▶ 보안 제품 리뷰/:: Kaspersky

Kaspersky Internet Security 2009 리뷰 (3-1) - Setting 편

물여우 2008. 11. 24. 16:07
반응형

 

참고 :  바이러스 제로2 카페 (http://cafe.naver.com/malzero.cafe) 에서 작성하였던 글을 수정 보완
          하여
올리는 글입니다.



오늘은 카스퍼스키의 3번째 주제인 Setting - 설정 조정에 관하여 리뷰를 써보겠습니다.
단, System Security 부분은 차후에 리뷰하도록 하겠습니다.

필자는 보안 전문가가 아니며 해당 프로그램에 대한 기술적인 지식이 없기에 이 글에 오류가 있을 수
있습니다. 
오류가 있을 시 주저말고 알려주시기 바랍니다. ^^



1. Setting 기본 화면

카스퍼스키를 사용하면서 설정 부분을 어려워 하시는 분들이 상당히 많을 것이라 생각됩니다.
각 기능별로 세세한 설정 조정이 가능하다는게 카스퍼스키의 장점이자 단점인데 카스퍼스키랩에서도
일반 유저의 어려움을 인지하였는지 일반 유저들을 위한 최적화 설정 파일을 제공하고 있습니다.
이 최적화 설정은 오탐 등을 줄인 아주 안정적인 수준으로 설정이 맞춰있어 그대로 사용해도 상관은 없습니다만 사용자의 사용 용도와 취향에 맞는 설정을 스스로 조정하는 것이 더 좋을 것이라 생각됩니다.

메인 화면에서
을 클릭하면 아래와 같은 설정화면창을 활성화 시킬 수 있습니다.


기본 화면이 Protection 부분으로 맞추어져 있어 Protection에 관한 부분은 제외하고 설명합니다.

(1) Restore       : 카스퍼스키의 모든 설정을 초기 설치시의 기본 설정으로 되돌리는 기능입니다.
                        모든 설정화면에서 활성화가 가능합니다.

아래의 그림처럼 초기화를 원하는 부분을 지정할 수 있습니다.


Next를 누르면 카스퍼스키 초기 설치시에 나타나는 기본 설정등을 변경할 수 있습니다.
(참고 :
http://arrestlove.tistory.com/3 )





이후 초기화가 정상적으로 완료되면 Close를 클릭하셔서 종료하시면 됩니다.


(2) Setting 저장 : 카스퍼스키의 설정을 cfg파일로 저장하거나 불러오는 기능입니다. 세번째 Restore는
                  (1)의 Restore 기능과 동일합니다.

(3) Password Protection : 카스퍼스키의 설정 변경에 암호를 걸어놔서 보호합니다.





2. Protection

2-1. Protection : 카스퍼스키의 기본 감시기능의 기본 설정을 관리합니다.


(1) 현재 활성화된 카스퍼스키의 감시 기능의 활성(박스에 체크)/비활성(체크 해제) 하는 기능입니다.

(2) 윈도우 시작시에 카스퍼스키를 로딩시킬것인지에 대한 설정

(3) 파일 실시간 감시나 수동 검사 등에서 탐지된 위험요소에 대한 자동처리 여부를 조정
     체크박스에 체크하면 사용자처리는 쓸 수 없습니다.
     -   Do not delete suspicious objects : 휴리스틱등으로 탐지된 위험의심파일은 자동처리시 삭제하지
                                                        않습니다. 자동처리를 사용할 경우 체크하기를 권장합니다.



2-2. Anti-malware : Anti-malware 기능에 대한 설정 조정

(1) Anti-Malware 기능들을 활성/비활성 설정

(2) Files and Memory  : 파일 실시간 감시 설정 변경
(Security level/On detection은 기능 설명 부분의 설정과 동일합니다.)

파일 실시간 감시 설정은 모두 3가지 파트로 구분되어 있습니다.
① 일반설정 : 파일 실시간 감시가 감시를 수행할 위치와 파일을 지정합니다.
                  


