PCTools Internet Security 2011 리뷰 (4) - IntelliGuard (실시간 감시-2)

피시툴즈 실시간 감시 두 번째 리뷰입니다.

▶ PCTools Internet Security 2011 리뷰 모음
- PCTools Internet Security 2011 리뷰 (1) - 제품 개요 및 설치 과정
- PCTools Internet Security 2011 리뷰 (2) - 기본 UI (메인 화면)
- PCTools Internet Security 2011 리뷰 (3) - IntelliGuard (실시간 감시-1)

---

4-3. 네트워크단 파일 감시

이번에 살펴볼 기능은 'Download Guard, Site Guard, Cooki Guard' 입니다. 이 기능들은 안티버의 웹가드처럼 웹상의 악성코드가 다운로드 되는 것을 차단하며, 위험 사이트 접속을 방지합니다. 


(1) Download Guard

---

다운로드 가드는 웹브라우저 등에서 다운로드 되는 파일을 감시, 악성코드를 진단하는 기능입니다.

피시툴즈에서 유일하게 클라우드 기술을 이용한 진단 기능입니다. 확인해본 바로는 클라우드 서버의 DB와 로컬 DB가 서로 다르며, 서로 진단하는 객체다 다른 경우가 많아 반드시 활용해야하는 기능 중 하나입니다.

아래는 다운로드 가드의 진단창입니다.

 

◎ 다운로드 가드의 단점

---

먼저 다운로드 가드는 파일 감시보다 진단 우선 순위가 낮습니다. 즉, 웹상에서 파일을 다운로드할 때 파일 가드 기능이 먼저 진단한 후, 다운로드 가드가 진단한다는 점입니다. 기능의 특성을 생각하면, 파일 가드보다 먼저 동작해야할 터인데, 클라우드 기반이라는 문제 때문(응답 딜레이)인지, 우선 순위가 밀려 있습니다.

가장 큰 단점은 BHO 방식(Browser Guard와 함께 동작)으로 동작하는 이 기능이 IE와 파폭에서만 동작한다는 점입니다. BHO 방식임에도 웹마를 비롯한 IE 기반 웹브라우저에서는 동작하지 않습니다. 당연히 크롬에서도 동작하지 않습니다.

또한, 파일 가드처럼 응답 속도가 느리다는 단점이 있습니다. 문제는 다운받고 나서 진단/삭제되는 데에 걸리는 딜레이 시간 동안 파일을 실행할 수 있다는 점입니다. 만약, 파일 가드에서 진단을 못하는 악성코드라면 행동 감시에서 진단해주기를 바라는 수 밖에 없습니다. 따라서 응답 속도를 개선하든가, 진단할 때에는 파일에 대한 접근을 차단하는 등의 조치가 필요합니다.

마지막으로는 파일 가드와 달리 다운로드 가드는 자동 처리 된다는 점입니다. 아직 오진 사례는 발견하지 못하였지만, 다운로드로 진단되는 객체는 반드시 검역소로 강제 이동됩니다. 클라우드 DB가 로컬 DB보다 더 안정적이거나 사전 진단적인 의미를 크게 하기 위한 조치일 수도 있겠습니다만 대부분의 작업이 사용자 처리로 이루어질 수 있는데, 다운로드 가드가 제외된 것은 UI적인 면에서 통일성이 없는 것이 아닌가 합니다. 


(2) Site Guard

---

피싱 및 악성코드 유포 등 악성 사이트를 차단하는 기능입니다. 아래는 진단 팝업창입니다.

hanrss등을 오진하는 등 약간의 문제가 있습니다. '차단'을 클릭하면 아래와 같이 웹브라우저 차단 페이지가 나타나며 접속이 차단됩니다.

 

사실상 피시툴즈의 추가 기능인 브라우저 디펜더와 동일한 역할을 하는데 아래와 같이 진단에 차이가 있습니다.

브라우저 디펜더의 hanrss 사이트 진단 결과

참고로 브라우저 디펜더는 노턴의 세이프티웹이나 안랩의 사이트 가드와 유사한 기능입니다. IE와 FF에서만 동작하며, 구글, 야후 등 검색 사이트의 링크에 위험도 표시 등 기능도 갖고 있습니다. 

 

(3) Cookie Guard

---

 

사용자 추적 등 악의적인 목적이나 상업적 목적으로 생성되는 쿠키를 진단, 차단하는 기능입니다. 모든 쿠키를 진단하지는 않습니다.

 

간혹 정상적인 카운터(사이트 접속량 체크 등) 등을 오진하기도 합니다.

4-4. 시스템 변조 감시

이번에 다룰 기능들은 시스템 설정 등의 변조를 차단합니다. 'Browser Guard, Network Guard' 등을 살펴봅니다.

(1) Browser Guard

---

브라우저 가드는 이름 그대로 웹브라우저를 보호하는 기능입니다. 비정상적인 방법을 통한 즐겨찾기, 시작 페이지, 검색 페이지, 플러그인 등의 변경을 감시하며 을 보호하며, 취약점 공격 등을 차단합니다.

취약점 공격 등은 스크립트를 진단하여 차단하는 것으로 보이는데, 실제 시스템에 취약점이 존재해서 제로데이 코드가 동작할 때 진단하는 것 때문인지, 아니면 진단 범위가 매우 협소한 것인지는 모르겠으나 해당 기능으로 진단되는 경우를 찾지 못하였습니다.


(2) Network Guard

---

호스트 파일을 비롯하여 네트워크 관련 설정을 보호합니다.

그러나 보호하는 항목을 변경하여도 차단되는 경우를 찾지 못하였습니다. 오히려 방화벽의 HIPS가 동작하면서 변경 시도를 차단합니다. 제 시스템에서의 문제인지 버그인지는 확인이 되지 않고 있습니다.

이 기능 또한 과거 안티 스파이웨어 프로그램에서 많이 볼 수 있었던 기능입니다. 

4-5. 이메일 감시

SMTP, POP3 등을 이용하는 이메일 클라이언트의 첨부 파일을 검사하는 기능입니다.

---

피시툴즈의 실시간 감시 항목을 모두 살펴봤습니다.

개인적으로 실시간 감시 항목에 불만점이 많습니다. 제 시스템에서 몇몇 기능이 제대로 동작하지 않았을 뿐더러, 기본적으로 실시간 감시 기능은 응답 시간이 길다는 것이 가장 큰 문제입니다.

이번 글을 기준으로 보자면 클라우드 기반 진단 기능인 다운로드 가드가 생각보다 진단이 뛰어나지 못해서 실망하기도 했습니다. 피시툴즈 자체가 시그니처 진단이 뛰어난 제품이 아니고, 국내 환경에 최적화된 제품도 아니기 때문에, 행동 감시와 다운로드 가드처럼 추가적인 기능이 중요합니다. 하지만 행동 감시 기능은 오진 및 호환성 문제가 발생하였고, 다운로드 가드는 현 시점에서 지원되는 웹브라우저도 적고, 진단율 향상에 큰 도움이 안되는 등 여러모로 부족한 모습이 나타났습니다.


실시간 감시에 대해 전체적으로 평을 하자면 '구성하는 각각의 기능들은 매력적이나 효율적이지 못하고 안정성이 부족하다.'고 할 수 있겠습니다.
 

- 이상입니다.