▶ 보안 제품 리뷰/:: Kaspersky

Kaspersky internet security 2009 리뷰 (2-1) - 각 부분별 기능 소개

물여우 2008. 11. 18. 13:45
반응형


참고 :  바이러스 제로2 카페 (http://cafe.naver.com/malzero.cafe) 에서 작성하였던 글을 수정 보완
          하여
올리는 글입니다.




오늘은 카스퍼스키의 리뷰 두 번째 시간으로 각 부분별 기능 소개 및 장단점을 써보겠습니다.


참고로 저는 보안 전문가가 아니며 해당 프로그램에 대한 기술적인 지식이 없기에 이 글에 오류가 있을 수 있습니다. 
오류가 있을 시 주저말고 알려주시기 바랍니다. ^^



1. 메인화면


카스퍼스키의 메인 화면입니다. 카스퍼스키 2009의 인터페이스 특징은 기능적인 측면을 많이 강조하여 정보가 아주 집약적으로 제공되어진다는 점입니다.
이런 인터페이스는 카스퍼스키의 장점이자 단점입니다. 일반 유저들 사이에서 카스퍼스키가 사용하기 어렵다고 하는 점은 설정의 어려움과 더불어 인터페이스의 문제도 영향을 미치는 것 같습니다.

카스퍼스키 2009 인터페이스는 메인화면에서 각 기능마다 그에 대한 간단한 조절(활성/비활성, 자동처리 방법 조절 등)과, Setting 메뉴를 사용하지 않고 설정 부분으로 바로 진입하는 것이 가능합니다. 이러한 인터페이스는 언뜻보면 사용하기에 쉬워보입니다만 정보가 집약되어 있는 만큼 복잡도가 올라갔고 기능 설정과 로그보기가 혼재되어 있는 구조는 사용자에 따라 어려울 수도 있습니다.
또 카스퍼스키의 현재 보안상태를 보여주는 Status viewer와 각종 이벤트 기록을 보여주는 Reports 부분이 구분되어 있습니다. 물론 카스퍼스키는 기능이 많은 만큼 각 기능에서 보여지는 이벤트 기록이 상당 복잡하고 많습니다. 따라서 현재 상태와 과거이벤트를 구분하여 관리하여야 하겠습니다만 제품 사용 초기에 사용자가 원하는 정보를 찾기가 쉽지는 않습니다.

개인적으로 카스퍼스키의 각 기능별 구분은 5가지로 나누어 생각합니다.
기본메뉴탭(Protection, Scan, Update, License), Setting, Status Viewer+ Detected, Report, Help+Support
가 그것인데, 이 구분대로 설명을 진행하도록 하겠습니다.
(단, Setting 부분에 대한 자세한 설명은 다음 리뷰에 쓰도록 하겠습니다.)



2. 기본 메뉴 탭


2-1. Protection


Protection 탭은 카스퍼스키의 모든 시스템 보호 기능을 총괄하는 메뉴로서
Anti-Malware / System Security / Online Security / Content Filtering 등을 하부 메뉴로 갖고있습니다.

Protection 에서 보여주는 정보는 크게 다음 두 가지로 구분이 됩니다. 

(1) 모든 시스템 보호 기능에 대한 정보 
(2) 카스퍼스키에서 생성된 이벤트에 대한 개괄적인 정보  

①1번 빨간 박스 부분에서 모든 시스템 보호 기능에 대한 활성/비활성에 대한 정보를 바로 보여줍니다.
그리고 이 부분에서 아래의 스샷처럼 각각의 기능에 대한 이벤트 기록 보기, 활성/비활성화, 설정 변경등을 Report란이나 Setting란에 따로 들어가지 않고도 사용할 수 있습니다.

이런 식의 기능 조절은 하부 4가지 메뉴에서도 가능합니다.
사용자에 따라 다를 수 있겠습니다만 개인적으로는 이런 기본화면에서는 각기능을 활성/비활성 정도만 가능하게 하고 설정과 이벤트 보기 등은 각각의 원래 메뉴에서만 가능하게 해서 복잡함을 줄이는게 좋아보입니다.