 

  • All files : 파일의 종류와 상관없이 모든 파일명을 진단합니다. 또한 실시간 감시가 백그라운드에서 시스템 중요파일에 대한 실시간 스캔을 진행합니다. 그러나 백그라운드고 감시하는 파일 수가 적고 감시를 진행하는 주기가 긴편이라 시스템 리소스를 많이 잡아먹지는 않습니다.
    개인적으로는 악성코드의 사전차단에 주력한다면 모든 파일 감시 설정으로 맞추는 것이 좋다고 생각합니다.
  • Files scanned by format : 감염 위험성이 있는 특정 파일 포맷만을 실시간 감시에서 감시합니다. 특정 포맷만을 감시하지만 파일 확장자로 포맷을 판단하는게 아닌 파일의 해더부분을 분석한 후에 결정하는 것이기 때문에 확장자 변경등을 이용한 간단한 회피기술은 통하지 않습니다.
    현재 악성코드로써 사용되는 것으로 알려진 포맷이 대부분 포함되어 있어 효율성면에서는 가장 좋은 설정입니다. 백그라운드에서 중요 시스템 파일에 대한 스캔은 진행하지 않습니다.
  • Files scanned by extension : 두 번째 설정보다 더 소수의 포맷만을 감시합니다. 권장하는 설정은 아닙니다만 시스템 사양이 많이 떨어져서 시스템 리소스를 조금이라도 더 확보하고자 하는 사용자분들에게 유용한 설정입니다.
  • Protection scope : 파일 실시간 감시가 이루어질 폴더를 설정합니다.
    Romovable Drive는 usb등과 같은 외부 저장장치를 의미하며 Hard Drive는 본체에 설치된 HDD, Network Drive는  네트워크에 연결된 공유 폴더를 의미합니다. 공유폴더를 사용하지 않는다면 Network Drive는 해제하셔도 됩니다.
    아래 그림처럼 ADD new item을 클릭하여 원하는 폴더를 감시 설정에 포함시킬 수도 있습니다만
    크게 필요한 기능같아 보이지는 않습니다.

② 실시간 감시 성능 설정


실시간 감시의 기본 성능을 조정하는 탭입니다. 기본 설정에는 위의 스샷에서 휴리스틱 부분이 비활성화 되어 있으며 나머지는 동일합니다.
개인적으로는 약간의 오진이 있다고 하더라도 휴리스틱으로 인한 진단 가능한 악성코드의 숫자 폭이 증가하기 때문 휴리스틱을 최고 강도로 사용중이며,  Scan optimization 부분의 새로운 파일 및 변경파일만 검사 설정도 해제하고 사용합니다. 새로운 파일만 감시 설정을 비활성화하는 이유는 특정 파일이 차후에 DB가 업데이트 되어 악성코드로 진단되었을 때 이미 감시가 한번 진행된 파일이라면 실시간 감시에서 감시를 진행하지 않아 진단이 안될 수도 있기 때문입니다.

Scan of compound files 부분을 좀더 살펴보도록 하겠습니다.

  • Scan Achives : 압축파일 내부 파일에 대한 실시간 감시를 진행합니다. 압축된 악성코드는 자체적으로 활동이 불가능하고 활성시 시스템 리소스 증가가 있기 때문에 사용자의 방침에 따라 활성/비활성화를 조정하시면 됩니다.
  • Scan intallation package : 윈도우 인스톨러로 만들어진 설치파일 등을 감시합니다. 카스퍼스키는 패커나 이런 인스톨러를 해체하는 기술이 뛰어납니다. 그래서 인스톨러안에 숨겨진 악성코드를 설치전에 미리 알 수 있는 기능입니다. 역시 활성화 시에 시스템 리소스 증가가 있습니다.
  • Scan embedded OLE objects : 워드나 PPT 등의 문서파일나 특정 파일 내부에 연결된 다른 파일 및 프로세스와 파일 확장자에 연결되어 실행되는 프로세스를 감시하는 기능입니다.
    기본 설정으로 체크되어 있으며 사용하기를 권장합니다.
  • 새로운 파일만 감시 설정을 비활성화 한다면 3가지 기능에서 따로 모든파일 혹은 새로운 파일만 감시설정을 지정할 수 있습니다.

 을 클릭하면 압축 파일 설정에 대한 추가 설정을 조정할 수 있습니다.

  • Extract compound files in the background : 웹이나 usb 등에서 현재 다운로드되는 압축파일이 아닌 저장장소에 저장된 압축파일을 백그라운드에서 파일 실시간 감시가 해제하여 스캔을 진행하는 기능입니다. 특정 크기보다 낮은 크기를 가진 압축파일만 압축을 풀고 스캔하는데 기본 설정이 0MB라 체크를 하여도 백그라운드에서 스캔이 진행되지 않습니다. 사용하고 싶으시다면 용량을 늘리시면 되는데 개인적으로는 굳이 활성화 시킬필요가 없다고 생각합니다.
  • Do not unpack compound files larger than : 특정 크기보다 큰 압축파일은 실시간 감시에서 해체하여 스캔하지 않게하는 설정입니다. 만약 압축파일과 인스톨러 스캔 설정을 체크하셨다면 반드시 활성화 시키시길 바랍니다. 개인적인 경험상 10MB 내외의 크기로 정하시면 별다른 시스템에 큰 부담을 주지는 않았습니다.


