PCTools Internet Security 2011 리뷰 (3) - IntelliGuard (실시간 감시-1)

PCtools의 안티 바이러스 항목의 실시간 감시를 살펴봅니다.

▶ PCTools Internet Security 2011 리뷰 모음
- PCTools Internet Security 2011 리뷰 (1) - 제품 개요 및 설치 과정
- PCTools Internet Security 2011 리뷰 (2) - 기본 UI (메인 화면)

▶ 참조글
- 행동기반 탐지방식 보안 제품 Pctools Threatfire 4.0 리뷰

---

4. IntelliGuard - 실시간 감시

피시툴즈의 IntelliGuard(실시간 감시)는 아래와 같이 무려 9가지의 항목이 존재합니다. 물론 IntelliGuard라는 항목에 모든 기능을 모아두어서 많아 보일 뿐 실제로 타 제품들과 감시 기능의 수가 크게 차이나는 것은 아닙니다.

리뷰를 위해 임의적으로 실시간 감시 기능들을 5 부분으로 나누어 살펴보겠습니다.

▶ 행동 기반 진단 감시   -  Behavior Guard
▶ 로컬 동작 파일 감시   -  File Guard, Rootkit Guard
▶ 네트워크단 파일 감시 -  Download Guard, Site Guard, Cooki Guard
▶ 시스템 변조 감시       -  Browser Guard, Network Guard
▶ 이메일 감시              -  Email Guard

실시간 감시 항목

실시간 감시를 비활성화 후 다시 활성화하면  빠른 검사(Intelli Scan) 실행 여부를 물어봅니다.

4-1. 행동 기반 진단 감시 : Behavior Guard

피시툴즈의 행동 기반 감시는 자사의 'ThreatFire'라는 제품을 그대로 사용하고 있습니다. ThreatFire는 Behavioral Blocker류의 진단 기능으로, 타 제품에 비해 상당히 이른 시기에 제공된 프로그램입니다.

Threatfire는 시스템 및 설치된 프로그램의 취약점을 공격하는 제로 데이 위협과 시그니처에 포함 안 된 악성코드를 진단하는 역할을 합니다.

내역 보기는 이벤트 보기 기능인 '기록' 항목에서 '멀웨어 기록' 항목을 보여주는 버튼입니다. 멀웨어 기록 항목에서 실시간 감시와 수동 검사 항목의 작업 기록을 모두 볼 수 있습니다.

제외 관리는 타 제품의 제외 설정인 '글로벌 동작 목록' 을 보여주는 버튼입니다.

고급 설정에서는 '민감도 수준' 항목만 존재합니다.
'최소' 로 내려갈수록 DB의 시그니처와 정확하게 매칭되는 악성 행동만을 진단하고, '최대'로 갈수록 의심 진단이 강해집니다. 최대 단계에서는 정상 프로그램의 행동도 상당수 진단하기 때문에, 특별한 이유가 있지 않은 이상 권장하지 않습니다.

아래는 Behavior Guard의 진단창입니다.

'검역소' 항목을 클릭하면, 실행된 프로세스가 종료되며 파일이 삭제, 검역소에 격리됩니다.


◎ Threatfire의 오진과 호환성 문제

---

Threatfire(Behavior Guard)는 방화벽에 포함된 HIPS와 함께 피시툴즈의 전략적인 기능입니다. 하지만 전략적인 기능치고는 빈번한 오진과 함께 호환성 문제를 일으키고 있습니다.

일반적으로 Behavioral Blocker류의 기능은 특정 행동을 단독으로 진단하기보다는 일련의 작업 과정 속에서 나타나는 행동들을 하나하나 체크해서 과정 자체의 위험도를 평가하는 것이 보통입니다. 이와 달리 Threatfire는 특정 행동을 단독으로 진단하는 경우가 많은 것 같습니다.

이러한 Threatfire 특성 덕분에 정상 프로그램에 대한 진단이 많습니다. 이 글에서는 오진이라고 정의하겠습니다만, 의심 행동에 대한 사용자 처리를 요구하는 것이기에 실상 오진은 아닙니다.

여튼 Threatfire의 정상 프로그램의 행동에 대한 진단이 생각보다 많습니다. 앞서 올린 팝업창에 대한 그림도 일반 설정(중간) 상태에서 유투브를 실행할 때 나타난 팝업을 찍은 것입니다. 기억하기로 이전 4.0 제품을 리뷰할 때에 비하여 상당히 민감해진 것 같고, 최근 들어 리뷰한 제품들의 Behavioral Blocker보다도 확실히 민감합니다. 중간 단계에서도 정상 프로그램에 대한 threatfire 진단창이 종종 나타나기에 문제라고 봅니다.

              유튜브 동영상 시청시 오진                                          Orbit의 Grab 진단


오진과 별도로 호환성 문제는 특정 프로그램을 실행시킬 때 극심한 딜레이를 발생시키거나, 시스템 프리징 등을 유발하는 것을 말합니다. ㅍ시 툴즈의 리뷰가 늦어진 결정적인 이유인데, 심지어 웹상의 플래쉬를 이용한 동영상 플레이어 실행시 시스템이 프리징이 나타나는 등 설치 초기에는 호환성 문제가 극심했습니다. 대부분 사용자 작업창을 띄우는 직전에 멈추는데, 프로세스나 스크립트의 실행을 일단 정지 시키는 부분이 문제가 되는 것 같습니다.

