▶ 보안 제품 리뷰/:: Panda

클라우드 전용 백신 : Panda Cloud Antivirus Free 1.5 리뷰 (1) - 악성코드 진단

물여우 2011. 7. 23. 12:03
반응형

판다의 클라우드 전용 안티 바이러스인 클라우드 안티바이러스 무료 버전을 살펴봅니다.



스페인의 보안 업체인 판다는 동일한 이름의 보안 제품으로 유명합니다. 이번에 살펴볼 제품은 판다의 클라우드 제품군 중 개인용으로 제공되는 무료 안티바이러스입니다.

현재 보안 제품의 추세는 클라우드 진단과 행동 기반 진단을 추가하는 것이며, 보통은 기존 설치형 제품에 클라우드 진단이 보조적으로 추가되는 것이 일반적입니다. 하지만 이번에 소개할 클라우드 안티 바이러스는 로컬에 저장되는 DB없이 순수 클라우드 기술을 이용한 진단만으로 악성코드를 차단하는 보안 프로그램입니다.

Immunet 등 순수 클라우드 진단만을 이용하는 제품이 없은 것은 아니지만 메이저 수준의 업체에서 제공되는 제품은 판다의 클라우드 안티 바이러스가 최초입니다. 작년에 전격적으로 유료 제품까지 출시했으며, 중앙 관리 기능이 포함된 기업용 제품까지 서비스되고 있습니다.

이번 글에서는 개인용 제품 중 무료로 제공되는 Panda Cloud Antivirus Free 1.5(이하 판다 클라우드)버전을 살펴보겠습니다. 판다 클라우드의 특징은 'Simple'입니다.

일단, 클라우드 진단 기술을 이용하기에 퍼포먼스 측면에서 무척 뛰어난 제품이고, 제공하는 기능도 중요항목들만 제공하여 복잡함을 없앴습니다. 이러한 가벼움은 다른 업체의 안티 바이러스를 보조하는 제품으로 사용할 때 강점이 됩니다.[각주:1]

애초에 판다 클라우드 제품은 소위 '라이트 유저'를 겨냥한 제품으로 보이며, 기본적인 진단 능력이 떨어지는 것은 아니어서 주력 안티 바이러스로 사용하기에 부족해 보이지는 않습니다. 하지만 정책적인 문제를 비롯해서 부족한 부분이 없는 것이 아니어서, 개인적으로 '라이트 유저'에게 특히, '국내 환경'에서는 사용하기를 권장하기는 힘들다고 봅니다.

판다 클라우드에서 제공하는 기능은 아래와 같습니다.

1. 시그니처 악성코드 진단(안티 바이러스, 안티 스파이 DB 포함, 루트킷 진단)
2. 행동 기반 진단 기능 (Behavior Blocking)
3. 행동 기반 진단 기능 (Behavior Analysis) - 유료 제품에만 포함
4. 검역소 및 로그 기록 제공



1. 제품 설치

판다 클라우드의 홈페이지와 다운로드 링크는 아래와 같습니다.


위 링크에서 내려받는 설치 파일은 1MB도 안되는 작은 용량을 갖고 있습니다. 그러나 이후 관련 모듈 파일 다운로드를 거치면 프로그램 폴더 기준으로 120MB에 근접하게 됩니다. 설치 과정은 매우 간단하며 아래와 같습니다.


'Accept and install'을 클릭하면 설정된 설치 설정대로 바로 설치가 됩니다. 변경할 것은 별로 없지만 설치 설정을 변경하려면 'Option'을 클릭합니다.


Option에서는 설치 언어와 설치 경로, 판다 툴바 설치 등을 변경할 수 있고, 광고 목적인 야후로의 검색 엔진 변경도 수정할 수 있습니다. 야후 검색 변경과 툴바 등은 설치를 안하셔도 판다 클라우드를 사용하는데에는 문제가 없습니다. 단, 툴바를 사용하지 않을 경우 Url Filtering(피싱 사이트 진단 등)을 사용할 수 없습니다.

