ESET 5 제외 설정 및 검역소 사용하기

진단된 객체 또는 url을 제외 시키는 방법과, 진단된 객체가 저장되는 검역소를 살펴봅니다.

▶ 관련글

- Eset Smart Security 5 간단 리뷰 (3) - 악성코드 진단 (HIPS)
- Eset Smart Security 5 간단 리뷰 (2) - 악성코드 진단 (시그니처)

---

1. 제외 설정 방법

안티 바이러스의 제외 설정은 진단된 객체(파일) 또는 url 등을 검사에서 제외 시킬 때 사용합니다. 즉, 오진이나 기타 사유로 안티 바이러스가 진단, 치료 하는 것을 방지하는 것을 의미합니다.

ESET 5의 진단은 크게 로컬 진단(실시간 감시, 수동 검사), 웹 진단 등 두 개로 나뉩니다. 로컬 진단은 시스템 내에 존재하는 객체(파일)을 진단하고 웹 진단은 외부에서 다운받는 객체 또는 악성으로 판단된 url의 접속을 차단합니다.

진단 기능이 서로 다름에 따라 ESET에서는 로컬에서 진단된 객체를 제외하는 것과 웹 상에서 진단된 객체를 제외하는 방법이 따로 구성되어 있습니다.

1-1. 로컬 파일 진단 제외

로컬의 파일 감시와 수동 검사에서 진단된 객체를 진단에서 제외하려면 아래의 경로를 따라 제외 항목을 띄웁니다.

설정 메뉴 -> 고급 설정 입력-> 컴퓨터 -> 안티 바이러스, 안티 스파이웨어 -> 제외

제외 설정은 아래와 같습니다.

아주 기본적인 것으로 '추가' 버튼을 클릭해서 원하는 폴더 또는 파일을 선택합니다.

파일의 경우 다중 파일을 선택할 수 없어서, 개별적으로 하나씩 추가를 해야하는 단점이 있습니다.

이와 별도로 ESET에서는 '*'과 '?' 의 특수 키를 지원합니다. 정규식을 자주 쓸일은 없겠지만 참고 하시기 바랍니다.

'*'키는 임의의 값 모두를 제외시키고, '?'는 한 단어를 치환해서 제외 시킬 수 있습니다. 예를 들면 아래와 같습니다.

- 특정 이름 또는 및 확장자를 갖고 있는 파일 전체를 진단에서 제외 할 때:  *.* ,   *.doc, malware.* 
- 이름 또는 확장자에서 특정 부분을 갖고 있을 때 진단에서 제외  : test*.exe, *test*.exe
- 크기가 정해진 단어의 특정 부분만을 가지고 진단에서 제외 :  test???.exe, ??test.exe

 

2번째와 3번째의 차이는 단어 길이에 대한 차이입니다. '*'키는 단어 길이에 상관없이 임의의 값을 치환해주기 때문에 'test123.exe, testmalware.exe, testwaterfox.exe' 등 앞 부분에 test만 있으면, 진단에서 제외합니다. 이와 반대로 '?'키는 오직 한 단어의 값만 치환해주기 때문에, test뒤에는 'test123.exe'와 같이 반드시 3글자만 와야합니다.

제외 설정이 제대로 되면 아래와 같이 검사 시에 진단 객체에 포함되지 않습니다.

1-2. 웹 진단 제외

ESET의 웹 진단은 프로토콜 필터링 기능의 웹브라우저 보호 항목이 담당합니다. 제외 설정은 아래 경로에서 조정합니다.

설정 -> 고급 설정 입력 -> 웹 및 이메일 -> 웹 브라우저 보호 -> URL 주소 관리

먼저 URL 주소 관리 기능은 기본적으로 아래와 같은 3개의 목록으로 구성되어 있습니다.

ㆍ 필터링에서 제외된 주소 목록 : 악성 url 또는 다운되는 파일(링크된 파일)을 진단에서 제외
ㆍ 허용된 주소 목록 : 특정 url로의 접속을 허용
ㆍ 차단된 주소 목록 : 특정 url로의 접속을 차단

일단 제외 설정에서 사용하는 항목은 '필터링에서 제외된 주소 목록'입니다. 파일 제외에서와 마찬 가지로 '추가' 버튼을 눌러 제외 시키고자 하는 url 주소를 입력합니다.

정확한 url 주소를 기입할 수도 있지만, ESET의 진단 특성상 일반적으로  '*', '?'키를 이용해서 일반식을 구성할 때가 많습니다. 특히, 아래와 같이 악성 url로 인식되어 차단되는 경우가 그렇습니다.

