▶ 보안 제품 리뷰/:: Outpost

Outpost Security Suite 7 Free 리뷰 (2) - 악성코드 진단 기능

물여우 2011. 1. 3. 22:38
반응형
아웃포스트 무료 버전의 기본 UI와 악성코드 진단 기능을 살펴보도록 하겠습니다.

▶ Outpost Security Suite Free 리뷰

Outpost Security Suite 7 Free 리뷰 (1) - 설치 및 개요


2. 메인 화면 

Outpost Security Suite Free(이하 아웃포스트)의 메인 화면과 기본 UI는 이전에 리뷰한 아웃포스트 무료 방화벽보다 약간 세련되진 것 외에는 큰 차이가 없습니다.

메인 화면


화면 중앙에 아웃포스트의 현재 상태 및 버전, DB 정보 등을 보여주고 있고, 왼편에는 각 기능들의 메뉴 항목이, 상단에는 수동 검사·환경 설정·수동 업데이트 버튼 등이 구성되어 있습니다.


3. 악성 코드 검사 기능 - Anti-Virus

3-1. 기능 설명

이번 아웃포스트 무료 버전부터 안티 바이러스 기능이 존재합니다. 아웃포스트의 안티 바이러스 엔진은 Virus Buster 엔진을 사용하고 있으며, 휴리스틱 진단 등이 포함되어 있습니다. 유료 버전에는 "Avanquest Software"사에서 제공하는 안티 스파이웨어 엔진이 포함되어 있으나, 무료 버전에서는 빠져 있습니다. 

안티 바이러스 엔진 - 바이러스 버스터


아웃포스트 안티 바이러스의 특징적인 점은 아래와 같이 "SmartScan"이라는 최적화 기능이 있다는 점입니다. 최근 들어 시스템 검사의 효율성을 위해 많은 제품에서 채택중인 기능 중 하나로 이미 안전하다 판별된 파일들과 현재 시스템에 존재하는 파일들을 비교해서 차후에 수행되는 실시간 및 수동 검사에서 안전한 파일은 검사하지 않고 넘어가게 합니다.



(1) 안티 바이러스 메인 화면


안티 바이러스 메뉴 화면



메인 화면에서는 파일 실시간 감시와 이메일 첨부 파일 검사 기능을 실시간으로 활성화/비활성화 할 수 있고, 실시간 감시에서 검사한 파일 정보 등을 확인할 수 있습니다.

또 수동 검사(System Scan) 항목에서 현재 검사하고 있는 항목의 대략적인 정보를 확인할 수 있습니다.


(2) 실시간 감시 - Real-Time Protection, E-Mail Scanner


아웃 포스트의 파일 실시간 감시는 타 제품과 유사한 수준으로 동작하며, 이메일 감시의 경우 IMAP, POP3, SMTP 등을 지원합니다.(Microsoft Exchange mail  계정은 미지원)

아래는 실시간 감시에서 악성코드 진단시 나타나는 팝업창들입니다. 단일 파일이 진단될 경우 "제외 설정"이 추가로 존재합니다. 정식 진단(빨간색)과 의심 진단(노란색)이 구분되어 팝업됩니다.

실시간 감시 팝업창(세부 정보 보기 화면)

실시간 감시 팝업 - 의심 파일 진단시



아래는 사용자가 악성코드를 처리했거나 자동 처리되고 나서 나타나는 정보 팝업창입니다.

사용자 처리로 악성코드를 처리했을 때의 정보 팝업



(3) 수동 검사 - System Scan


메인 화면에서 "Scan for Malware", "Start System Scan"버튼을 클릭하거나, 마우스 우클릭 쉘메뉴를 이용하면 수동 검사를 수행할 수 있습니다. 

수동 검사 속도는 무난한 수준이지만, SmartScan이나 크기 설정 등을 비활성화하면 비교적 느린 편입니다. 그래서 초기 검사시 타 제품보다 조금 더 검사 시간이 나오는 것 같습니다.

수동 검사 시작 화면


수동 검사가 진행되면 아래와 같이 세부 과정이 보이게 됩니다. "Background" 클릭시 세부 과정이 숨겨지며, 이는 메인 화면에서 "Show Scan Process" 버튼을 누르면 다시 활성화 됩니다.

검사 세부 과정



검사가 끝나게되면 아래와 같이 진단된 객체들이 보이며, 각 객체마다 다른 처리 설정이 가능합니다.

진단된 객체 및 처리 설정



※ 진단 객체 처리 방법 설명

- Cure : 감염형 악성코드에 의해 주입된 코드 등의 삭제 등 일반적인 치료 기능
- Remove : 객체 삭제
- Skip : 진단 무시
- Add Malware to Ignore List : 진단명 자체를 차후 검사에서 제외
- Add File to Ignore List : 진단 파일을 차후 검사에서 제외


다음 과정에서 각 객체마다 설정된 처리 방법대로 처리됩니다.

처리 중


처리가 모두 끝나면 행한 검사에 대한 최종 결과 보고서를 보여줍니다.

