▶ 보안 제품 리뷰/:: Vipre

Vipre Antivirus+Antispyware 리뷰 (2-1) - 실시간 감시 및 수동 검사

물여우 2009. 2. 14. 00:35
반응형

이제 두 번째 주제인 VIPRE의 각 부분별 기능 및 설정에 관하여 리뷰해보도록 하겠습니다.
첫 번째 포스팅으로 VIPRE의 핵심 기능인 실시간 감시 및 수동 검사를 다루어 보겠습니다.


저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 가지고
이 글을 작성하는 것이 아니므로, 이 글에 오류가 있을 수 있음을을 밝힙니다. 


3. Main Screen UI


제가 기입한 내용으로 인해 좀 복잡하고 지저분한 느낌을 줍니다만 실제로는 각 기능들에 대한 정보가
직관적으로 잘 파악 되는 UI를 갖추고 있습니다.

오른쪽 하단의 위험요소 통계는 Reset Count 버튼으로 초기화 시킬 수 있습니다.

VIPRE에서 환경 설정 항목으로 들어가기 위해서는 위 메뉴의 File -> Setting을 이용하거나 각 기능들의
Edit Setting을 클릭하면 됩니다.



4. 실시간 검사 기능 - Active Protection

VIPRE 의 실시간 감시 기능은 파일 실시간 감시와 어플리케이션 행동 감시 등 두 가지로 나뉩니다.

파일 실시간 감시는 DB 및 시그니처 기반 휴리스틱이 포함되어 있으며, 어플리케이션 행동 감시는
맥아피의 시스템 가드와 거의 유사한 행동기반탐지 기능입니다.

설정 항목과 알람창 등을 살펴보며 실시간 감시 기능에 대해 자세히 알아보도록 하겠습니다.


4-1. Active Protection Setting


앞서 설명한대로 VIPRE의 실시간 감시 기능은 시그니처 기반 파일 감시 기능과 행동기반 감시 기능으로
나뉩니다.

(1) 실시간 파일 감시 : Handling of Known Risks and Suspicious

VIPRE 제품의 파일 실시간 감시는 아래와 같은 특징을 같습니다.
˚ 악성코드 진단시 자동 처리 - 검역소 저장이 이루어지며 사용자 처리로 변경 불가능
˚ 파일의 특정 포맷만을 검사 - 모든 파일 검사 설정 불가능
˚ 압축파일 검사 미지원
˚ VIPRE 엔진의 휴리스틱 기능 지원 - 수동 검사에서는 휴리스틱 미지원

(설치하는 미국산 제품마다 악성코드 처리가 사용자 처리가 불가능한 것을 보면 미국 사람들은 저와는 사용자 처리에 관하여
 다른 생각을 하는 듯 합니다.)
 

① 기본적으로 자동처리이지만 해당 기능을 체크함으로써 실시간 감시로 악성코드를 진단시 화면
    오른쪽 하단에 알람창이 활성화되어 악성코드 진단 사실을 사용자가 알 수 있습니다.

② VIPRE 제품의 휴리스틱 기능은 특이하게 실시간 감시에서만 활성화되고 수동 검사에서는 활성화가
    되어있지 않은 것을 확인하였습니다. 실시간 감시 기능에서 휴리스틱 기능을 활성화 시키려면 해당
    항목을 체크해야 합니다. DB에 포함된 악성코드 진단시와 달리 휴리스틱 기능은 사용자 처리로만
    처리가 가능합니다.

③ 시그니처 기반의 실시간 파일 감시 기능의 활성/비활성화
    Advanced를 클릭하면 아래와 같이 실시간 감시에서 감시할 확장자를 설정할 수 있습니다.

    실시간 감시에서 감시중인 확장자가 비교적 제한적이므로 사용자에 따라 몇 가지 추가할 부분이
    있다고 생각합니다.


④ CounterSpy의 시스템감시 기능의 하나로 맥아피의 시스템가드와 거의 유사한 기능입니다.
    3가지 시스템 보호 항목과 그에 따른 총 13가지 세부 항목을 갖고 있습니다.

