블로그 이미지
쿠들릭
전자기기 사용기와 함께 악성코드 관련글과 일상을 업로드 하는 블로그 입니다.^^

calendar

      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Notice

2013. 6. 10. 02:44 리뷰/F-Secure

이번에는 악성코드 검사및 탐지 실시간 검사와 방화벽에 대해서 

또한 부족한 점에 대해 다루겠습니다.







바이러스 및 스파이웨어 검사(빠른 검사), 전체 컴퓨터 검사(전체 상세 검사), 검사할 항목 선택(수동 선택 검사),


 루트킷 검사, 그리고 검사 설정 변경 (고급 설정) 으로 나뉘어져 있습니다. 


전체 컴퓨터 검사를 평상시에도 많이 사용하신다면 


전체 컴퓨터 검사시에 루트킷도 동시에 검사하므로 따로 루트킷 검사를 돌리실 필요는 없는것으로 보입니다.








 바이러스 및 스파이웨어 검사(빠른 검사) 입니다. 


매우 빠른 속도로 스캔 되며 중요한 파일 위주로만 검사한다는 성격을 띄고 있습니다. 


개인적으로 시간이 부족할때 또는 간단히 컴퓨터를 끄기 전에 가볍게 검사하는 용도로 쓰는 것이 좋을듯 합니다.










전체 컴퓨터 검사(전체 상세 검사) 입니다. 말 그대로 전체 드라이브와 중요 시스템 파일까지 모조리 검색합니다.


루트킷 검사도 포함되어 있으므로 전체 검사를 이용하신다면 굳이 따로 루트킷 검사를 돌리지 않으셔도 충분합니다.









 검사 후 악성코드가 검출시 이런 창이 뜹니다.


자동 정리를 하게 되면 말 그대로 1순위: 치료, 2순위 : 삭제및 검역소에 안전한 복사본을 만들어 놓게 되어 


오진시에도 안전히 복구 가능하게 해놓습니다.









 따로 항목 별로 결정탭을 누르게 되면 이런 상세한 창이 뜹니다.


삭제는 말 그대로 삭제, 단 검역소에 남지 않음.


정리, 삭제한 후 검역소에 안전 백업 복사본을 만들어 놓음 (추천)


격리, 정리와 비슷합니다. (추천)


없음, 무시(ignore)와 동일합니다. 악성코드로 의심되는 파일을 아무런 처리를 하지 않은채 가만히 냅두게 됩니다.









악성코드 처리에 대한 선택을 거치게 되면 다음과 같은 창이 뜹니다.


 마침을 눌러누세요.









악성코드 삭제로 인한 시스템의 불안정한 상황을 안정화 시키기 위해 재부팅을 실시하게 되는데요.


이거 참 불편하다고 느껴지더군요. Virut, Parite같은 악성 악성코드가 아닌 이상 


굳이 단 한가지 삭제 같이 간단한 치료만으로도 해결할수 있는 악성코드를 치료 한 후


다시 한 번 껐다 켜야 한다는 점이 여간 불편한 점이 아닙니다.









검사할 항목 선택(수동 선택 검사) 항목 입니다.


특정 폴더나 특정 드라이브만을 선택하여 검사 가능합니다.









하지만 이런 오른쪽 버튼 클릭으로 통하여 더욱 쉬운 접근성을 통한 수동 선택 검사가 가능하므로


참조하시기 바랍니다. 검사할 항목 선택(수동 선택 검사)는 폴더, 드라이브 같은 큰 개체만 선택및 검사가 가능 했다면


이 오른쪽 버튼 클릭 검사는 특정 exe,dll 같은 단일 항목 검사가 가능하므로


매우 빠르고 편리하게 의심 가는 파일을 검사 가능하게 만들어 줍니다.








실시간 검사 파트 입니다. 


예를 들어 보기 위해 직접 악성코드 샘플을 통하여 테스트를 진행했습니다.


악성코드를 탐지하게 되면 다음과 같이 자동 처리가 됩니다. 이때 세부 정보 칸을 눌러보게 되면,







다음과 같이 상세 정보가 나오게 됩니다. 


Trojan,Generic.9015902 이라는 악성코드 진단명을 통하여 정식 진단임을 


사용자에게 보여줍니다. 








