▶ 보안 제품 리뷰/:: Returnil

Returnil System Safe 2011 pro 리뷰 (2) - 안티 바이러스

물여우 2010. 10. 27. 17:39
반응형
Returnl의 악성코드 진단 기능을 살펴봅니다.




4. 악성코드 진단

Returnil의 안티 바이러스는 자체 엔진이 아닌 외부 엔진을 사용합니다. 바로 FRISK의 F-prot 엔진으로 실시간 감시가 지원됨에도 매우 가벼워서 과거에는 국내에서도 비교적 많은 사용자가 있었던 바로 그 제품의 엔진입니다.

그러나 F-prot은 Eset을 비롯한 다른 많은 제품들이 경량화에 성공하면서, 특유의 장점이 사라지며 국내에서는 이제 사용자를 찾아 보기 힘든 제품입니다.

Returnil 측에 질문해본 결과 F-prot 최신 버전을 사용한다고 합니다. 세부 정보를 알려준 것이 아니어서 정확하지는 않지만, 외부 제공용 SDK의 최신 버전을 사용하고 있는 것 같습니다. 확실한 부분은 F-Prot의 전체 DB를 포함하고 있으며 휴리스틱 기능 또한 포함되어 있다는 것입니다. 이외에 클라우드 기술을 이용한 진단 기능이 포함되어 있어, 자제적인 대응 능력도 어느 정도는 갖추고 있습니다. 


4-1. 악성코드 진단(Virus Guard) 메인화면

Virus Guard 메인 화면


Returnil의 악성코드 진단 기능은 "Virus Guard"라고 불리며, 실시간 감시와 수동 검사가 통합되어 관리되고 있습니다. 각각의 기능과 설정 등을 살펴보겠습니다.


(1) 실시간 감시 (Real-time Protection)


Returnil의 실시간 감시는 가상화 모드의 Anti-Excute를 제외하면 F-Prot 엔진을 이용한 감시와 클라우드 진단을 이용한 감시 두 가지가 있습니다.

감시 기능과 관련되어 메인 화면에서 사용할 수 있는 설정은 "On/Off" 버튼과 "진단 민감성 설정 - Protection Sensitivity" 둘 뿐입니다.

진단 민감서 설정을 통해 휴리스틱 민감성을 높이고 낮추거나 진단할 악성코드 종류를 확대, 축소할 수 있습니다. 기본적으로 5단계로 구성되어 있으며, 왼쪽부터 단계가 올라갈 수록 휴리스틱 민감도가 높아지고 진단하는 악성코드 종류가 확대됩니다. 이는 Setting 부분의 실시간 감시 항목 설정과 동일한 설정이며, 수동 검사의 Quick Scan에도 적용됩니다.

· 1단계 : Virus, Worm, Trojan 등 Virus 류의 악성코드만 진단하며, 휴리스틱 진단이 비활성화
           ->정식 진단만 기능
· 2단계 ~ 4단계 : 1단계처럼 Virus 류의 악성코드만 진단하나, 휴리스틱 기능이 일부 활성화 됨
· 5단계 : 스파이웨어등 PUP류의 악성코드도 함께 진단하며, 휴리스틱 기능이 최고 강도로 활성화
           -> 악성코드 진단율은 높아지나 오진율도 함께 상승

Returnil에서는 2~4단계를 권장하나, PUP진단 등이 포함된 5단계를 사용하는 것이 개인적으로는 좋다고 생각합니다. 그러나 높은 진단율과 함께 나타나는 오진 문제가 존재하기 때문에 반드시 진단하는 파일은 검역소에 저장하는 것이 필요합니다.


Returnil의 자체 진단 기능인 클라우드 진단은 네트워크가 연결되어 있을 시 자동으로 활성화됩니다. 그러나 클라우드 진단과 관련된 설정은 따로 존재하지 않아, 사용자가 조정할 수 있는 부분은 없습니다. 무료 제품 사용자이거나 네트워크 연결이 안되었을 경우 아래와 같이 클라우드 진단 기능이 표시됩니다. 이럴 때에는 실시간 감시는 F-prot 엔진만 사용하게 됩니다.

클라우드 기능 비활성화

다만, 외국 업체이고 전문적인 안티 바이러스 업체가 아니어서 샘플 수집이 제한되는 것으로 보입니다. 국내에서 클라우드 진단 기능으로 진단되는 경우는 상당히 드물 것 같습니다.


▶ 실시간 감시 진단 팝업창

실시간 감시의 진단 팝업창은 간단하게 구성되어 있습니다. "Repair" 항목을 클릭하면 진단되는 객체를 자동으로 치료합니다. Repair 클릭시 일반적으로는 원본 삭제 후 검역소 저장이 기본 과정입니다.