위와 같이 객체가 아닌 주소 자체가 차단되는 경우는, ESET에서 악성 url로 인식되어 차단하고 있는 것입니다. 그런데 위와 같은 경우는 다음의 이미지 또는 파일 서버(cfile210.uf.daum.net) 자체가 악성 url로 인식되서 하부 경로와 상관없이 차단됩니다. 그래서 다음 블로그에 접속할 때마다 위의 차단창이 나타나게 됩니다. ^[각주:1]

문제는 위와 같은 주소 차단 항목은 '로그 항목'에 그 내역이 남지 않습니다. 따라서 정확한 url을 저 작은 팝업창에서 사용자가 직접 읽어 작성해야합니다. 그리고 하부 경로에 상관없이 차단되기 때문에 매우 많은 수의 url 주소가 필요합니다. 따라서 아래와 같이 '*'키를 이용해서 일괄적으로 진단에서 제외합니다.

반드시 알아두어야할 것은, 위와 같이 일괄적으로 url을 검사에서 제외시키면, 실제로 악성코드가 유포될 때 웹 검사 기능으로는 이를 검사할 수 없다는 점입니다. 실제 파일을 다운받게 되면 로컬 감시에서 진단을 할 수 있지만, ESET의 웹 감시는 로컬 감시보다 조금 더 많은 수의 DB를 갖고 있습니다.^[각주:2]

따라서 불편함을 감수하고 제외 설정을 하지 않을 것인지, 아니면 약간의 위험성을 감수하고 제외 설정을 해야할 지는 사용자가 결정을 해야합니다. 제 경우 파일 감시(와 저의 감)를 믿고 진단에서 제외시켰습니다.



목록에 구성된 다른 정책인 '허용된 주소 목록'과 '차단된 주소 목록'은 사용자가 직접 접속을 허용 또는 차단할 url 주소를 결정하는 것입니다. 정확하게 말하면 사용자가 악성이 아닐 수 있는 특정 url의 접속을 관리하고자 하는 것이 이 목록들의 목적입니다. 특히, 허용된 주소 목록은 아래와 같이 '허용된 주소 목록에서 url 주소에만 접근 허용' 항목과 연계되어 사용됩니다.

위 박스를 체크하면 '허용된 주소 목록'에 있는 주소만 연결을 허용하고 나머지 모든 주소는 차단됩니다.

참고로 허용/차단된 주소 목록은 단순히 사용자의 접속을 허용, 차단할 뿐이기 때문에 허용된 주소 목록에 추가된 주소라 할지라도 악성 url DB에 포함된 주소라면 웹 진단 기능을 통해 정상적으로 진단이 이루어집니다. 따라서 악성 url을 허용하기 위해서는 반드시 '필터링에서 제외된 주소 목록'에 추가시켜야 합니다.


마지막으로 아래 그림의 '목록 활성화'와 '목록에서 주소 적용시 알림'은 다음과 같은 기능입니다.

ㆍ목록 활성화 : 체크 시에만 아래 리스트를 '진단 제외, 접속 허용/차단' 적용 시킴
ㆍ목록에서 주소 적용 시 알림 : '진단 제외, 접속 허용/차단'된 주소에 접속 시 이를 알림

목록에서 주소 적용 시 알림을 체크하면 아래와 같은 진단 알림 팝업창을 띄웁니다.

참고로 위 그림의 빨간 박스 부분의 숫자를 보시면 알겠지만 모든 url을 하나의 팝업창에서 일괄적으로 보여주는 것이 아니라 개별적으로 팝업창을 띄우기 때문에 상당히 불편합니다. 위의 경우는 무려 28개의 팝업창이 띄워져 있습니다. 물론 일괄 닫기 기능이 있습니다만, url 주소 파악 등을 생각해 볼 때, ui가 매우 불편하게 구성되어 있음을 알 수 있습니다.^[각주:3]  

2. 검역소

검역소는 진단된 객체를 격리시켜 따로 저장시켜두는 공간을 말합니다. 검역소에 격리된 악성코드는 활성화되지 않았기 때문에 안전합니다. 검역소는 차후 오진으로 판명될 때 정상 파일을 되돌릴 수 있도록 안전한 백업 기능으로서의 역할을 합니다.

검역소는 아래 경로로 사용할 수 있습니다.

도구 -> 검역소

검역소에서는 아래와 같이 우클릭 메뉴가 존재합니다. 이를 통해 특정 경로로 파일을 복구하거나 검역소에서 파일을 삭제할 수 있습니다.

개인적으로 임의의 경로로 파일을 복구할 수 있다는 것을 좋게 봅니다. 이는 특히, usb등 외부 저장 장치에서 진단된 객체를 복구할 때 유용합니다.

---

- 이상입니다.

1. 이 경우 과거 누군가 악성코드를 다음 블로그에 업로드시켰거나 혹은 해킹으로 인하여 악성코드가 유포될 때, ESET이 이를 감지 악성 url DB에 추가시킨 경우입니다. 상당히 오랜 시간이 흘렀음에도 진단에서 제외가 되지 않는 것을 보면 다소 문제가 있습니다. [본문으로]
2. 웹 진단에서만 사용되는 추가 진단명이 있습니다. [본문으로]
3. 이 역시도 로그 파일에 기록 안 됩니다. [본문으로]