▶ 보안 제품 리뷰/:: Kaspersky

Kaspersky Internet Security 2012 리뷰 (3) - 파일 감시 (악성코드 진단:실시간 진단)

물여우 2011. 10. 28. 08:00
반응형
카스퍼스키의 파일 감시 기능을 살펴봅니다.



악성코드와 관련된 카스퍼스키의 실시간 감시는 모두 7개의 기능으로 구성되어 있습니다. 동작면에서 크게 시그니처 진단과 행동 기반 진단 기능으로 나눌 수 있는데, 시그니처 진단 항목은 아래와 같습니다.

- 파일 감시 (File Anti-virus)
- 웹 감시 (Web Anti-virus)
- 메일 감시 (Mail Anti-virus)
- 메신져 감시 (IM Anti-virus)

여기서는 파일 감시 기능을 살펴보도록 하겠습니다. 


4. 실시간 감시 : Real Time Protecion (Signature Detecion)

4-1. 파일 감시 : File Anti-virus

파일 감시는 전통적인 안티 바이러스의 실시간 감시 기능입니다. 기본적으로 파일을 생성하거나, 생성된 파일에 접근 및 수정을 시도할 때, 백그라운드에서 이를 지켜보다가 악성코드일 경우 접근 및 생성을 차단 하는 기능입니다.

기본적으로 카스퍼스키의 진단 처리 방법은 '자동 처리'지만 여기서는 '사용자 처리'를 기준으로 설명합니다.

(1) 진단시 모습


앞선 글에서 KSN의 진단과 일반 진단과 처리 방법에 차이가 있음을 설명하였습니다. 이와 별도로 일반 진단시에도 정식 진단과 의심 진단간에 처리 방법이 또 차이가 발생합니다. 정식 진단, 의심진단, KSN 진단 등 각각의 경우는 아래와 같습니다.

정식 진단 팝업창

정식 진단창의 모습입니다. 상단에 진단된 객체에 접근한 프로세스 정보와 진단명 정보를 보여주고 있습니다.

하단 부분에 처리 방법이 나타나는데, 정식 진단의 처리 방법은 "치료/삭제/접근 차단" 등 3가지만 존재합니다.

검역소 저장이 보이지 않은 점 때문에 판다나 비트디펜더처럼 정식 진단시 검역소 미저장 정책으로 보여질 수 있지만 카스퍼스키는 다릅니다.

카스퍼스키는 오래 전부터 정식 진단시 검역소 저장이 아닌 백업(Backup) 항목에 따로 진단 객체를 자동으로 저장해 왔습니다. 백업 항목에서 복구까지 가능함으로 오진 문제로 전전긍긍할 필요 없이 치료가 불가능한 객체는 삭제하시면 됩니다.

참고로 우측의 "!" 표시를 클릭하면 프로세스 정보(Apllication rule 정보)와 진단 객체에 대한 세부 정보를 보여줍니다. 세부 정보는 아래와 같습니다.

세부 정보창


이번에는 의심 진단과 KSN 진단창입니다. 기본적으로 KSN 진단은 오진 가능성 때문에 의심 진단과 같은 수준으로 평가됩니다. 따라서 검역소 저장이 기본적으로 제공되며, 치료 항목은 제공되지 않습니다. 

둘 사이의 차이로는 의심 진단은 접근 차단이 제공되지만 KSN 진단은 진단 무시가 처리 항목으로 제공된다는 점과 의심 진단시에는 진단명이 표시되지만, KSN 진단은 진단명이 보이지 않는 다는 점이 다릅니다. (※ KSN 진단명 : UDS:DangerousObject.Multi.Generic)


                          의심 진단                                                       KSN 진단

 

치료나 검역소 저장, 삭제 등 처리 방법을 선택하면 아래와 같이 진단 및 처리에 대한 작은 결과창이 나타납니다. 보통 해당 창이 나타날 때 쯤 객체가 삭제와 같은 방법으로 처리됩니다. "Details"를 클릭하면 세부 리포트 창을 띄워 결과를 세부적으로 보여줍니다.