실시간 감시 진단창


그런데 Virut, Parrite 같은 파일 감염형 악성코드의 경우에도 치료(정상 파일 내의 악성 코드만을 제거하고 원본은 그대로 남기는 것)가 아니라 다른 일반적인 악성코드들처럼 삭제 후 검역소로 원본 파일이 백업됩니다. 결과 보기에서 "Restored" 항목은 일반적인 "치료" 항목이 아니라 시스템 복구 기능과 관련된 항목으로 보입니다. 개인적으로는 상당히 아쉬운 부분입니다.

진단 팝업창에서 또 하나 아쉬운 점은 진단된 객체가 위 그림처럼 하나 이상의 악성코드가 진단될 경우 진단명과 진단 경로가 모두 표시되지 못한다는 점과 진단 항목에 대해 사용자가 다양한 설정을 적용(사용자 처리)하기 어렵다는 점입니다.

그러나 사용자 처리는 다소 불편해도 "Read more" 버튼을 눌러 로그 항목을 활성화함으로써 해결할 수 있습니다. Returnil의 로그 항목은 진단 정보를 보여줄 분 아니라, 진단된 객체의 처리를 동시에 할 수 있습니다. 자세한 것은 로그 항목을 다룰 때 설명하도록 하겠습니다.

아래는 치료 후 결과를 보여주는 팝업창입니다.

처리 결과 요약 팝업창




(2) 수동 검사 (Scan)


수동 검사는 Quick과 Full 검사로 나뉘어집니다.

Quick 검사는 이미 검사 경로가 정해져있고, 메인 화면에서 사용자가 설정한 민감도에 따라 검사가 이루어집니다. 검사 시간이 비교적 빠릅니다.

빠른 검사 화면


일반적으로 수동 검사 모듈이 활성화되는 시간이 추가적으로 존재하며,고 최초 검사시에는 위 사진보다 훨씬 오래 걸립니다.


Full 검사는 검사할 경로 및 검사할 파일 종류, 검사의 민감성 등을 사용자가 직접 설정하는 검사 방법입니다. 사용자가 원하는 설정으로 조정하 "Start Scan" 버튼을 클릭하여 검사를 시작합니다.

전체 검사 화면


▶ 검사 경로 설정(Areas to Scan)

- Scan all local hard disks : 연결된 하드 드라이브의 모든 폴더 검사
- Scan all connected external devices : 하드디스크와 광학 드라이브, USB 등 외부 저장 장치까지 검사
- Scan defined files and folders : 사용자가 지정한 경로의 파일/폴더만 검사

아래는 "Defined List"를 클릭해서 경로 설정창을 활성화한 모습입니다.

경로 설정


※ "Update List"의 경우 사용자가 가장 나중에 저장한 리스트 파일(*.lst)을 현재 리스트 목록으로 갱신하는 버튼입니다.

▶ 검사 파일 종류 설정 (Scan Mode)

- Check all files in the selected areas : 모든 파일 검사
- Check only specified file type : 사용자가 지정한 파일 포맷만 검사
  (Program : 실행 파일, Documenet : 문서 파일, Archives : 압축 파일, Custom : 사용자 직접 설정)

▶ 진단 민감도 설정 (Scan Sensitivity)

- 해당 설정은 위 실시간 감시의 민감도 설정과 동일합니다. 5단계가 3단계로 축약되어 있을 뿐이며 이미 실시간 감시 부분에서 3단계 항목으로 설명하였으니 참고 바랍니다.


아래는 검사 화면과 검사 결과 화면입니다.

검사 화면 - 일부 수정



검사 속도는 비교적 빠릅니다.

아쉬운 점은 결과 정보에서 경로 정보를 윈도우 탐색기와 같은 모습처럼 보여주지는 않습니다. 파티션 별로 "HARDDISKVOLUME*" 등으로 나타나 일반 사용자들이 알아보기에는 다소 불편하게 보입니다. 이는 로그 기록에서도 동일한 것으로 사용자 입장에서는 수정되는 것이 좋아 보입니다.

앞서 언급한 것처럼 "Repair" 버튼을 클릭하면 원본 삭제 후 검역소 보관이 이루어집니다.


(3) 검역소 (Qurantaine)


메인 화면의 "View Quarantine" 항목에서 "View" 버튼을 클릭하면 검역소를 활성화할 수 있습니다. 사용자가 검역소에 저장된 객체를 사용자가 정한 경로로 복구할 수 있는 "Restore to" 항목이 있습니다.

검역소 모습


악성코드 종류와 진단명, 정식/의심진단 여부, 진단 경로 및 파일 크기 등 중요 정보를 보여줍니다. 진단 경로 부분이 조금 지저분하고 정렬/검색 기능이 없지만, 전체적으로 간단하면서 깔끔한 검역소입니다. 

복구시 활성화되는 사용자 질문창




(4) 진단 제외 항목 (AV Exclusion List)


사용자가 악성코드 진단 기능에서 제외할 파일/폴더 항목을 설정합니다. 메인 화면에서 "Define List"를 클릭하여 활성화합니다.

