TrustPort Internet Security 2011 간단 리뷰 (2)

TrustPort의 악성코드 진단 기능을 살펴봅니다.

▶ Trustport Internet Security 2011 리뷰 모음

- TrustPort Internet Security 2011 간단 리뷰 (1)
- TrustPort Internet Security 2011 간단 리뷰 (2)
- TrustPort Internet Security 2011 간단 리뷰 (3)

---

3. 실시간 감시

TrustPort의 악성코드 진단 기능 중 실시간 감시 항목은 '로컬 파일 감시/웹 감시/이메일 감시' 등 3가지 항목으로 구성되어 있습니다. 여기서는 로컬 감시와 웹 감시 기능을 살펴보겠습니다.

3-1. 파일 감시

메인 화면 - 실시간 감시 기본 설정

위 그림은 메인 화면에 구성된 기본 설정 상의 실시간 감시 설정입니다. 기본적으로 'Deny access to file', 즉 접근 차단이 설정되어 있습니다. 개인적으로 사용자 처리와 치료 처리를 추천하며, 파일 검사 항목의 경우 가급적 모든 파일 검사를 추천합니다.

- Ask user for an action : 사용자 처리
- Deny access to file : 접근 차단 (파일 생성 및 다운로드시 생성 차단)
- Try to repair file : 치료 처리 (감염형 악성코드)
- Rename file name to secure name : 확장자 변경을 통해 악성코드 무력화
- Move file quarantine : 검역소로 격리
- Delete file permanently : 삭제 처리 (검역소 이동 x)

- I wish to secure all files on this computer : 파일 포맷과 상관없이 모든 파일 검사
- I only wish to secure programs and~~ : 특정 중요 파일 포맷만 검사

실시간 감시 진단 팝업창은 아래와 같습니다.

 

사용자 처리를 한 경우 먼저 왼편의 사용자 처리 팝업창이 활성화 된 후 사용자가 선택한 처리 항목에 따라 우편의 결과창을 보여줍니다. 진단명에서 진단 엔진 정보도 함께 표시되고 있습니다.

만약, 치료 실패 등이 일어났다면 아래와 같이 다시 한번 사용자 처리창을 활성화시켜 다른 조치를 요구합니다.

'Expert settings' 버튼을 통해 활성화하는 세부 설정 환경은 아래와 같습니다.

두 번째 탭의 'Option' 항목에서 구체적인 설정을 조정할 수 있습니다.

이때 모든 파일 검사로 설정해도 그 밑에서 보이듯이 특정 파일 확장자를 검사에서 제외할 수 있도록 구성되어 있습니다. 특정 파일 검사는 아래 그림처럼 구성되어 있는데, 기본적으로 사용자가 수정해야만 하는 구조이긴 해도 너무 텍스트 기반의 불편한 UI가 아닌가 합니다.

제가 볼 때 중요한 설정은 모두 'Advanced' 항목인 고급 설정에 존재합니다. 고급 설정에 위치한 설정은 제외 설정 및 휴리스틱 활성화 여부 등입니다. 특히 제외 설정이 중요한데, 타 제품과 달리 제외 설정이 환경 설정에서 바로 보이는 것이 아니라서 UI적으로 문제가 있습니다. 또한, 수동 검사와 별개로 적용되기 때문에 사용자 입장에서 불편한 구조를 갖추고 있다고 평가하고 싶습니다.

                      고급 설정 항목                                                  제외 설정 처리

 

3-2. 웹 감시 기능

Trustport의 웹감시 기능은 통일되지 못한 명칭으로 구성되어 있는데, 안티버의 웹가드, 카스퍼스키의 웹트래픽 검사와 유사한 기능입니다. 명칭이 통일되지 못한 이유는 유해물 차단 기능 등과 함께 묶여 있기 때문입니다.

- 메인 화면 : Web Browsing Protecion
- 환경 설정 : Web Scanner 또는 Web Antivirus

메인 화면에는 별다른 설정이 없고 세부 설정에만 관련 설정이 존재합니다. 그러나

파일 검사와 달리 웹 감시는 인터넷 다운로드 속도에 직접적으로 영향을 미치기 때문에, 특정 파일 검사만 하는 것이 좋습니다.


별다른 설정도 없는 웹 감시 기능을 따로 소개하는 이유는, 웹감시의 다소 불편한 악성코드 처리 방법 때문입니다. 웹 감시 기능은 특정 웹브라우저(BHO 방식이 아니라서 IE를 비롯해 대부분 브라우저에서 적용됨)에서 다운되는 파일(웹서핑시나 사용자가 직접 다운받는 파일들)들이 임시 폴더에 생성되기 전에 검사, 차단하는 기능입니다.

최근에는 여러 가지 이유로 웹감시와 유사한 기능을 포함시키는 것이 추세인데, Turstport의 웹감시에는 3가지 문제점이 있습니다.

