프로세스 정보


프로세스 정보


프로세스 이름

프로세스 기능

AAWService.exe

메인 프로세스로 각종 모듈을 로딩하며, 다른 프로세스를 제어 담당
 실시간 감시 등을 직접 제어

AAWTray.exe

트레이 아이콘 관련 프로세스

Ad-Aware.exe

메인 화면 모듈, GUI를 담당

Ad-AwareAdmin.exe

작업 처리 프로세스

수동 검사·업데이트 등의 메인 작업과 진단된 파일 처리 등의 작업을 수행



기본적으로 부팅 후 메모리에 로딩되어 있는 프로세스는 "AAWTray.exe"와 "AAWService.exe"입니다. 이후 작업에 따라 추가적인 프로세스가 로딩됩니다.

Working Set 정보에서처럼 메모리 사용율 자체는 그리 높지 않습니다. 수동 검사 시에도 CPU 사용율이 50%를 넘지 않습니다.[각주:1]

무료 제품의 경우 실시간 감시 기능의 제한 때문인지 웹서핑 딜레이와 파일 접근·생성(파일 복사·압축 해제 등)과 관련된 딜레이가 크지 않으며, 프로그램 구동 시에도 특별한 딜레이는 없습니다. 그러나 부팅 딜레이는 사용하는 리소스에 비해 비교적 큰 편입니다.

메인 화면 구동이나 수동 검사·업데이트 작업시 초기 딜레이 등 소소한 부분을 제외하면 전체적으로는 비교적 가벼운 제품으로 생각됩니다. 따라서 시스템 퍼포먼스면에서 비교적 나쁘지 않은 제품입니다.



(2) 엔진(Engine) 정보


애드어웨어의 엔진은 자체 엔진(일반 엔진+휴리스틱)과 외부 확장 엔진인 VIPRE 엔진 등 2개로 구성되어 있습니다. 애드어웨어 자체 엔진은 "Engine 1"으로 표시되며, VIPRE는 "Engine 3"으로 표시됩니다.[각주:2]

악성코드 진단 시 엔진의 우선순위는 일반 엔진 > 휴리스틱 엔진 > VIPRE 엔진입니다.

애드어웨어에 포함된 VIPRE 엔진은 DB를 통한 정식 진단 뿐만 아니라 genscan, cobra, 가상화 기반 행동 기반 시그니처 진단 등이 가능하도록 구성되어 있습니다. 현재 사용되는 최신 VIPRE 엔진에 비해서 버전이 떨어지는 SDK 엔진이긴 하지만 원본에 비해서 진단율, 처리 속도 등이 크게 떨어지는 것은 아닙니다.


VIPRE 관련 모듈은 엔진 우선 순위는 자체 엔진보다 떨어지지만, 애드어웨어의 많은 부분을 책임지고 있습니다. 아래는 애드어웨어에서 로딩 중인 VIPRE 관련 모듈입니다.


진단과 치료, 압축 파일 해제 등 사실상 중요한 부분을 다수 VIPRE 모듈들이 담당하고 있는 것을 볼 수 있습니다.

시간이 없어 확인하지는 못했지만 아래와 같이 VIPRE의 실시간 감시 관련 모듈도 애드어웨어 설치 폴더에 존재합니다.

확인은 못했지만 유료 제품의 파일 감시 부분을 담당하는 것이 아닐까 예상됩니다.

안티 스파이웨어 부분에서 비교적 좋은 평가를 받고 있던 업체의 제품이었기 때문에 주요 부분을 외부 업체의 모듈을 이용하여 해결하고 있다는 부분은 개인적으로 다소 실망한 부분입니다.

참고로 애드어웨어의 최상위 제품군인 토탈 시큐리티 제품은 G-data를 UI부터 엔진까지 거의 그대로 빌려쓰고 있습니다.

물론, 엔진의 핵심인 코어 부분만 가져와 다른 부분을 자체적으로 해결하는 경우, 빌려온 엔진을 자신들의 틀에 최적화 시켜야하며, 실시간 감시 및 치료 기술 수준 등 기술력에 관한 이슈가 나타나기 마련입니다. 애드어웨어의 경우처럼 중요 부분 전체를 다 빌려오면 외부 엔진의 최적화에 들어가는 낭비와 함께 기술력에 관한 이슈를 피해갈 수는 있습니다.

그러나 업체의 스스로의 자립을 기준으로 놓고 보변 애드어웨어 같은 방식은 자신의 정체성을 잃어버릴 수 있는 독과 같은 것이 아닐까 생각합니다.

자체적인 엔진이 그대로 남아있어 어느 정도 위기 대응도 가능하고, VIPRE에서 진단하던 샘플들이 시간이 지나면 자체 엔진을 통해 진단되는 것을 볼 때, 내부적으로 어느 정도 자체적인 시스템은 갖춘 것 같지만, 과거 안티 스파이웨어로 유명했던 제품의 현재 모습이 상당히 안쓰러워 보입니다.



▶ 버그
 
현재 리뷰 중인 의외로 자잘한 버그가 거의 없습니다. 리뷰를 시작할 때에는 버전이 8.3.0이었으나 현재는 8.3.3입니다. 8.3.0에서도 비교적 안정적이었지만 빌드업을 통해 자잘한 버그를 많이 수정했습니다.

아래는 아직까지도 수정이 안된 버그 중 하나로, 실시간 감시와 수동 검사에서 안티 바이러스 엔진(VIPRE)의 사용을 해제해도 진단이 되는 문제가 존재합니다.


처음 사진은 안티 바이러스 엔진을 활성화 시킨 것으로 정상적으로 VIPRE 엔진에 의해 진단이 된 것을 보여줍니다.


그러나 아래 사진처럼 VIPRE 엔진 사용을 해제해도 VIPRE 엔진에 의해 진단이 되는 것을 알 수 있습니다.


이는 구조적으로 잘못된 부분으로 보입니다. 재부팅 이후에 설정이 적용이 되는 것은 아닐까 했지만, 재부팅 이후에도 변화가 없습니다.



(3) 자기 보호 기능의 허술함


애드어웨어의 자기 보호 기능은 상당히 허술합니다. Process Explorer과 같은 시스템 관리 프로그램의 Kill Process 기능에도 중요 프로세스가 그대로 종료됩니다. 물론, 이와 같은 비정상 종료시 바로 재로딩이 됩니다. 그러나 아이스 소드 같은 전문적인 프로그램을 통해 프로세스를 강제 종료하면 재로딩 조차 되지 않습니다. 

또한 폴더 및 파일 보호 기능이 없습니다. 따라서 악성 코드에 대한 방어 기능이 사실상 없다고 할 수 있습니다. 악성코드들이 안티 바이러스 제품을 노리는 것이 하루 이틀의 일이 아니기 때문에 상당히 아쉬운 부분입니다.

아래는 애드어웨어의 프로세스가 강제 종료되는 것을 찍은 동영상입니다.






- 이상입니다.


  1. 이는 듀얼 코어 CPU를 제대로 사용하지 못함으로 보입니다. [본문으로]
  2. 휴리스틱 엔진은 "Engine 2"로 표시됩니다. [본문으로]
반응형