수동 검사 결과 보고서



아웃포스트는 외부 저장 장치에 대한 자동 검사 기능을 갖고 있는데, 아래와 같이 USB 등 외부 저장 장치가 연결되면, 일단 자동 실행(Autorun.inf 등)을 차단한 후 수동 검사를 진행할 것인지를 물어봅니다.

자동 검사 기능은 환경 설정에서 조정 가능하며, "Do not show me this warning again"을 체크하면 해당 USB는 자동 검사를 다음부터 진행하지 않습니다.

외부 저장 장치 자동 검사 모습



(4) 검역소


검역소 화면


설정에 따라 처리된 객체들은 검역소에 저장됩니다. 검역소에서는 진단된 객체들의 세부 정보를 볼 수 있으며, 진단되었던 폴더로 복구가 가능합니다. 폴더 변경이 불가능한 것은 다소 아쉽습니다.



3-2. 악성코드 검사 환경 설정

(1) 일반 설정 및 수동 검사 설정


메인 화면의 "Setting" 버튼을 통해 환경 설정창을 불러옵니다.

"Anti-Virus" 탭에서는 "제외 설정", "외부 저장 장치 검사 설정", "수동 검사 설정" 등을 조정합니다.

Anti-virus 설정



①제외 설정 - Exclusions
먼저 제외 설정은 두 가지로 나뉩니다. 앞서 수동 검사 항목에서 설명한 것처럼 제외 설정을 통해 "특정 파일"을 제외하거나 "특정 진단명"을 제외할 수 있습니다.

아래와 같이 "Paths" 항목에서는 특정 파일 또는 특정 폴더를 검사에세 제외합니다.

특정/파일 폴더 제외


다음 "Malware"탭에서는 해당 진단명으로 진단되는 모든 객체를 검사에서 제외합니다.

특정 진단명 제외


특정 진단명 제외는 동일한 종류의 파일들을 제너릭 진단등으로 오진할 때 유용한데, 아무래도 넓은 범위의 파일이 감시에서 제외됨으로 사용에 주의하셔야합니다.


외부 저장 장치 검사 설정은 위 그림을 참고 바랍니다.


③ 수동 검사 설정 - System Scan
수동 검사 세부 설정은 나열된 수동 검사 항목을 골라 "Customize" 버튼을 클릭하면 수정할 수 있습니다.

"General"탭에서는 아래와 같이 "감시할 확장자, 검사 방법, 추가 옵션" 등을 설정합니다.

검사 방법(Scan methods)에서 "HAX analsis"는 추가적인 휴리스틱 진단 기술입니다. 아웃포스트 고유의 기술이라고 합니다.

수동 검사 - General 탭


사용자 지정 확장자 설정 시



"Objects"탭에서는 검사할 경로 및 객체를 설정합니다. "Add"를 클릭하면 사용자가 직접 경로를 설정할 수 있습니다.

검사 경로 설정


- Runnig processes : 현재 실행중인 프로세스 검사
- Boot sectors : 부트 섹터 검사
- Startup entries : 시작 프로그램 설정 검사 (레지스트리 등)
- Cookies : 쿠키 검사
- Registry : 레지스트리 검사
- All fix drives : 시스템에 설치된 HDD 검사
- All removable : USB, DVD, 외장 하드등 검사
- All network drives : 외부 시스템 드라이브 검사
- Windows sysrme folders : 윈도우 시스템 폴더 검사
- Program Files folder : 프로그램 폴더 검사


"Actions" 탭에서는 진단된 객체의 처리 방법을 설정합니다. "List All"로 설정하면 앞서 수동 검사 과정에서 설명한 것처럼 사용자가 직접 처리 방법을 선택할 수 있습니다.

"Qurantine objects if applicable"을 선택하면, 어떤 처리 방법을 선택하던 무조건 검역소에 저장됩니다.

진단된 객체 처리 방법 설정




(2) 파일 실시간 감시 설정 - Real-Time Protection


파일 실시간 감시 설정



기본적으로 파일 실시간 감시 설정의 강도는 중간에 있는 휠 메뉴를 이용합니다. 강도가 낮아질 수록 시스템 퍼포먼스는 올라갑니다.

▶ 휠 메뉴별 설정 : 모든 확장자 검사,  50mb 이하 파일만 검사는 모두 동일
                          
- Maximum : 감시 기능 모두 활성화, 휴리스틱 민감도 최고 수준
- Optimal : 네트워크 드라이브 검사 안함, 모든 파일 검사, 휴리스틱 민감도 보통
- Relaxed : HDD만 감시, 실행시에만 감시, 휴리스틱 사용 안함


"Customize" 버튼을 눌러 사용자가 직접 감시 항목을 설정할 수 있습니다. 수동 검사와 동일한 항목은 설명하지 않습니다.

"General" 탭에서는 아래와 같은 항목들을 설정합니다.

파일 실시간 감시 : 일반 설정


"Advanced" 탭에서는 아래와 같은 항목들을 설정합니다.