③ 추가 설정 : 파일 실시간 감시가 이루어지는 조건 등을 조정합니다.


  •  Smart mode : 특정 파일에 접근/실행하는 어플리케이션이나 기타 프로세스를 카스퍼스키가 분석하여 스캔할지를 결정하는 방법입니다. 대부분은 파일 접근/실행 시에 기본적으로 반응합니다. 기본 설정으로 지정되어 있으며 권장되는 설정입니다.
  • On Access and Modification : 파일 접근 및 변경을 시도할 때 실시간 감시가 가동됩니다.
  • On Access : 파일 접근시에 실시간 감시가 가동됩니다.
  • On execution : 파일 실행시에만 실시간 감시가 가동됩니다.
    (참고로 이 설정은 알약의 기본 실시간 설정과 비슷합니다.)

카스퍼스키는 실시간 감시 모드에 따라 별다른 시스템 리소스 사용율의 차이가 거의 없습니다. 가능한한 Samrt mode나 Access and Modificarion 설정으로 지정하시기 바랍니다.

  • ichecker  : 악성코드에 감염되거나 사용되기 쉬운 exe, dll 같은 파일을 마지막 검사시간/카스퍼스키DB 및 기타 여러가지 요소를 참고하여 카스퍼스키가 만든 알고리즘에 따라 분석하여 특정 파일을 제외하는 방법으로 실시간 감시나 수동검사시에 스캔 속도를 증가하는 기술입니다.
  • iswift : ichecker 기능을 바탕으로 NTFS 파일 시스템에서만 사용하는 스캔 속도 증가 기술입니다.

카스퍼스키의 스캔 속도가 예전 버전에 비하여 빨라졌지만 여전히 초기 검사에서는 상당한 시간이 소요되는데 이런 기능들로 인하여 다음 스캔시에는 상당한 스캔 속도 증가를 맛볼 수 있습니다. 기본 설정대로 활성화 하는 걸 권장합니다. 

  • By Schedule : 아래 그림처럼 특정 시간을 지정하여 그 시간에만 실시간 감시를 진행합니다.
    인코딩같은 시스템 리소스를 최대한 사용해야하는 일을 위해 한시적으로 사용되는 기능입니다.
    사실 특별히 사용될 일도 없고 개인적으로도 권장하지 않는 기능입니다.
  • At application startup : 특정 어플리케이션이 실행될 때만 실시간 감시가 가동됩니다.
    역시 권장되지 않는 기능이며 아주 특별한 조건에서한 한시적으로 사용하기 바랍니다.


(3) Email and IM : 이메일 및 메신져 감시 설정을 조정합니다. 역시 3가지 탭으로 나뉘어 있습니다.
일반적으로 아웃룩이나 썬더버드 사용자가 아니라면 비활성화 시켜도 상관없습니다.

① 일반 설정


  • 받은(incoming) 메일만 검사할 것인지 보내는(outgoing) 메일도 검사할 것인지를 조정합니다.
    나가는 메일을 왜 검사하는지 의아해하는 분도 계실터인데 웜이나 기타 악성코드는 아웃룩 같은 어플리케이션에 저장된 이메일 주소나 메신져 친구 주소로 자동으로 악성코드를 보낼 수가 있습니다. 행여 현재 악성코드를 '보내는' 악성코드를 진단하지 못해도 첨부된 악성코드가 진단될 때같은 특수한 상황에 타인의 피해를 방지하기 위한 기능입니다.
  • POP3/SMTP등과 같은 메일 프로토콜 연결시 포트단에서 패킷을 검사하는 설정입니다.
  • ICQ/MSN 과 같은 메신져 프로토콜 연결시 포트단에서 패킷을 검사하는 설정입니다.
  • MS의 아웃룩에 추가 기능(Plug in)에 카스퍼스키의 안티바이러스  기능을 추가하는  설정
  • BAT! 플러그인 연결 : 역시 아웃룩에서 처럼 BAT의 추가 기능에 카스퍼스키 기능 추가 설정 
    (개인적으로 아웃룩과 같은 어플리케이션을 사용하지 않기에 bat 플러그인이 무엇인지 잘 모릅니다. 원래는 클라이언트 어플리케이션으로만 아는데 혹시 정보가 있는 분은 알려주시기 바랍니다.)