진단 결과창



(2) 환경 설정



파일 감시 환경 설정


카스퍼스키는 일반 설정에서 시스템 전체에 영향을 주는 자동 처리 설정과 개별 감시 설정에 개별적으로존재하는 자동 처리가 존재합니다. 두 개의 자동 처리 설정이 있는 셈인데, 일반 설정에서 자동처리를 선택하면 "Prompt for Antion"이 아닌 "Select action Automatically" 항목이 나타납니다. "Select Action"을 선택하면 아래 선택된 항목을 기준으로 자동 처리를 실시합니다.

위와 같이 서로 다른 계열의 설정이 존재하기 때문에 특정 감시 기능은 자동 처리 혹은 사용자 처리로 설정할 수 있는 편리한 점이 있습니다.

세부 환경 설정을 살펴보도록 하겠습니다. 먼저 일반 설정(General) 탭입니다.

일반 설정에서는 검사할 파일의 종류와 검사 경로를 선택하게 됩니다. 검사 경로는 특별한 경우를 제외하고는 모든 시스템을 검사해야하기 때문에, 가급적 수정하지 마시기 바랍니다.

검사할 파일 종류에 대해 3가지 설정이 존재합니다. "All files"는 이름 그대로 모든 파일을 검사합니다.

"File scanned by format"은 지정된 파일 포맷의 파일만 검사합니다. "File scanned by extension"은 지정된 파일 확장자를 가진 파일만 검사합니다.

파일 포맷이나 파일 확장자나 동일한 것 같아 보이지만, 파일 포맷 검사는 확장자와 상관없이 파일 해더를 분석하여 파일 포맷을 결정, 검사합니다. 따라서 확장자 검사보다 더 포괄적인 검사가 진행됩니다.

두 번째는 시스템 성능(Performance) 탭입니다. 
시스템 성능 탭은 의심 진단의 민감도와 압축 파일 검사 등 시스템 성능에 영향을 주는 항목들이 주로 존재합니다.

의심 진단은 'light/midium/deep'등 3개의 민감도 설정이 존재합니다. AVIRA와 같이 민감하지는 않기 때문에 deep으로 두고 사용하셔도 큰 차이가 발생하지는 않습니다.

"Scan only new and changed files"는 보안 수준은 약간 떨어지지만 시스템 성능을 올릴 수 있는 항목임으로 '수동 검사'를 주기적으로 하신다면 체크하셔도 됩니다.

압축 파일 검사와 설치 패키지 검사는 압축 방식이 서로 다르다보니 따로 구성되어 있을 뿐 동일한 기능입니다. 임베디드 객체 검사는 문서나 다른 객체에 링크된 객체들을 검사하는 기능으로 가급적 체크하시기 바랍니다.


추가 검사(Additional)항목은  압축 및 설치 패키지 검사 시 적용되는 설정입니다.

"Extract compound files in the background"는 설정된 크기와 같거나 작은 파일만 압축을 풀어 검사하되 백그라운드에서 압축 해제가 이루어지도록 하는 설정이고, "Do not unpack large compound files"는 지정된 크기보다 큰 압축 파일은 검사에서 제외하는 설정입니다.

두 개의 설정이 얼핏보면 비슷해 보이지만, 전자와 달리 후자는 검사를 아예 제외해버린다는 점이 다릅니다.

 





마지막으로 세 번째 탭인 추가 항목(Additional)입니다.

추가 탭에서는 진단 방식과 검사 최적화 기능 등을 설정합니다.

진단 방식 중 스마트 모드(Smart mode)는 행동 분석을 기반으로한 진단 방식이라고 합니다. 제가 볼 때에는 기존의 진단 방식(접근 및 수정 시 진단)에서 최적화가 이루어진 진단 방식으로 보입니다. "On access and modification"을 선택하면 파일 검사가 더 자주 이루어집니다.

검사 최적화 기능인 "iChecker"는 스캔 설정 변경, 검사 시기, DB 날짜 등을 고려해서, 특정 파일을 검사에서 제외하는 기능입니다. 단, exe나 dll 등 일부 파일은 해당 최적화 기능에서 제외됩니다.
 
"iSwift"는 iChecker의 발전형으로 ntfs 파일 시스템에서만 동작하는 특화 기능입니다.

"Pause task"는 실시간 감시를 중지시킬 때 사용합니다. 시간 예약 및 특정 프로그램 실행 시에 파일 감시를 중지할 수 있도록 설정이 가능합니다.




다음 편에서는 웹 감시와 메일 감시, 메신져 감시를 다룹니다.


- 이상입니다.
반응형