1. 진단시 사용자 알림창이 활성화되지 않는다. 로그 기록에만 표시
2. 무조건 자동 처리 - 사용자 처리 설정 없음
3. 처리 방법이 내부 코드 삭제 후 처리 정보 채워 넣기 
  -> 처리된 파일이 이름 변경없이 생성 되며, 치료나 검역소 이동 등의 처리 없음

알림창 미존재와 자동 처리 부분도 그렇지만 내부 코드 삭제 후 변경 치료 방식이 실질적으로 가장 문제되는 부분입니다.
 

웹 감시에서 치료된 파일 정보

파일 내부 코드의 변경 - 진단 정보 표시

이것이 문제인 이유는 첫 번째, 알림창이 없기 때문에 외부적으로 봤을 때에는 아이콘 그림만 사라진 것 외에는 눈으로 차이점을 확인하기 어려워, 진단이 되어 치료가 된 건지 일반 사용자들이 쉽게 알 수 없다는 점이고, 두 번째로 오진이 나타났을 경우 대처 방법이 웹감시를 종료하는 것 외에는 없다는 점입니다. 

확장자 변화나 검역소 이동 등의 처리가 전무하고, 단순히 위와 같이 내부 코드를 삭제하고 진단 정보를 채워넣는 다는 점을 고려하면, Trustport의 웹감시 기능의 편의성은 정말 떨어진다는 것을 알 수 있습니다.

이런 이유로 어쩔 수 없이 웹 감시 기능을 비활성화하고 사용합니다. 단순히 구색만 맞추기 위한 기능이라면 차라리 삭제해서 퍼포먼스를 올리는 게 더 좋지 않을까 합니다. UI개선에 대해 고려가 있다면 다음 버전에는 개선이 되어야 한다고 봅니다.

4. 수동 검사

수동 검사 항목은 파일 감시와 설정상 거의 유사하며, USB 등의 이동식 장치 검사와 메모리 검사 레지스트리 검사 등 특정 항목만 다릅니다.

메인 화면의 수동 검사 항목은 각종 검사 기능과 검역소, 로그 기록 보기, USB용 검사 도구 만들기 등을 할 수 있습니다.

참고로 'BartPE'는 Bart's Preinstalled Environment의 약자로 부팅시 사전 설치 환경으로 진입해서 시스템을 검사할 수 있게 해주는 기능입니다.

수동 검사 항목은 아래와 같은데 역시나 클래식한 구성을 보여줍니다.

                            검사 화면                                                  검사 및 치료 내역

환경 설정 부분은 실시간 감시와 유사하기 때문에 넘어갑니다. 한가지 이동식 저장 장치를 연결할 때마다 뜨는 검사창과 우클릭 쉘메뉴(Context menu) 검사 시에도 메모리 검사를 진행하는게 귀찮다면 아래와 같이 고급 설정에서 두 가지 항목을 체크 해제 합니다.

---

개인적으로 Trustport같은 UI를 좋아하긴 합니다만, 부분적으로 불편하고 복잡한 부분이 있어 UI에 대해서 좋은 점수를 주지 못하겠습니다. 촌스러우면 사용하기 편하거나 다양한 설정이라도 제공해야하는데, 이것도 저것도 아닐 뿐더러 불편하기까지 하면...

참고로 압축 파일 치료 방식은 정상 파일 존재 여부와 상관없이 압축 파일 자체가 삭제합니다. 압축 파일 검사와 치료 부분은 대부분의 제품들이 만족스럽지 못하긴 합니다만 아쉬운 부분입니다.

한 가지 더 아쉬운 것은 Trustport의 악성코드 진단이 시그니처 진단 방식에만 의존하고 있다는 점입니다. 듀얼엔진, 그것도 뛰어난 성능의 엔진을 사용하고는 있지만, 시그니처 진단만으로는 아무래도 한계가 있기 때문입니다. 최근에 유행하는 클라우드 진단이나 행동 기반 진단 등 다양한 진단 기법이 필요하다고 봅니다.

악성코드 진단 항목에 한해서는 웹 사이트를 변조하여 취약점 공격 코드는 대부분 AVG에서, 최종 파일은 빗디에서 먼저 진단하는 경우가 대부분인 것 같습니다. 취약점 공격 차단이 더 중요하다고 해서 AVG 엔진의 진단 우선 순위를 올릴 필요는 없습니다. 엔진 우선 순위와 상관없이 진단을 하기 때문입니다.

엔진 간에 진단 시 미묘한 딜레이 차이가 있다고 하는데, 밀리초 단위의 차이를 느껴야하는 건지, 저는 잘 모르겠습니다.

여하튼 UI가 좀 아쉽지만, 진단율 부분에서는 확실히 나쁘지 않은 모습을 보여줍니다. 


- 이상입니다.