② 이메일 및 메신져 감시 성능 설정


휴리스틱 설정과 압축파일 설정 및 감시할 압축파일의 최대 크기 설정이 존재합니다.


③ 첨부파일 필터링

기본 설정은 필터링은 안하는 것입니다만 특정 파일 확장자의 첨부파일을 무조건 삭제 혹은 확장자를 일부 변경시켜 파일의 정상적인 활동을 불가능하게 만들도록 하는 기능입니다.



(4) Web Traffic : 웹트래픽 감시 기능 설정

① 일반 설정

  • Block dangerous scripts : 위험 요소를 지닌 스크립트를 차단합니다. 단 IE에서만 가능한 기능이며 다른 웹브라우저에서는 동작하지 않습니다. 웹마 등의 IE 기반 웹브라우저에서 동작하는지에 대한 여부는 현재 알 수가 없습니다.
  • Scan HTTP Traffic : 네트워크 단의 감시를 실시하기 위해 포트단에서 트래픽을 감시합니다.
  • Analyze according to... : 현재 방문중인 웹사이트가 카스퍼스키의 DB 중 Black list에 오른  웹사이트인지 확인하는 기능
  • Add new item을 클릭하면 신뢰하는 URL을 추가하여 감시기능에서 제외시킬 수 있습니다.

② 감시 성능 설정
  • Heuristic analysis : 휴리스틱 강도 조정
  • Limit fragment buffering time : 웹트래픽 감시는 버퍼라 불리는 임시 공간에 패킷을 저장하여 분석 후 안전한 데이타는 내보내는 방식을 씁니다. 과거 7.0의 Buffering 방식과 동일합니다.
    버퍼링 시간 제한을 낮출수록 웹서핑이나 다운로드되는 파일의 속도감소가 줄어듭니다.

(참고 : 버퍼링 검사 방식은 특정 가상 공간에 다운되는 패킷을 저장한 후 검사를 진행/분석하는 방식입니다. 따라서 저장 후 검사가 끝나야만 정상적으로 다운이 되는 것이기에 네트워크 대역폭을 감소시키는 효과가 있습니다. 이러한 단점을 줄이기 위해 버퍼링 시간을 제한하는 기능을 사용합니다.
다운이 시작되어 지정된 버퍼링 시간까지 버퍼에서 검사가 이루어지다가 버퍼링 시간이 지나면 검사없이 다운이 시작되어, 다운 다 끝난 후 완전한 파일을 가지고 검사를 진행합니다.
버퍼링 제한 시간에 따른 보안 수준의 차이가 존재하긴 합니다만 일반유저가 체감할만한 수준은 아니므로 기본 설정값인 1초로 지정하시기 바랍니다.)



2-3. Online Security


(1) Online security 기능 활성/비활성화

(2) Anti-phishing : 안티피슁 기능 활성/비활성화

(3) Network Attack Blocker : 네트워크 공격 차단 기능 활성/비활성화
    추가 설정은 공격을 감행한 PC의 IP를 지정한 시간동안 차단하는 설정입니다.

(4) Anti-Dialer : 안티다이얼러 기능 활성/비활성화 - 국내에서는 비활성화 시켜두셔도 됩니다.
신뢰할 수 있는 전화 번호를 추가하여 진단에서 제외시킵니다.



2-4. Content Filtering


(1) Content Filtering 활성/비활성화 조정

(2) Anti- Spam : 안티스팸 기능에 대한 설정

① 일반 설정
각 체크박스가 있는 설정 순서대로 설명해보겠습니다.

  • POP3/SMTP/NNTP/IMAP 등 메일 프로토콜의 연결을 감시, 포트단에서 관련 패킷을 감시합니다.
  • MS Office 에 플러그인(추가기능)으로 카스퍼스카 안티바이러스 기능을 추가
  • MS Outlook에 플러그인(추가기능)으로 카스퍼스카 안티바이러스 기능을 추가
  • Thumderbird에 플러그인(추가기능)으로 카스퍼스카 안티바이러스 기능을 추가
  • Bat에 플러그인(추가기능)으로 카스퍼스카 안티바이러스 기능을 추가
  • 메일 확인기(Mail Dispatcher)를 이용해 POP3로 보내진 메일을 분석/확인합니다.
  • 보내는 메일의 수신처를 자동으로 신뢰리스트(White list)에 추가합니다.
  • 사용자의 PC가 연결된 내부 네트워크에서 사용되는 이메일 메세지를 스캔 제외시킵니다