제외 설정


진단 제외 사용 방법은 수동 검사 항목에서 사용자 경로 설정 항목과 동일합니다. 진단 제외 설정은 여기서도 직접 가능하지만 로그 항목을 통해 실시간/수동 검사 진단시에 바로 적용할 수도 있습니다.

경로 정보는 여기서도 보기 불편해서 다소 개선이 필요합니다.



4-2. 로그 보기 (Log)

"Log" 항목은 Returnil에서 악성코드 및 악성 행위 관련 이벤트 정보를 볼 수 있을 뿐만 아니라, 치료·제외 설정 등 사용자 처리 기능까지 포함하는 다재다능한 항목입니다.

기본적으로 악성코드 진단 정보와, 가상화 모드의 Anti-excute 항목의 진단 기록이 보관되며, 실시간 감시 및 수동 검사에서 진단된 객체를 사용자가 "Repair" 버튼을 누르지 않고 그냥 무시한 경우(Denied-접근 금지 처리됨), 로그 기록을 토대로 사용자가 "치료·제외" 설정을 바로 할 수 있습니다.

로그 보기 화면


다소 복잡한데 "Denied" 항목은 접근·실행 금지된 항목입니다. 종류에서 Not Trusted 된 부분은 Anti-Excute에서 수행항 이벤트이고 그 외에는 Virus Guard의 행동 정보입니다. 굵은 글씨는 아직 사용자가 확인하지 않은 로그입니다. "Error" 항목은 Returnil 처리 전에 사용자가 삭제하거나 다른 이유로 치료가 안될 때 나타납니다.

각 항목을 클릭하면 세부 정보를 볼 수 있습니다.

로그 기록 - 세부 정보


세부 정보에서는 진단명과 정식/의심 진단 정보, 진단 경로, 접근 프로세서, 진단 모듈 정보, 처리 정보 등 세부적인 정보가 기록됩니다. 다음 글에서 다룰 "복구" 기능을 통해 복구된 여부에 대한 정보도 포함됩니다. 


4-3. 일반 설정 (Setting)

Virus Guard 일반 설정 창


실시간 감시의 민감도 부분은 앞서 메인 화면의 민감도 설정과 동일합니다. 

마지막 Advanced 항목은 자세한 정보가 없습니다. 다만 빠른 검사를 수행시 검사를 하면 할 수록 검사가 빨리 종료되는데, 따라서 이로 미루어보아 설정에는 없지만, 정상 판정된 파일을 제외하고 검사하는 "검사 최적화 기능"이 있는 것으로 보입니다. 아마도 DB 업데이트시에 검사 최적화 파일을 재검사하는 것이 아닌가 합니다. 또는 복구 기능에서 생성된 시스템 변경점들을 재검사하는 것일 수도 있습니다. 

여하튼 가급적 활성화하시되, 시스템 사양이 낮은 경우라면 비활성화 하셔도 무방합니다. 





Returnil의 악성코드 진단 기능을 살펴봤습니다. Returnil사는 전문적인 안티바이러스 업체는 아니며, 제품 자체도 가상화 기능에 악성코드 진단과 복구 기능이 부가적으로 추가된 형태입니다. 때문에 악성코드 진단이나 복구 기능을 전문적으로 다루는 제품에 비해 다소 부족할 수 밖에 없습니다.

비교적 가볍고, 진단 속도가 빠르며, 사용법이 간단한 점은 장점이지만 우클릭 검사 기능이 없고, 실시간 감시 진단, 로그 기록 등에서 다소 불편한 부분이 있으며, 수동 검사시에 루트킷 진단 등 고급 기술이 미포함되어 있는 것은 단점입니다. 


그리고 국내를 기준으로 볼 때, 다소 많은 오진 문제도 존재합니다. 이는 사용자가 국내에 적다보니 피드백이 되는 것이 적어 발생하는 것으로, 각종 온라인 뱅킹과 온라인 게임 관련 모듈을 진단하는 것은 물론, 윈도우 시스템 내의 Ctfmon.exe 파일도 오진하는 등 다양한 국내 프로그램에 대한 오진이 존재합니다.  

대부분의 오진이 F-prot 엔진에 의해 발생하는데, Returnil이나 다른 F-port엔진을 사용하는 제품을 사용자는 반드시 검역소 백업 기능을 사용하시기 바라며, 여유가 된다면 해당 파일을 신고하여 진단 제외 시킬 수 있으면 더욱 좋을 것 같습니다.  


가상화 기능에 비해 부족한 점이 많은 악성코드 진단 기능인데, 설치시에 "사용자 지정 설치" 기능이 존재한다던가 무료 제품에서는 가상화 기능만 제공하는 것이 더 좋지 않았을까 하는 아쉬움이 있습니다.


- 이상입니다.

반응형
1 2 3 4