  

파일 다운로드 및 복사

 

무료·유료 설정과 계정 연결 과정입니다. 유료(Pro)를 선택하면 후에 라이센스를 기입해야합니다. 여기서는 무료를 선택합니다.


메인 화면은 아래와 같습니다.


메인 화면은 무척 간단하게 구성되어 있으며, '수동검사/리포트/검역소/설정' 등 4개 항목으로 구성됩니다. 또한 상태 정보(악성코드 진단 여부, 검사 속도 등)를 보여줍니다.

 

2. 악성코드 진단

 

2-1. 실시간 감시


판다의 실시간 감시는 파일 실행·생성·이동·변조 시에 반응하게 되며, 파일 실행 시 시그니처 진단을 통과한 경우 행동 기반 진단 기능으로 진단될 수 있습니다. 악성코드가 진단될 때 아래와 같은 팝업이 나타납니다.

                         검역소 격리                                                           삭제

행동 기반 진단창


이 때 '1 virus neutralized' 등을 클릭하면 로그 기록을 볼 수 있습니다. 이는 아래에서 따로 다루겠습니다.

간혹 진단시 아래와 같은 팝업이 나타날 수 있는데, 이 경우 진단된 악성코드가 제대로 처리되지 않았을 때 나타납니다. 제 경우 처리는 제대로 된 경우(삭제, 검역소 격리 성공)에도 나타났었는데, 이는 오류로 나타난 것으로 보입니다.



▶ 판다 클라우드 실시간 감시 주의점

1. 판다의 실시간 감시는 압축 파일 검사를 수행하지 않습니다.
2. 실시간 감시는 실행 파일 등의 중요한 특정 확장자만 진단합니다.
   따라서 'ex0' 같은 변경된 파일은 진단이 불가능합니다.
3. 정책상 정식 진단 파일은 바로 삭제, 의심 파일은 검역소 격리가 이루어집니다.

   판다 고유의 정책인데, 개인적으로 이 때문에 일반 유저에게는 판다 제품들을 권장하지 않습니다.
   오진 발생시 대책이 없는 정책인데, 국내 환경에서 오진이 없는 것이 아닌 만큼 주의해야합니다.
   단, 수동 검사에서는 이와 달리 정식/의심 진단 상관없이 검역소로 저장됩니다.
4. 시그니처/행동 기반 지단 모두 자동 처리 방식으로 악성코드를 처리합니다.


 

2-2. 수동 검사


수동 검사 항목은 아래와 같이 구성되어 있습니다. 

 

 'Optimized Scan'은 타 제품의 빠른 검사로 시스템의 주요 항목들을 검사합니다. 'Other scans'은 전체 검사와 사용자 지정 검사를 의미합니다. 아래는 사용자 지정 검사(Scan other items)를 선택했을 때 검사 경로를 설정하는 항목입니다.



수동 검사를 실행하면 역시 간단하게 검사 상태바와 진단/처리 내역만을 보여줍니다.


하단부의 Neutralized/Not Neutralized가 진단/처리 내역을 나타내고 있습니다. Neutralized 검역소 저장, Not Neutralized는 진단 후 미처리를 의미합니다. 이것을 클릭하면 아래와 같이 진단 결과 정보를 볼 수 있습니다.

중요한 것은 판다는 기본적으로 자동 처리이기 때문에 진단 내역을 세밀히 살피셔서 혹시 모를 오진을 주의해야 한다는 점입니다. 다행히 기본적으로 검역소에 진단한 항목들이 저장됨으로 오진 발생 시 복구 후 제외 설정을 반드시 하시기 바랍니다.

 

2-3. 환경 설정


간단하게 구성된 제품답게 환경 설정 항목도 무척 간단합니다.

                고급 설정 접속 방법 -> 



먼저 제외 설정을 살펴봅니다. 제외 설정을 비롯한 악성코드 진단 설정은 모두 고급 설정(Advanced settings)에 포함되어 있습니다.