DB가 갱신되고 제품 빌드가 올라가면서 설치 초기보다는 오진 문제와 호환성 문제는 어느 정도 개선되었습니다만, 3년 전에 4.0 리뷰할 당시에 비교해보면 문제가 없다고 할 수는 없는 상태입니다.

이런 문제를 피시툴즈에서도 인식하고 있는지 Behavior Guard 기능을 완전히 종료시키는 설정이 존재합니다. 이름은 호환성 모드이지만 이를 체크하면 Threatfire 관련 프로세스인 TFService.exe가 완전히 종료됩니다.

반드시는 아니겠지만 기능 특성상 실시간 감시를 비활성화한다고 해도, 진단을 안 할 뿐 실질적으로 시스템을 감시(호환성 문제 지속)하고 있기 때문에 특정 기능을 완전하게 종료하는 설정이 따로 존재하는 것 같습니다.

4-2. 로컬 동작 파일 감시 : File Guard, Rootkit Guard

이번에 살펴볼 파일 감시는 타 제품의 일반적인 실시간 감시와 동일한 것으로 시스템에 생성되거나, 사용자가 접근한 파일들을 전통적인 시그니처 진단 방식으로 감시, 악성코드를 진단하는 기능입니다.

루트킷 감시는 루트킷 등의 숨겨진 프로세스의 생성 등을 감시 차단하는 기능합니다.  

(1) File Guard

---

고급 설정의 검사 대상 항목은 실시간 감시 수준을 설정하는 것인데 가급적 '모든 파일과 프로세스'를 선택하시기 바랍니다.

아래는 악성코드 진단 및 치료 팝업창입니다. 왼편의 진단창에서 '차단' 버튼은 악성코드 삭제, 치료, 접근 차단을 모두 의미합니다. '내 답변 기억' 하기를 체크하고 '허용' 버튼을 클릭하면 진단을 무시하고 제외 설정에 바로 등록됩니다.

의심 진단(Heuristic Dection)이나 포괄적 진단(General Detection)은 정식 진단과 동일한 팝업창이 나타납니다. 따라서 사용자가 주의 깊게 진단명과 진단 객체를 살펴봐야 합니다.

 

◎ 피시툴즈의 실시간 파일 감시의 단점

---

개인적으로 파일 감시에 대해 몇 가지 단점이 보입니다.

첫 번째는 진단 반응이 무척 느리다는 점입니다. 즉, 악성코드가 진단되고 나서 몇 초 간의 딜레이가 있어야 진단 팝업창이 나타납니다. 그 딜레이 시간에 파일이 정상적으로 복사되고 생성되기까지 합니다. 다행히 진단된 파일의 실행은 불가능(접근 차단)하기 때문에 큰 문제는 아니지만, 개인적으로 답답함을 느낍니다. 

로그 기록을 보면 실시간 감시에서 진단 후 인텔리 스캔이 구동되고나서, 악성코드를 치료하는 것을 확인할 수 있는데, 감시와 치료가 따로 이루어지기 때문에 생기는 문제로 생각됩니다.

두 번째는 악성코드 진단시 실시간 감시에서는 파일에 접근 하는 것으로는 진단이 안되는 문제입니다. 파일 복사나 수정, 생성시에는 진단이 되지만, 이미 존재하는 파일은 진단이 안되며 진단을 위해서는 파일을 실행할 때에만 진단됩니다. 다행히 과거 알약에서 실시간 감시('보통' 설정)로 인젝션된 악성 dll 진단이 안되는 것과 달리 로딩된 프로세스에 인젝션되어 있는 dll은 진단이 가능합니다. 

추가적으로 동일한 악성코드 진단 시 '내 답변 기억'을 체크하지 않아도 자동으로 진단/치료 하는 소소한 오류가 있습니다.

자동 치료시 팝업

세 번째는 진단 객체에 대한 세부 정보를 진단 팝업창에서는 알 수가 없다는 점입니다.

세부 정보를 알 수 없음

단순히 어떤 악성코드가 진단되었으니 이를 치료 또는 무시할 것인지를 물어보기만 합니다. 따라서 진단된 객체에 대해서 알려면 일단 차단 후 로그 기록에서 살펴봐야만 합니다. UI 측면에서 문제가 큰 데, 사실상 사용자 처리가 의미가 없다고 할 수있겠습니다.


(2) Rootkit Guard

---

루트킷 기술 등을 이용하여 보안 제품의 진단을 우회하기 위한 시도를 실시간 감시단에서 진단하기 위한 기능입니다. 


(3) 숨겨진 실시간 감시 항목

---

구 버전의 피시툴즈의 Intelli Guard를 보면 'StartUp Guard'와 'Immunizer Guard' 등 두 기능이 추가로 존재하는 것을 확인할 수 있습니다.

Startup Guard는 파일 가드에 종속되어 사라진 기능으로 악성코드가 자동으로 실행되지 않도록 윈도우의 자동 시작 관련 항목을 감시하는 기능입니다. 이 기능은 부팅시 자동 시작되는 것을 차단하는 것이 아니라, 자동 시작하도록 설정된 파일을 감시하는 기능입니다. 앞서 언급한 파일 가드의 단점을 보완하기 위한 기능입니다. 

Immunizer Guard는 Intelli Guard 항목 자체에 포함되어 버렸는데, 레지스트리 등록값을 이용하여 악성 Active X를 차단하는 기능입니다. 

두 기능 모두 스파이웨어 닥터에 존재하던 기능이며, 피시툴즈 제품의 원류가 안티 스파이웨어였음을 알려주는 것들이라 생각합니다.

---

실시간 감시 2편으로 넘어갑니다.