또한 웹서핑 시 자동으로 취약점을 통한 Exploit 같은 악성코드의 경우 


시그니쳐 진단이 아닌 차단을 시켜 버리므로 최종 exe같은 실행 파일의 접근을 원천 통제 합니다.


이는 매우 효과적으로 웹 서핑 악성코드를 막는 좋은 판단으로 보였습니다.









 제가 지난번 2편에서 DeepGuard에 관한 내용을 적는다고 했었는데 


다음과 같은 방식으로 탐지 됩니다.


 먼저 F-Secure의 블랙리스트 DB에 없는 악성코드일 경우  DeepGuard가 없는 경우 바로 실행되어


해당 악성코드에 컴퓨터가 감염됩니다.


이런 경우를 막기 위해 도입한 기술이 DeepGuard 인데요.


 DB에 없으나 수상한 행동을 하는 악성코드의 경우 Rating(악성 점수)을 통하여 평을 내린후 일정 수준의 Rating이 되면


위험 하다고 판단되어 실행을 막아버리는 구조입니다. 또한 인터넷이 연결되어 있는 경우 F-Secure의 본 서버를 통한 


클라우드 진단을 하게 되어 해당 악성코드의 대한 평을 중앙 자동화 서버에서 내려 주면 이에 대한 평판을 통하여 


진단하게 됩니다. 간단하게 줄여서 말씀 드리자면 (행동기반 탐지+ 클라우드 서버 평판 탐지)가 둘 다 포함된 


고급 기술입니다. F-Secure에서는 해당 기술을 핵심으로 보고 있고 또한 해마다 버전을 업그레이드 해나가면서 


DeepGuard의 대한 중요성을 부각 시키고 있습니다. 


 실시간으로 발생된 DB에 포함되지 않은 제로데이 악성코드 같은 경우 상당수가 DeepGuard의 선방을 통하여


실행되기도 전에 차단되는 일이 많이 있더군요. 알려지지 않은 신종 악성코드가 요즘은 폭발적으로 쏟아져 나오므로


해당 기능을 반드시 켜두는것이 진단 향상에 큰 도움이 될것은 분명합니다. 


하지만 '오진일 경우나 안전한 파일인데 잘못 탐지했다.'라는 경우 위의 사진에 나온것 처럼


파란색으로 표시된 allow the program을 누르게 되면 해당 차단을 무시하고 실행하게 됩니다.









악성코드 내역입니다. 


단순한 리포트 기능을 가지고 있어 어느 악성코드를 그동안 언제 잡았는가를 쉽게 볼수 있습니다.









격리소 입니다. 만약에 악성코드로 의심된 파일을 삭제 했는데 해당 파일이 중요한 파일이다. 


혹은 그 파일을 삭제한 후 시스템이 이상하게 돌아간다. 같은 경우 복원을 통하여 안전히 복원할수 있게 만듭니다.


세부 정보 버튼을 클릭할 시에는...









 다음 사진과 같이 악성코드에 대한 상세한 분석및 어떤 악성 효과를 불러 일으키는 가에 대한 분석서가 


F-Secure링크와 연결됩니다.








 오랫동안 쓰시게 된다면 위 사진 처럼 많은 기록이 쌓이게 될텐데 이때 내역 지우기를 누르게 되면


여태 까지의 기록이 깔끔히 지워지고 다시 새로운 기록들로 채워지게 됩니다.








 번외로 F-Secure의 엔진 구성에 대해 설명하겠습니다.


- F-Secure Aquarius 엔진은 F-Secure의 本, 핵심 엔진으로 비트디펜더 엔진을 라이센싱한 엔진입니다.


- Hydra엔진은 F-Secure 자체 엔진으로 라이센싱하여 쓰고 있는 Aquarius엔진은 아무래도 빠르게 자가 대응하여


    시그니쳐에 추가 하기 어렵기 때문이거나 Virut같이 치료하기 까다로운 악성코드를


    진단및 치료하기 위하여 자체 엔진을 사용하게 된것입니다.


- Online은 웹기능에 관한 엔진이고


- Gemini엔진은 행동 기반 탐지 엔진.


- BlackLight는 너무나도 유명한 F-Secure의 안티 루트킷 엔진으로 탁월한 루트킷 진단성능을 가지고 있습니다.



다음과 같은 멀티 엔진으로 F-Secure는 해외에서도 인정받은 뛰어난 성능을 가지게 됩니다. 


http://chart.av-comparatives.org/chart1.php


AV-Comparatives에서 테스트한 Whole Product Dynamic 2013년 4월 결과입니다.