    해당 기능과 항목과 탐지 영역이 다른 부분이 있으나 아래 포스팅 중간 부분의 맥아피의 시스템가드
    기능을 참고하면 각 기능들의 역활과 탐지 부분을 아는데 도움이 되리라 생각됩니다.
                                                    'McAfee의 System Guard'
   
    ˚ High : 모든 시스템 보호 항목을 활성화 시킵니다.
    ˚ Medium : 일부 기능만을 활성화 시키며 기본 설정 옵션입니다. 
      (어떤 항목을 활성화하여 구동되는지에 대한 자세한 정보를 찾지 못하였습니다.)
    ˚ Low : 해당 행동감시 기능을 비활성화 합니다.
    ˚ Custom : 13가지의 시스템 보호 항목을 사용자가 설정할 수 있으며, 각 기능에서 탐지된 위험요소
      처리에 관한 설정(허용/허용 후 알림/사용자처리/비활성화)도 변경 가능합니다. 
                                                        처리 방법 설정

    ˚ 시스템 보호 항목을 알아보도록 하겠습니다. 

 

1. Internet Explorer Monitors : IE 설정 변경을 감시

 

Internet Explorer Settings

웹브라우저(IE)의 기본 홈페이지, 시작 페이지, 검색 엔진 변경,

URL 입력 기능(URL Prefix–http://, Ftp:// 등을 자동으로 기입)

등의 변경을 탐지

Internet Explorer Security

IE의 보안 옵션 변경을 탐지

Internet Explorer Programs

IE Security zone에 웹사이트 추가 또는 삭제 등의 변경 탐지

Security zone 설정, 웹사이트 인증서 저장위치, 신뢰된 인증서

발행자 리스트 등의 변경 탐지

 

 

2. Windows Registry Monitors : 윈도우 레지스트리 변경을 감시

 

System Startup Programs

윈도우 시작 프로그램 변경을 탐지

System Policies

로컬 보안 정책 변경을 탐지

Shell Options

특정 파일 포맷에 대한 자동 연결 설정 등을 탐지

Windows Logon Security

윈도우 로딩시 초기에 구동되는 winlogon 프로세스 등에

삽입되어 실행되는 악성코드를 방지하기 위해 관련 레지스트리

변경을 탐지

 

 

3. Windows System Monitors : 윈도우 시스템 파일 및 설치/실행되는 프로그램 탐지

 

Active-X Installations

액티브X의 설치를 탐지

Configuration (.INI) File

윈도우 시스템의 ini 파일 변경을 탐지

Context Menu Handlers

마우스 오른쪽 클릭 쉘 메뉴 변경 탐지

Internet Host Names

호스트 파일 변경을 탐지

Trojan (Disguised) Files

윈도우 내부 파일로 위장한 파일의 생성을 탐지

Running Programs

프로그램 실행을 탐지



맥아피의 시스템가드의 액티브x 차단 기능과 달리 VIPRE의 액티브x 설치를 차단할 수 있습니다.
Trojan(Disguised) File 같은 기능은 꽤 재미난 기능인데 SVCHOST.EXE 같은 윈도우 내부 프로세스와
동일한 이름 및 내부 속성 등을 갖고 있는 허위 프로세스가 생성되는 것을 탐지/차단하는 기능입니다.
Running Program은 Sunbelt에 확인되지 않은 프로그램들의 실행을 탐지/차단하는 기능입니다.
확인되지 않은 'Unknown'은 위험성이 판단되지 않았다는 뜻으로 악성코드 DB에 포함되지 않은 모든
프로그램을 지칭한다 보면 됩니다.

VIPRE는 시스템 퍼포먼스 비교적 뛰어난 제품입니다만 해당 기능으로 인하여 어플리케이션 실행시에
약간의 딜레이 현상이 있습니다. 이때, 어플리케이션이 Allow 항목으로 지정되면 딜레이는 줄어듭니다.


4-2. 실제 사용 예 - 사용자 알람창

(1) 실시간 파일 감시 기능의 진단

① 정식 진단시
사용자 알람 설정을 했을 경우 위와 같이 진단된 파일은 자동 처리되어 검역소에 저장되고, 알람창이
활성화 되어 사용자에게 진단 사실을 알려줍니다.

Show Details...를 클릭하면 아래와 같은 진단된 위험요소에 대한 세부적인 정보를 보여줍니다.

