▶ 보안 제품 리뷰/:: ESET

Eset Smart Security 5 간단 리뷰 (2) - 악성코드 진단 (시그니처)

물여우 2011. 12. 31. 08:30
반응형
ESET의 실시간 감시(로컬)과 수동 검사에 대해서 살펴보도록 하겠습니다.

▶ ESET Smart Security 5 리뷰 모음

Eset Smart Security 5 간단 리뷰 (1) - 개요 및 UI



ESET의 악성코드 진단 기능은 일반적인 파일 실시간 감시와 수동 검사 등의 로컬 진단 기능과 패킷 필터링 방식을 통한 웹 진단, 그리고 행동 기반 지단 기능은 HIPS로 구성되어 있습니다.

이번 글에서는 실시간 감시(실시간 파일 시스템 보호 및 프로토콜 필터링)와 수동 검사에 대해서 살펴보겠습니다.


4. 악성코드 진단

ESET의 시그니처 진단은 휴리스틱 진단(인공지능 진단)의 뛰어남으로 유명합니다. 최근 들어 타 제품들의 추격으로 빛이 바랜 부분도 있지만 여전히 막강한 성능을 자랑하며, 대응 능력이 거의 없는 국내 환경에서도 휴리스틱 진단을 통해 어느 정도는 악성코드 진단에 성공하고 있습니다.

ESET의 시그니처 악성코드 진단 기능은 로컬 및 네트워크 진단 기능으로 나뉩니다. 로컬 진단은 실시간 파일 감시와 수동 검사이며, 네트워크 진단 기능은 프로토콜 필터링 기능으로 구성되어 있습니다.

실시간 파일 감시는 파일의 변경, 접근, 생성시 이를 진단하는 기능이며, 프로토콜 필터링은 네트워크 패킷을 중간에 가로채서 악성 여부를 검사하는 기능입니다. 프로토콜 필터링 기능은 기능상 카스퍼스키의 웹 감시와 비슷하면서도 웹 페이지 로딩 딜레이(웹서핑 딜레이)가 거의 없어 퍼포먼스 상으로 매우 뛰어난 기능입니다.

파일 실시간 감시 항목의 설정은 아래와 같습니다.


고급 검사 옵션이 수동 검사와 달리 따로 구성되어 있습니다. 압축 파일 설정과 휴리스틱 진단 기능인 '고급 인공지능/DNA/스마트 지문' 항목들이 새롭게 생성되거나 수정되는 파일에만 적용되도록 구성되어 있습니다. 이는 실시간 감시 특성상 퍼포먼스 문제를 해결하기 위함입니다.

진단 세부 설정인 'ThreatSense 엔진 파라미터 설정' 항목은 수동 검사 부분을 통해 보도록 하겠습니다.

오브젝트 항목은 진단 항목에 대한 기본 종류를 선택합니다. 파일 감시나 프로토콜 필터링의 경우 수동 검사에 비해 검사할 종류가 적습니다.

옵션 항목은 휴리스틱 진단과 PUP 진단, 클라우드 진단과 관련된 설정 항목입니다. 단 PUP 진단이 두 개로 나뉘어져 있는데 일반적인 PUP 진단은 '잠재적으로 안전하지 않은 애플리케이션' 항목이고 다른 부분은 의심 진단의 하나로 보시면 됩니다.

치료 항목은 사용자 처리와 자동 처리를 설정합니다. 다소 헷갈리는 부분이지만 자동 처리 부분이 두 부분으로 나뉘어져 있습니다.


사용자 처리와 자동 처리의 차이는 아래와 같습니다.

사용자 처리


아래 고급 옵션 부분에서 '경고창 표시', '검역소 복사', '파일 전송', '검색에서 제외' 등의 추가 설정 항목이 있는 것을 확인할 수 있습니다. 검색에서 제외는 정식 진단의 경우 활성화되지 않습니다. 이때 의심 진단의 경우에도 진단 항목에 따라 활성화되지 않는데 따로 제외 설정 항목에서 제외 설정을 하셔야 합니다.

참고로 의심 진단이나 PUP 진단은 노란색의 진단창이 나타납니다. 아래는 프로토콜 필터링을 통한 의심 진단 창입니다. 치료 대신 '연결 끊기' 항목이 있는 것을 확인할 수 있습니다.


자동 처리창은 왼쪽과 같습니다. 그런데 사용자 처리로 설정했다 하더라도 우측 그림처럼 프로토콜 필터링 항목의 경우 악성코드 객체가 아닌 악성 url은 이 설정에 영향을 받지 않습니다. 즉 아래와 같이 악성 url이 진단된 경우 자동으로 차단이 됩니다.



참고로 우측의 주소 차단은 로그 기록에 남지 않으며, 무조건 자동 처리화 됩니다. 따라서 오진이 발생할 때 상당히 난감하게 됩니다. 이 부분은 로그 기록 항목 UI의 문제로 보입니다.

한 가지 더 팝업창에서의 문제를 살펴보면 아래와 같은 경우를 들 수 있습니다.


경로가 길어 팝업창에서 한 번에 표시가 되지 않는 부분인데, 팝업창 자체에서는 확인이 불가능합니다. 일단 치료나 무시 조치 후에 검역소 또는 로그 기록에서 해당 파일이 어떤 것이었는지 확인을 해야합니다. 이는 프로토콜 필터링에서 주소가 길어질 때도 마찬가지 입니다. 이 부분도 역시 개선이 필요합니다.