② 스팸 진단 알고리즘

  • Recognition algorithms : 카스퍼스키의 DB를 이용한 스팸분석(확장DB이용도 가능)/ 
    메세지 헤더 검사/이미지파일을 이용한 스팸메일 검사기능/사용자가 지정시킨 스팸정보사용 등과같은 알고리즘을 사용합니다.
  • Spam rate : 정해진 숫자만큼 스팸관련 요소가 있다면 메일 제목에 [!! SPAM]문구를 추가시키고 스팸으로 간주합니다.
  • Portable spam rate : 정해진 숫자만큼의 스팸관련 요소가 있다면 메일 제목에 [?? SPAM]문구를 추가시키고 스팸의심 메일로 간주합니다. 
  • Additional : 스팸 요소라 간주하는 스팸 요소에 대한 설정을 조절합니다.

스팸메일에 많이 사용되거나 포함되는 것들을 조정하는 것인데 이를 잘못 조정하면 오진의 위험이 엄청커집니다. 기본 설정대로 위의 그림과 같이 사용하지 않기를 권장합니다.


③ White list 설정 : 신뢰할 수 있는 메일 발송자를 추가하는 기능입니다.

위의 기능은 신뢰할 수 있는 발송자를 추가하는 기능이고 아래 기능은 특정 문구가 들어간 메일을 신뢰메일로 지정하는 기능입니다. 아래의 기능은 특정 업체나 기관에서 보낼 때 다른 발송자를 사용할 경우 유용합니다.

④ Black list : 메일의 내용과 상관없이 발송자나 특정문구에 따라 스팸 메일로 차단하는 기능입니다.

위의 기능은 발송자 추가 아래 기능은 특정문구에 따른 메일 차단방법인데 문구를 이용한 차단방법은 오탐위험이 있으니 스펨으로 차단된 메일을 항상 확인하셔야 정상메일이 차단되어 삭제되는 것을 방지할 수 있습니다.



(3) Banner AD Blocker : 광고차단 기능입니다.

Use heuristic analyzer : DB화된 광고 URL등을 휴리스틱 기법으로 분석하는 이용해서 분석합니다.
역시 오탐 문제가 있다고 합니다.


Black list/White list : 차단/개방할 광고 URL이나 특정 문구를 지정할 수 있습니다.


Import/Export 기능으로 리스트(TXT파일로만들어진 파일로만 가능)를 불러오거나 내보낼 수 있습니다.



(4) Parental Control : 사용자 계정에 따른 인터넷 사용을 통제하는 기능입니다. 자녀들에게 악영향을 끼칠 수 있는 웹사이트 등을 차단하거나 인터넷 사용 시간등을 통제할 수 있습니다.

① Child : 어린이들을 위한 기본 통제 설정입니다.

  • Restriction level을 조정함으로 위험 웹사이트를 통제할 수 있습니다.
    Setting을 누르면 아래 그림처럼 차단할 웹사이트의 카테고리를 고를 수 있습니다.

    모두 포트감시를 통한 패킷 분석으로 네트워크단에서의 차단을 제공합니다.

    아래 그림처럼 신뢰할 웹사이트와 차단할 웹사이트를 따로 지정하는 것도 가능합니다.


  • Time limit : 인터넷 사용시간을 통제합니다.

위의 설정은 지정된 시간 동안만 인터넷을 사용할 수 있도록 하는 기능이고 아래 설정은 인터넷을 사용할 수 있는 시간 구간을 정하는 설정입니다.


② Teenager : 직역하면 십대들을 위한 통제설정이지만 기본적으로 사용자 계정을 통한 웹사이트 사용과 인터넷 사용시간을 통제할 수 있습니다. 사용법은 Child 메뉴와 동일합니다.


User profile을 체크하여 다음처럼 통제할 사용자 계정을 설정할 수 있습니다.


기본 Child 계정과 구별되도록 사용자 암호로 보호됩니다.


③ Parent : 카스퍼스키의 Parental Control 기능에 대한 조정권한을 가진 계정을 생성합니다.
User profile 생성은 Teenager와 동일합니다.



참고 : 이 기능의 최고 단점은 카스퍼스키 자체에 대한 통제권을 가지고 있지 않기 때문에 어떤 계정을 갖고 있던지 카스퍼스키 재설치나 삭제 등을 사용하여 해당 기능을 무력화 시킬 수 있다는 것입니다.
요즘엔 초등학생만 되어도 왠만한 프로그램을 다룰 줄 아는 상황에서 참 허약한 보호 기능을 가지고 있다고 생각합니다.




- 2부에서 다른 설정에 관한 리뷰를 이어가겠습니다.

반응형