 

다음은 악성코드 진단 관련 설정입니다.



- Detection of PUP : 애드웨어를 비롯한 잠재적으로 원치 않는 프로그램에 대한 진단
- Background scanning after cache synchronization
  : 판다는 클라우드 서버를 담당하는 Collective Intelligence에서 전달된 정보를 저장(캐쉬)하는데
    이를 갱신 후 검사
- Behavioral Blocking : 시스템 취약점 공격 등 코드 주입 방식의 특정 패턴을 차단
- Behavioral Analysis : 행위 기반 탐지 기능으로 실행된 프로세스의 행동을 검토, 악성 여부를 판단
- Scan compressed files in on demand scans : 수동 검사시 압축 파일 내부 검사
- Blocking of files until result are returned from the cloud
  : 모종의 이유로 클라우드 서버에서 파일에 대한 위험도 평가 정보가 지정된 시간내에 보내지지 않
    을 경우 해당 파일을 차단


우클릭 수동 검사 메뉴에서는 위 압축 파일 설정과 상관없이 압축 파일 검사가 이루어집니다. 그러나 수동 검사에서 압축 파일을 검사하더라도 검출만 가능할 뿐, 악성코드를 처리할 수 없습니다.

행동 기반 진단 기능(Behavioral Blocking/Analysis)에 대해서 추가적으로 설명하고 이번 글을 마칩니다.

사실 위 두 기능은 판다 설치형 제품에 포함된 'TruePrevent'에 포함된 기능입니다. TruePrevent에 포함된 기능을 따로 구성한 후 유무료 제품에 따라 사용할 수 있는 기능을 제한한 것이라고 보면 이해하기 쉽습니다. 

TruePrevent 항목 중 행동 기반 진단 기능에 대한 설명


Behavioral Blocking은 'the Kernel Rules Engine (KRE)' 라고도 불려지는데, 특정 규칙 항목과 일치하는 행동을 진단하는 규칙 기반 진단 기능입니다. 주로 시스템 취약점 공격 코드나 특정 악성코드의 행동 패턴에 대해서 반응합니다.

규칙은 크게 4가지로 구성되는데 '특정 악성코드 행동/운영 체제 보안/웹브라우저 취약점 공격/기타 어플리케이션 취약점 공격' 으로 구성되어 있습니다. 해당 항목과 일치하는 행동이 발견되면 자동으로 차단되며 로그 기록에 'Rule 5***' 으로 기록됩니다. 규칙에 대한 자세한 것은 판다 블로그를 참고 바랍니다.

Behavioral Analysis는 특정 규칙과 일치여부를 측정하는 것이 아니라 좀 더 포괄적인 행동을 분석 악성 여부를 판단하는 기능입니다. 위 TruePrevent의 행동 기반 진단 기능 모식도가 바로 이 행동 기반 분석 기능을 의미합니다. 특정 프로세스가 실행되면 시스템(커널)에 요청되는 명령어를 중간에 가로채어 위험도를 평가한 후 허용/차단 여부를 결정하게 됩니다. 오진 문제로 민감하게 동작하지는 않지만, 제한된 진단 정책만을 갖고 있는 Behavioral Blocking보다는 좀 더 넓은 범위의 악성코드를 진단할 수 있습니다.

판다의 시그니처 진단 기능처럼 Behavioral Blocking/Analysis 모두 자동 처리가 되기 때문에 사용자는 오진 여부만을 평가하면 됩니다.
 



앞서 올린 그림의 내용 중 쿠키 진단시 IE의 쿠키는 진단하면 바로 삭제를 하지만, 크롬의 쿠키는 진단만 하는 상황이 있었습니다. 단순 쿠키이기에 별 문제는 안 되긴 하지만, 왜 상황별로 대처가 다른지가 궁금합니다.


2부로 넘어갑니다. ^^

  1. 개인적으로는 다중 제품 사용을 권장하지 않지만, 개발사에서 보조 제품으로의 사용이 가능함을 언급하고 있습니다. [본문으로]
반응형