② 2번 빨간 박스 부분에서는 카스퍼스키의 5가지의 중요 이벤트들에대한 정보를 보여주며 클릭하면 각각의 정보를 보여주는 메뉴 화면으로 넘어갑니다.
차례대로 DB및 모듈 업데이트 상태/현재 진단은 되었으나 따로 조치가 되지 않은 위협요소/검역소 정보
/연결된 네트워크 정보/어플리케이션 필터링 기능에서 감시하는 어플리케이션에 대한 정보 등을 간략하게 보여줍니다.
참고로 네트워크 정보는 아래의 스샷처럼 어플리케이션들이 외부와 연결된 정보를 보여주는 것이 아닌 현재 PC에 연결된 네트워크의 회선에 대한 정보입니다. 차후에 방화벽에 대한 리뷰를 진행할 때를 참고하시기 바랍니다.




2-2. Anti-Malware


이제 본격적으로 카스퍼스키의 중요 보안 기능을 살펴봅니다.
Anti-malware는  (1) 3가지 중요 기능, (2) 2가지 부가 기능, (3) 실시간 감시상태 표시 등
3부분으로 크게 나누어집니다.



(1) Anti-malware의 3가지의 중요기능은 실시간 파일 감시 기능을 담당합니다.

① Files and Memory : 기본적인 파일 실시간 감시 기능입니다. USB 등을 이용하거나 네트워크 상에서 파일 다운로드 등에서 전파되는 악성코드를 차단하는 기능입니다. 다른 보안 제품의 실시간 감시와 크게 차이는 없습니다만  설정에 따라 휴리스틱, 압축파일 진단, OLE 객체 진단 등이 조절 가능합니다.
(참고:OLE 객체는 워드나 PPT 등의 문서파일 등에 연결된 다른 파일 및 프로그램 등을
 진단 감시하는 기능입니다.)

아래의 스샷처럼 지금 메뉴에서 파일 실시간 감시의 강도 및 자동처리/수동처리 와 설정을 조정할 수 있습니다.

 
High/Recommended/low 3단계로 파일 실시간 감시의 강도를 조절이 가능합니다.
High를 지정하면 설정상의 모든 기능을 최대로 높입니다. 자세한 설정은 3부에서 설명하겠습니다.
Low는 파일감시의 범위와 OLE 객체 진단 등에 대한 설정이 빠지므로 기본 설정인 Recommended로 두시거나 개인적으로 설정을 조절하는 것이 좋습니다. 사용자가 설정을 조정하면 RecoommededCustom으로 바뀌어 표현됩니다.



Prompt for action을 클릭하면 파일 실시간 감시에서 진단된 악성코드에 대한 처리를 사용자에게 물을 것인지(Prompt for action) 자동처리 할 것인지(Do not prompt)를 정할 수 있습니다. 자동처리를 하면 기본적으로 Disinfected가 먼저 이루어지고 안되면 Delete가 이루어 집니다.
(참고 : 차후에 다룰 설정편에서 자세히 설명하겠습니다만 이 메뉴에서 수동 처리를 사용하려면 Setting 부분에서 자동처리가 비활성화 되어야만 합니다.)

자동처리부분에 검역소 기능이 없어서 의아해 하실분들이 있을 듯  한데 이건 이번 카스퍼스키 2009의 정책적인 부분을 살펴봐야 합니다. 카스퍼스키의 검역소는 Not a virus 진단명처럼 사용자에 따라 위험성이 없을 수 위협요소나 휴리스틱 진단에 의해 탐지된 위협요소에 대해서만 사용이 가능합니다.
다른 정식 진단명을 가진악성코드는 검역소에 저장하거나 진단을 무시하고 넘어갈  수 없습니다. 쉽게 말해 정식진단된 악성코드는 삭제만이 가능합니다. 이는 실시간 감시와 수동검사 모두에 적용되는 정책입니다.


그렇다면 만약에 오진이 발생하여 삭제된 파일을 복구하려는 경우가 발생했을 때 어떻게 해야하는가라는 심각한 문제점이 생깁니다. 카스퍼스키는 이런 경우를 대비해서 검역소 기능을 사용할 수 없는 대신

따로 백업 폴더를 만들어 그곳에 저장합니다. 단, Not a virus 진단명과 감염의심 위험요소는 삭제시
검역소에 저장됩니다.