파일 실시간 감시 : 고급 설정


시스템이 너무 구형이라 시스템 퍼포먼스를 반드시 높일 필요가 있는 경우를 제외하고, 가급적 객체에 대한 모든 접근을 감시할 수 있도록 설정하는게 좋습니다.


(3) 이메일 실시간 감시 : Mail Scanner


이메일 검사는 스크린 샷으로 넘어갑니다.

이메일 검사 화면


일반 설정



이메일 검사에서 색다른 점은 첨부 파일 필터(Attachment Filter)라는 기능이 있다는 점입니다. 이는 악성코드를 검사하는 것이 아니라 사용자가 지정한 확장자의 첨부 파일이 담긴 메일이 오면, 자동적으로 확장자를 변경하거나(Rename), 검역소에 강제로 격리(Quarantine)하는 기능입니다. 

첨부 파일 필터 설정


해당 기능은 진단 DB에 없는 악성코드의 유입을 막기 위한 것 등 일종의 부가적인 보호 기능입니다. 사실 큰 필요는 없지만, 보안 수준이 좀더 높아질 필요가 있는 공용 PC 등에서 사용할만 합니다.




3-3. 아웃포스트 악성코드 검사 기능의 단점

먼저 실시간 감시에서의 불만점은 실시간 감시를 통해 악성코드를 진단했을 때, 이에 대한 처리 응답이 상당히 느리다는 점입니다. 쉽게 말해 악성코드에 사용자가 접근(클릭, 실행 등)을 할 경우 악성코드 진단 팝업창이 상당히 늦게 활성화 됩니다.  팝업창이 늦게 뜨더라도 악성코드를 실행시, 실제로 실행되지는 않기 때문에 파일 필터가 해당 객체를 차단하기는 하는 것 같습니다만, 응답이 타 안티바이러스에 비해 너무 느려 답답할 때가 많습니다.


두 번째로 수동 검사를 살펴보면, 전문적으로 루트킷을 검사하는 기능이 따로 없다는 큰 단점이 존재합니다. 강력한 HIPS 기능이 있긴 한데, HIPS는 사전 차단 기능이지 사후 조치를 위한 기능은 아닙니다.

압축 파일에 관련되서, 실시간 감시에서는 압축 파일 검사가 아예 불가능하고, 수동 검사 시 압축 파일내의 악성코드를 처리할 때, 악성코드가 담겨있는 해당 압축 파일을 무조건 삭제합니다.  진단이 되어도 압축 파일내에 존재하는 정상 파일도 함께 삭제가 되기 때문에, 사용자가 이에 대한 것을 잘 인지하고 있어야 피해를 예방할 수 있습니다. 

세 번째로  새벽 한시(01:00)가 되면, 자동으로 예약 검사(Schedule Scan)가 진행됩니다. 이는 무료 버전에서만 보이는 것으로 사용자가 이를 관리할 수 없습니다. 즉, 예약 검사 관련 설정이 아예 없습니다. 무조건 예약 검사가 진행되기 때문에 사용자가 원하지 않는다면, 검사가 수행될 때 직접 꺼버리는 수 밖에 없습니다.

샘플 전송 등을 강제한 것도 아니고 예약 검사를 강제한 것은 도저히 이해가 안가는 부분입니다. 이런 불편한 점은 애초에 아웃포스트 무료 제품이 타 무료 제품처럼 샘플 획득 및 어플리케이션 룰 공유 등의 목적도 있지만, 유료 제품 구입을 장려하기 위한 테스트 제품(Trial)의 성격이 강하기 때문에 생겨난 것이 아닌가 합니다.


마지막으로 유료 제품과 달리 아웃포스트 자체 엔진인 안티 스파이웨어 엔진의 DB가 포함되어 있지 않은 점도 큰 문제입니다. 정확한 것은 아니지만 안티 스파이웨어 엔진을 통해 자체적인 대응을 하고 있는 것으로 파악됩니다. 따라서 안티 스파이웨어 엔진이 미포함되었다는 의미는 Agnitum의 긴급 대응을 사실상 받을 수 없다는 점이 문제입니다. 

바이러스 버스터 엔진 자체가 진단율이 무척 높은, 아주 민감한 제품은 아니라서, 국내처럼 Agnitum이나 Virus Buster 등 해당 업체가 미지원하는 국가의 사용자가 핵심 안티 바이러스로 사용하기에는 아웃포스트 무료 제품은 조금 부족하다 생각합니다.


이런 점을 고려해보면, 다른 전문적인 안티 바이러스 제품을 사용하면서 아웃포스트의 방화벽 기능만 사용하는 것이 더 유용해보입니다. 개인적으로는 설치 시 기능별 설치 기능을 제공해주거나, 예전처럼 방화벽 제품만 단독으로 제공해주는 등 제품 사용에 있어 사용자 선택의 폭을 넓혀주면 더 좋을 것 같습니다.


- 이상입니다.
반응형
1 2 3 4 5 6 7 8 9 ··· 20