확장명 항목은 검사할 객체의 확장자를 설정하는 것으로 가급적 '모든 파일 검사'(기본 설정)를 선택하시길 바랍니다.


제한 설정은 퍼포먼스를 위해 아래 설정에 따라 진단을 제외하는 설정입니다. 기본 설정은 파일 크기에 제한이 없고 다중 압축은 10개까지 검사를 진행합니다.

마지막 기타 항목입니다.

마지막으로 웹 감시를 담당하는 '웹 및 이메일' 항목은 앞서 언급한 프로토콜 필터링 항목입니다. 네트워크 연결을 통해 트래픽을 주고받는 어플리케이션들을 감시할 수 있습니다. 
 

 

설정을 보시면 '웹브라우저 보호', '이메일 클라이언트 보호', '프로토콜 필터링' 등 3가지 항목으로 구성되어 있는 것을 확인할 수 있습니다. 웹브라우저 보호는 http 혹은 https 프로토콜을 사용하는 어플리케이션들을 감시하며, 이메일 클라이언트 보호는 이름 그래도 아웃룩 같은 이메일 클라이언트를 감시합니다.

3 개의 항목이 평명적으로 구성된 것 같지만 실제로는 프로토콜 필터링이 다른 항목들을 총괄하여 웹브라우저 보호는 프로토콜 필터링의 하부 구조로 동작합니다. 즉 프로토콜 필터링이 비활성화되면 웹브라우저 보호도 비활성화하게 됩니다.

이와 연계된 항목으로 웹브라우저 보호의 'https-보안 서버' 검사는 프로토콜 필터링에서 SSL 연결 검사를 선택해야만 사용 가능합니다.

 

특정 url 진단은 'URL 주소 관리' 항목에서 관리합니다.


이때 '필터링에서 제외된 주소 목록'과 '차단된 주소 목록' '허용된 주소 목록' 등 3가지 항목이 있는데, 진단을 제외하려면 '필터링에서 제외된 주소 목록'을 이용해야 합니다. 설명상으로는 허용된 주소 목록을 이용해도 진단에서 제외되야 하지만 실제로는 동작되지 않습니다.

아무래도 ESET이 외국 제품이고 국내는 대응 능력이 거의 없는 총판만 있기 때문에 오진이 꽤 많습니다. 다음 블로그의 첨부 파일 및 이미지 서버에 대한 오진 등 악성 url 오진도 꽤 있으며, 이런 오진은 보안상 취약해지더라도 위 항목에서 진단을 제외해야합니다. url차단에서도 사용자 처리만 제대로 동작했으면 문제가 없으므로 UI의 개선이 필요한 부분입니다.

아래는 수동 검사창의 모습입니다. 아래 수동 검사와 비슷한 검사창은 ESET Live Grid 즉 클라우드 진단입니다. 평판 및 자체 서버 분석을 통한 악성코드 진단 기능인 클라우드 진단은 분명히 요즘 추세인 기능이나 ESET의 경우 국내에서 진단되는 부분이 거의 없어 의미가 없을 정도입니다. 이 때문에 국내에서 사용자가 적다는 것을 분명히 느낄 수 있었습니다.

일반 수동 검사

파일 평판 검사





사실 2.7버전 때에도 누적 진단율이 막강한 제품은 아니었습니다. 그러나 국내에서도 휴리스틱 진단이 뛰어나고 무엇보다 가볍기 때문에 많은 사랑을 받았던 제품이 아닌가 싶습니다. 

AV-TEST나, AV-Comparatives 등의 Real World 테스트를 보면 나쁘지 않은 성적을 보이고 있습니다. 국내에서 체감하기는 그 정도는 수준은 아니고, 체감적으로는 AVIRA나 AVAST같은 제품보다 약간 떨어지는 것 같지만, 국내에 대응팀이 없는 외국 제품이라는 점을 고려하면 상당히 괜찮은 수준입니다. 늦은 대응 문제는 무료 제품이 없어서 사용자가 적다는 것이 가장 크지 않나 생각해봅니다. 사실 사용자 수가 적다는 문제는 좀 커서 클라우드 진단이 거의 의미가 없을 정도입니다. 그런면에서 최근에 리뷰한 카스퍼스키는 외국 제품임에도 대응력도 좋고 사전 진단도 좋은 독특한 경우라 봐야하게습니다. 여하튼 휴리스틱으로 '때려 잡든' 정식 진단이든 진단을 하면 문제가 없는데, 미처 진단 못하는 악성코드에 대한 대응이 다소 늦게 이뤄지거나 안 이루어지는 부분은 분명히 존재합니다.

다음 글에서 다룰 HIPS 기능은 지금까지 시그니처 진단에만 치중되었던 부분을 어느 정도는 해소시켜줄 수 있을 것 같습니다. 자세히 다루겠지만 아직 성능이 만족스러운 수준은 아닙니다. 게다가 사용자 처리 방식을 이용해야 가장 큰 효과를 볼 수 있기에 사용이 매우 어렵기도 합니다. 하지만 부족한 부분을 채워줄 쓸만한 기능임에는 틀림이 없다고 봅니다.



- 이상입니다.
반응형