카스퍼스키에서 삭제된 파일에 대한 복구팁은 다음에 따로 작성하도록 하겠습니다.


② Email and IM : POP3/SMTP 등을 이용하는 메일 서비스 프로그램(아웃룩이나 썬더버드)에서 받는 이메일을 감시하는 것과 특정 메신져들을 감시하는 기능입니다. 다음이나 구글 등의 웹메일을 사용하는 분들은 사용하지 않으셔도 됩니다. 메신져 감시도 ICQ/MSN 두 프로그램만 감시하기에 네이트온 등을 많이 사용하는 유저분들에게 필요없는 기능입니다.
카스퍼스키의 파일 실시간 감시는 아웃룻이나 메신져에서 다운되는 파일도 검사가 가능합니다. 이 기능을 활성화 시키면 파일 실시간 감시보다 앞단에서 먼저 차단한다는 효과가 있을 뿐입니다.

이메일 감시의 강도와 자동처리 부분은 실시간 파일감시 기능과 동일합니다.


③ Web Traffic :  안티버의 웹가드나 어베스트의 네트워크 프로바이더 기능처럼 네트워크단에서 악성코드를 차단하는 기능입니다. 실시간 파일 감시 기능이 내부 시스템에서의 파일 입출입을 감시한다면 웹트래픽 기능은 방화벽의 패킷 필터링 기법처럼 외부 네트워크에서 내부 시스템으로 들어오는 시점에서 파일을 감시합니다. 따라서 이 기능을 활성화 시키면 실시간 파일 감시 기능과 더불어 이중의 실시간 감시 기능으로 시스템을 보호하게 됩니다.

이 기능의 장점은 탐지된 위협요소가 자신의 시스템 내부에 들어오기 전에 차단한다는 점인데, 이 기능으로 인해서 네트워크의 대역폭 감소와 웹서핑시 웹페이지 로딩에 딜레이가 생기는 등의 문제점이 나타납니다. 카스퍼스키도 7.0 초기에는 웹트래픽 기능으로 인해 광랜 사용자의 상당한 속도 감소와, 웹사이트 특히 쇼핑몰 같은 이미지와 플래쉬가 많은 사이트에서는 상당한 웹서핑 딜레이를 유발시켰습니다.
7.0에서는  스트리밍 검사(대역폭 감소 적으나 검사 강도 낮음)/버퍼검사(대역폭 감소가 크나 검사 강도 낮음) 두 가지 기능을 제공하여 사용자에 따라 조절하게 하였는데 이번 2009 버전에서는 버퍼감시 기능 만이 존재합니다. 그러나 7.0버전의 웹트래픽 감시 기능에 비해 대역폭 감소 등의 문제가 상당히 개선되었습니다. 개인적으로는 버퍼 설정을 1로 잡고서 사용합니다만 이 기능을 비활성 시킬 때와 별다른 차이가 느낄 수 없었습니다. 자세한 설정은 Setting 편에서 하도록 하겠습니다.

추가로 한가지 이야기를 더 하자면 웹트래픽/이메일 감시/스팸메일감시 등은 모두 port를 통한 트래픽을 감시하는 기능인데 각 기능별로 다른 데이터 종류를 감시한다고 생각하면 됩니다. 
특히 웹트레픽 기능에 대해서 논란이 있는데, 실시간 파일 감시 기능이 제대로 기능한다면 네트워크단에서 따로 차단하지 않아도 방어가 가능하기 때문입니다. 이에 대한 자세한 논의는 제게는 벅찬 일이라 넘어갑니다만 시스템 내부로 들어오기 전에 차단이 가능하다는 점에서 활성화 시켜두시길 권장합니다.



(2) Anti-malware의 부가적인 두 기능은 다음과 같습니다.

① System Restore : 악성코드나 윈도우 최적화 프로그램 등으로 인한 시스템 설정의 오류나 변경점과 카스퍼스키의 정책상 위험한 시스템 설정을 진단/복구 시켜주는 기능입니다.

사용법은 쉽습니다. LCD 모니터 모양의 아이콘을 클릭하면 아래의 마법사가 나타납니다.

Start diagnostics를 클릭하면 아래처럼 진단을 시작합니다.