세부적인 내용은 아래 더보기 클릭


② 휴리스틱 진단시

앞서 언근한 것처럼 휴리스틱 진단시 기본적으로 사용자 처리가 이루어집니다.
Allow나 Block를 클릭하면 자동으로 나중에 살펴볼 Manage 탭의 Allow/Block 리스트에 등록되며,
Block을 선택하면 자동으로 삭제되어 검역소에 저장됩니다.

휴리스틱 진단이 이루어졌을 경우 위의 그림처럼 시스템 수동 검사 여부를 물어보는 알람창이 활성화
됩니다.



(2) 행동기반 시스템 보호 항목 진단시

설정에 따라 탐지 항목 알림 혹은 사용자 처리에 관한 알람창이 활성화 됩니다. 


실시간 파일 감시와 동일한 알람창입니다. 각 시스템 보호 항목에서 감시하는 부분을 변경하는 어플리케이션 실행시 위와 같은 알람창이 활성화 됩니다.



4-3. VIPRE의 실시간 감시 항목의 문제

(1) 실시간 감시 모듈의 불안정성
VIPRE의 실시간 감시 모듈은 커널모드에서 동작하며 여타 다른 유명한 보안 제품들처럼 특정 파일에
대한 접근/생성/실행 등 모든 접근 시도를 감시할 수 있습니다.

그런데 실시간 감시를 비활성화 한후에 다시 활성화 하면 폴더 진입시에 악성코드의 진단이 안될 때가
있다는 것을 발견하였습니다.
이 경우 파일을 클릭하는 등의 시도를 하면 진단이 정상적으로 이루어집니다만, 비활성화 이후 활성화
되었을 때 실시간 감시 모듈이 완벽하게 동작하지는 않는 것 같습니다.

VIPRE의 행동기반탐지 기능도 액티브X 등의 설치 감시 기능같은 일부 항목이 정상적으로 동작하지
못하는 것을 발견하였습니다.

또한, 코모도나 아웃포스트 같은 HIPS 기능이 포함된 방화벽과 동시에 설치하면 실시간 감시 모듈이
로딩될 때 오류가 발생하는 것 같습니다. 윈도우 부팅시 실제로 동작은 하나 VIPRE의 실시간 감시 모듈
로딩 오류 알람이 활성화 됩니다. 이 경우, 실시간 감시 기능을 비활성화하였다가 재차 활성화하면 동일
한 오류 알람이 활성화되며, 악성코드의 진단이 안되는 등의 실시간 감시 모듈의 비정상적인 작동을
확인하였습니다.
그러나 항상 이러한 오류가 발생하는 것은 아니라서 이것이 충돌 문제인지 확실하지는 않습니다.

일단 이러한 비정상적 작동 문제는 저의 시스템상의 문제일 수도 있다고생각하고 있습니다만, VIPRE의
실시간 감시 모듈이 약간 불안정하다는 것의 근거가 될 듯 합니다.

(2) 감시 파일 포맷 설정
악성코드 진단 시 자동 처리 문제도 단점이긴 합니다만, 일종의 정책적인 부분이기 때문에 이해할 수
있습니다. 그러나 실시간 감시가 모든 파일 포맷을 감시할 수 없다는 것은 분명히 문제점으로 보입니다.
물론 사용자가 필요한 파일 포맷을 추가할 수 있습니다. 그러나 VIPRE에서 기본적으로 제공되는 파일
포맷이 아주 기본적인 포맷만이 추가되어 있기 때문에 사용자가 원하는 확장자를 일일이 추가하는 것은
상당히 불편합니다.

예상컨데 시스템 퍼포먼스의 효율을 크게하기 위해서 특정 확장자만을 감시하는 것으로 생각됩니다.
그러나 전체 파일 감시 설정을 아예 없애버린 것은 사용자 편의성 측면에서 문제점이라 생각합니다.

추가적으로 실시간 감시에서는 압축파일 검사도 지원하지 않습니다. 시스템 퍼포먼스를 올리기 위해
설정을 너무 간소화한 것은 아닌가 합니다.



5. 수동 검사 - Scan

5-1. 수동 검사 동작 및 설정


메인 화면의 Scan now 버튼을 클릭하거나, Scan 탭을 선택하면 수동 검사를 진행할 수 있게 됩니다.
VIPRE는 수동 검사시에 따로 프로세스가 로딩되거나 다른 검사창이 활성화 되는 것이 아니라 위의 기본
UI를 구성하는 SBAMsvc.exe 프로세스에서 검사가 진행됩니다.