진단이 끝나면 아래 화면처럼 3가지의 기본 권유 설정으로 나누어 수정 여부를 물어봅니다.

Additional action        :    특별히 위험하지 않으나 사용자의 판단에 따라 수정 가능
Recommended action : 카스퍼스키의 정책상 야간의 위험도가 있다 판단되나 사용자의 성향에 따라
                                수정하지 않아도 되는 경우
STongly Recommended action : 카스퍼스키의 정책상 위험한 설정

제 컴퓨터 상황에서 하드 드라이브에서 자동실행이 가능하게 하는 설정은 최근에 유행하는 오토런 바이러스의 활동을 자유롭게하기 때문에 수정하는게 좋습니다. 일반적으로 사용자에 따라 다르겠지만 일반적으로 카스퍼스키가 진단한 것중 '강한 권유 항목'은 수정하시는게 좋을 듯 합니다.



② Rescue Disk : 부팅이 가능한 복구 시디를 만들어 악성코드 등으로 인한 정상적인 부팅이 힘들시에 사용합니다. 부팅 이미지를 카스퍼스키 랩에서 다운 받게 되는데 다운시의 카스퍼스키의 최신 DB가 포함되어 있어 카스퍼스키를 업데이트 한 후 악성코드를 진단 문제를 해결할 수 있습니다.

2008.11.18 현재 카스퍼스키랩에서 디스크 이미지를 제공하지 않습니다. http://www.nu2.nu/pebuilder/ 에서 제공하는 서비스로 사용자가 스스로 응급 복구 시디를 만들어 사용해야합니다.

카스퍼스키에서 정상적으로 기능이 제공되지 않고 다른 기능을 이용해야 함으로 여기서는 따로 언급하지 않겠습니다.


(3) 실시간 감시 상태 보기 : 실시간으로 3가지 주요 기능들이 수행한 감시 파일 수를 그래프로 표시하여 줍니다.

오른쪽 하단의 +, - 버튼으로 원하는 지점의 파일 감시 상태를 파악할 수 있습니다.
보통 타사의 보안 제품들은 실시간 감시가 이루어지는 상태를 보여주지 않거나 숫자 등으로 표시하는데그래프 등을 이용해서 직관적으로 직관적으로 보여준다는 점에서 좋은 것 같습니다.
그러나 사용자에게 반드시 필요하다고는 생각하지 못하겠더군요. 7.0버전보다 가벼워진 카스퍼스키 2009지만 저사양 pc를 위해 이런 기능은 없애어 무게감을 더 줄이는 방향으로 나가는게 더 좋지 않았을까 합니다.

제 경우 각 기능마다 초당 2-4개 정도의 파일을 검사하네요


2-3 System Security

카스퍼스키의 핵심 기능이자 고급 사용자들을 위한 System security 입니다.
이 기능에 설정에 대한 설명 등은
4번째 리뷰에서 쓰도록 하고 여기서는 기능에 대한 간단한 설명만 하도록 하겠습니다.


(참고 : 한글로 시스템 보호 내지 보안이라고 지칭한건 윈도우의 전반적인 부분을 보호한다는 의미로 쓰였다면 영어로 쓰인 System security는  이 메뉴를 지칭합니다.)

System Security도 (1) 3가지의 중요 기능, (2) 두 가지의 부가 기능, (3)시스템 감시 상태 보기 등으로
크게 나눌 수 있습니다.


(1) System Security 의 3가지 주요 기능은 사전방역 기술의 하나인 HIPS 기능과 방화벽,  행동기반 탐지
 기능입니다.


① Application Filtering : HIPS 기능을 담당하며 시스템 리소스에 접근하는 모든 어플리케이션에 대한
                                통합적인 감시 및 접근 권한 부여/차단 등을 시행합니다.


이 기능은 시스템을 다음 3가지의 부분으로 나누어 시스템 감시를 시행합니다.

- Computer resource : 카스퍼스키에서 기본적으로 보호할 윈도우와 대중적인 플리케이션들에 대한
                              레지스트리와 프로세스를 지칭

- Device : 윈도우에서 사용되어지는 여러 외부 장치들을 지칭
             (구성되어진 장치에 대한 설정을
 변경하거나 추가할 수는 없습니다.)
- Runtime Enviroment : 윈도우 시스템 프로세스부터 윈도우 상에서 구동되는 모든 어플리케이션들에
                               대한 규칙을 지칭합니다.

Default reles를 클릭하여  무조건 허용/기본설정/설정변경 이 3가지를 수행할 수 있습니다.


자세한 설정은 차후에 Setting 부분에서 다룰 것입니다만 기본적으로 어플리케이션이 구동되면 아래에 나열된 시스템 리소스에 접근하거나 특정 행동을 시작하는 것을 감시합니다.

- files and folders
- registry keys
- network addresses
- network packets
- devices
- execution environment.

2009 버전에서는 프로그램 분석을 통한 어플리케이션을 위험도에 따라 그룹(Group)을 구분하여 각 구분마다 계층적으로 프로그램에 다른 권한을 부여함으로써 사용자의 처리 단계를 줄일 수 있게되었습니다. HIIPS의 최대의 단점으로 지적되던 사용자 처리의 어려움을 상당히 감소시킨 것으로, 특히 설치시 초기에 System security 기능을 자동모드로 지정하였을 경우 상당히 HIPS 기능이 추가된 여타의 방화벽에 비해 사용자가 처리할 부분이 줄어 간편해졌습니다.
그러나 여전히 사용자가 처리햐야할 부분이 존재하며, 몇몇 프로그램의 계층구분이나 상세 규칙은 사용자의 수정이 필요하다는 단점이 있습니다.


② firewall : 사용자의 PC와 외부 네트워크 사이에서 패킷 필터링을 통한 네트워크 감시를 진행하며 인/아웃바운드연결을 통제합니다. 카스퍼스키의 모든 기능 중에서 개인적으로 설정 변경에 관하여 가장 많은 불만이 있는 기능입니다. 부가 기능의 하나인 Network Monitor와 같이 사용해야 하는데 다른 통합 제품의 방화벽이나 코모도, 아웃포스트, 피시툴즈 등의 전문 방화벽과 비교하여 편의성이 떨어집니다.

참고로 방화벽 자체가 독립된 부분이 아닌 Application filtering에 예속되어진 형태이며 서로 중첩되는 규칙에 대한 우선순위도 Application filtering이 더 높습니다.


③ Proactive Defense : Application Filtering이 각 어플리케이션의 시스템 권한을 통제한다면 Proactive Defense는 각 어플리케이션의 행동을 감시하여 악성코드의 행동인지 아닌지를 구분하게 됩니다.
이론적인 부분의 설명은 제가 언급할 만한 수준이 안됩니다만  Application Filtering이 각 프로세스의 행동을 '통제' 하는데 주안점이 있다면 Proactive Defense는 프로세스의 행동의 위험성을 '감지/차단'을 주 목적으로 합니다.
간단히 생각해서 HIPS기술과는 약간 다른 행동기반 방식의 실시간 감시라고 보면 됩니다. Application Filtering 보다 우선순위가 높기 때문에 trusted로 구분된 어플리케이션도 이 기능의 감시를 받게 됩니다.

오진의 가능성이 있습니다만 가능한한 활성화 시켜두기를 권유합니다.




(2) System Security의 부가기능은 두가지로 네트워크 모니터와 시스템 취약점 검색 기능입니다.

① Network Monitor : 방화벽이 기능을 돕는 기능으로 부가 기능이라 소개하였습니다만 어찌보면 방화벽의 핵심기능입니다. 현재 외부와 연결된 어플리케이션/연결된 IP/사용되는 포트 등에 대한 정보를 보여주며 방화벽 규칙을 수정(새로운 어플리케이션 규칙 추가는 방화벽 설정에서 해야합니다.)할 수도 있습니다.

3개의 메뉴 탭을 같고 있는데 첫번째 탭은 각 어플리케이션의 프로세스들이 연결 정보를 보여줍니다.
카스퍼스키 방화벽의 최대 불편한 점은 이런 곳에서 발생하는데.. 이 메뉴에서 프로세스에 대한 규칙을 변경하거나 네트워크 연결을 허용/차단하는 행위를 할 수가 없습니다. 만약 위의 프로세스 중에서 특정 포트를 통한 연결을 차단하고 싶다면 아래의 메뉴 탭이나 방화벽 설정을 이용해서 규칙을 생성해야합니다.