Deep 검사시 검사 구동시에 순간적으로 메모리 점유율(100-200MB 수준)이 매우 크게 증가하게 되나,
이 후 다른 제품에 비해 적은 수준 (40-70MB)으로 메모리 점유율이 떨어져서 동작합니다.


검사 시간은 압축파일 검사가 활성화 된 상태에서도 비교적 빠른 편에 속하였습니다.

수동 검사의 설정 항목은 아래와 같습니다.

* : 사용자가 다른 작업을 진행하고 있을 때 수동 검사의 시스템 리소스 사용 우선순위를 낮춤

① Low-risk 프로그램을 진단합니다. 이 경우 대체로 사용자 동의나 사용자 동의 라이센스 항목이 없는,
    잠재적으로 문제가 될 수 있는 프로그램을 진단하게 됩니다. 실시간 감시에도 적용되며, 이 경우
    사용자 처리로 해당 진단된 위험 요소를 처리하게 됩니다.

② 나중에 살펴볼 예약 검사 기능의 설정입니다.

    ˚Cleaner Action for scheduled scan : 예약 검사 중 진단된 악성코드에 대한 처리를
     (자동처리/사용자처리) 설정합니다.
    ˚ Missed Scheduled Scans : 예약 검사 시간에 시스템이 off되는 등 예약 검사가 정상적으로 진행
      되지 못한 경우 다음번 부팅시 예약 검사를 바로 시작하는 기능입니다.
      아래 부분 시간을 설정하여 정해진 예약 검사에서 설정된 시간만큼 시간이 경과된 경우 
      Missed Schedual scan을 진행합니다.
      단, 이경우 예약 검사 작업 내용과 상관없이 Quick 검사가 진행됩니다.

  
  
5-2. 수동 검사의 문제점

제가 살펴본 봐로는 VIPRE에서는 수동 검사에는 시그니처 휴리스틱 기능이 적용되어 있지 않습니다.

수동검사에서 휴리스틱 기능이 없는 것은 개인적으로는 세 가지 이유가 있다고 생각합니다.
첫 번째는 시스템 퍼포먼스를 위해서 수동 검사시에 동작하는 기능을 최소화 했을 수 있다는 점.
두 번째는 VIPRE의 휴리스틱은 제가 테스트 해본봐로는 민감도가 좀 높은 편입니다. 실시간 감시는
사용자가 접근할 때만 시스템 파일을 검사하기 때문에 휴리스틱 진단이 나올 때마다 사용자가 하나씩
처리하면 되지만, 일반 수동 검사에서는 휴리스틱 진단이 대단히 많이 나올 가능성이 높고, 이 경우
처리하기 곤란하다는 문제점이 있습니다.
세 번째는 기술적인 부분으로 실시간 감시와 수동 검사 동작에 사용되는 모듈이 개별적으로 개발되면서
휴리스틱 기능이 수동 검사 모듈에는 추가되지 못했을 수도 있다는 점.

첫 번째와 두 번째 이유가 아마 가장 진실에 근접한 실제적인 이유가 아닐까합니다.
언급한대로 실시간 감시 기능은 사용자가 접근할 때만 반응하고 수동검사에서는 휴리스틱이 적용되지
않았기 때문에 휴리스틱의 민감도를 체감하기 어려웠습니다만, 이벤트 로그 기록에서 휴리스틱 진단을
통계내어본 결과 휴리스틱 진단으로 인한 오진이 상당히 많은 제품임을 알 수 있었습니다.

평소 생각했던 것보다 VIPRE 제품이 안정성이 떨어지는 듯하여, 개인적으로도 상당히 의외였습니다.
아마 Sunbelt사가 AV 제품을 전문적으로 다룬 업체가 아니다보니, 이러한 점에서 타사와 기술적으로
비교가 되지 않나 생각해 봅니다.
시스템 퍼포먼스에 대한 장점이 오진 등의 안정성 저하 문제로 많이 퇴색되는 것 같아 보입니다.



- 이상입니다.
반응형
1 2 3 4 5