두 번째 탭은 사용자가 지정하거나 자동으로 생성된 방화벽 규칙의 로그를 보여줍니다.

여기서도 카스퍼스키 방화벽 사용의 불편함을 단적으로 보여주는데 위에 메뉴 탭에서 보인 방화벽 규칙은 상당히 많은데 아래의 실제 방화벽 규칙은 딱 두개가 설정된 것을 볼 수가 있습니다.


수동/자동모드와 상관없이 모든 방화벽 관련 이벤트는 네트워크 모니터의 로그 기록에 남게되지만
방화벽 설정에서 네트워크 연결에 대한 규칙 자체(예를 들어 Any network activity같은 네트워크 기본 규칙을 이용하여 어플리케이션 규칙을 만들 때)를 생성하여야만 방화벽 설정에 규칙이 남게 되지만 일괄적으로 Allow나 Block을 하면 네트워크 모니터의 방화벽 규칙 로그에만 남게 되는 것입니다.

아래의 스샷을 보면 이해하기 쉽습니다. 아래 스샷은 특정 어플리케이션아 아래처럼 외부 연결을 시도할 때 나온 방화벽의 알람창입니다. 여기서 Allow나 Block을 지정하면 네트워크 모니터에만 로그가 남게되고 방화벽 규칙은 생성되지 않습니다.

아래부분에 어플리케이션에 대한 같은 행동처리 박스에 체크가 되면 비록 방화벽 규칙으로 남게 되지는 않지만 같은 행동에 대해서는 내부적으로 저장된 규칙에 따라 허용이 됩니다. 보통 일반적인 방화벽들은 특정IP연결과 포트사용에 대한 단순한 Allow/Block도 방화벽의 규칙으로 정의가 되어 사용자가 쉽게 변경이 가능합니다.
만약에 규칙을 따로 생성하지 않고 차후에 지금까지 허용했던 연결을 차단하기 위해서는 모니터 네트워크 상의 로그를 보거나 사용자가 따로 연결 정보를 조사해서 규칙을 생성해야 합니다.

이런 부분에 대해서는 오히려 코모도나 아웃포스트가 훨씬 직관적이고 간편해 보입니다.
방화벽의 성능에 대한건 몰라도 사용 간편성에 대해서 만큼은 혹평을 받을만 하다고 봅니다.


마지작 3번 째 탭에서는 각 기간별로 각 어플리케이션들의 인/아웃바운드 트래픽을 보여줍니다.
이 기능 만큼은 타사의 방화벽에 비해 더 직관적이고 자세한 정보를 제공해주는 좋은 기능같습니다.



② Security Analyzer : 윈도우 시스템과 각 어플리케이션의 취약점을 조사하여 그 해결법을 제공합니다.
Security Analyzer를 클릭하면 다음과 같은 마법사가 나타납니다.
먼저 Fast diagnostics를 실행해봅니다.


인터넷 익스플로러에 대한 몇가지 권유사항을 제외하고는 System Resore에서 분석하여 나온 결과와 같습니다. 사실 System Analyzer와 System Restore는 같은 모듈의 같은 기능입니다.

참고로 카스퍼스키는 각 기능별로 모듈화된 상태기에 서로 모듈이 다른 기능이라면 각 기능의 현재 행동에 영향을 미치지 않는다면 모두 실행이 가능합니다.

아래 스샷은 Full Diagnostics를 진행한 결과입니다.
제가 가끔 사용하는 웹하드의 런쳐를 진단하는 군요. 이런 식의 진단이나온다면 아래 가운데 Solution탭의 링크를 따라가면 됩니다. 한글판에서 한글로 지원이 가능한지는 모르겠습니다만 아마 영어로 쓰여진
해결법을 보여줄 것 같군요.

System analysis 는 최초 빠른 진단과 동일합니다.

한가지 더 추가하면 시스템 분석은 윈도우 os와 Program Files 폴더에 설치된 어플리케이션만 진단이 가능합니다.




- 일단 이번 포스팅은 여기서 마치기로 하고 다음 포스팅에서 각 기능에 대한 리뷰를 마치겠습니다.

반응형