위 링크를 참조하면 무려 제로데이 같은 웹 공격 차단에서 99.8%의 경이로운 차단 능력을 보유하고 있습니다.








방화벽 부분. 외부에서 이상한 트래픽이 접속될경우 즉시 차단해주는 기능을 가지고 있습니다.


이곳에 더욱 상세한 컨트롤이 가능했다면 더욱 좋을 텐데 


단순히 자동 차단만을 하게 되어 뭔가 좀 부족하다는 느낌이 듭니다.






애플리케이션 접속 문의.


사용자에게 어떤 프로그램이 인터넷에 접속할 경우 방화벽이 이처럼 알람을 알려주고


허용할것 인가 거부할것 인가에 대해 선택을 하게 만듭니다.


특정 프로그램을 실행 할때 이 같은 창이 계속 떠 귀찮게 만드는 경우


이 프로그램에 대해 이 대화 상자 다시 표시 안 함. 버튼을 체크하고 허용/거부를 선택하게 되면


다음 접속시에는 더 이상 묻지 않게 됩니다.





제거 화면 입니다.


모두 제거를 하실경우 바로 시작을 눌러주면 자동으로 제거가 됩니다.







이 곳에서 좀 오랜 시간이 흐르게 되면







다음과 같이 재부팅을 통해 남은 찌꺼기를 제거하게 됩니다.




-----------------------------------------------------------------------------------------------------------------





※보충할 점 및 불편하거나 고쳐야 할 점


1. 평소나 수동 검사중 시스템 리소스를 많이 먹는다.


평상시 입니다.


평상시 대기하고 있어야 할 각 모듈이 차지 하는 메모리 양이


너무 많다고 생각됩니다.


타 백신의 경우 한 모듈만 켜져 있고 메모리 차지량 2000 KB~4000 KB 정도로 매우 적습니다.


이는 영문판에서도 일어나는 현상인지는 모르겠지만 백신을 간소화 시켜 고쳐야할 부분이기도 합니다. 




검사시 입니다. 

저 무시무시하게 차지 하고 있는 메모리 리소스.. 웹 브라우저 한개가 돌아가고 있는 무거운 느낌이 드네요.



2. DeepGuard 탐지 창이 떴을때 약간의 번역 미숙이 보입니다. 


 아직 정식판이 아니므로 금방 수정될 부분 이기도 하고 딱히 중요한 문제점이라고 보기는 어렵지만 


혹시 몰라 얘기해봅니다.




3. 격리소에서 파일 복원 시 바로 실시간 감시에서 탐지됨.


 이거 꽤 불편하더군요. 오진파일일 경우 복원하게 되면


실시간 감시에서 바로 탐지가 되어 자동 삭제가 되는 난감한 일이 일어납니다.


그래서 실시간 감시를 끄고 복원해야 한다는 점이 꽤 불편 하다고 느꼈네요.


복원시키는 파일은 일정 시간 정도는 실시간 탐지 목록에서 제외 시켰으면 좋겠다고 생각이 듭니다.




4. 게임 모드의 부재가 아쉽습니다.


 최신 백신들을 보면 기본적으로 게임 모드가 탑재 되는데 게임을 실행할 경


번거롭게 뜨게 되는 방화벽 창을 계속 보게될 경우가 생기더군요.


실시간 감시를 잠시 모두 풀어놓고 해도 되지만 게임 모드 버튼 단 하나만으로 해당 불편을 쉽게 고칠수 있는


편의성을 고려한다면 꽤 불편하다고 느껴졌습니다.




5. 자가 보호 매우 취약 (심각)


 이것은 좀 매우 심각해보이는데 단순히 Windows 작업 관리자를 통한 프로세스 종료에서도


픽픽 꺼지는 현상이 보입니다. 최신 악성코드는 기본적으로 AVKill 기능을 탑재하고 있는 경우가 많은데 


단순한 윈도우 작업 관리자에서의 작업 종료로 모든 실시간 감시가 다 꺼져 버리게 되는 건 좀 아닌듯 싶습니다.


 더욱 심각한건, 실시간 감시가 모두 꺼져버려 아무 샘플도 실시간 탐지가 되질 않았고 


다시 F-Secure 아이콘을 클릭해봐도 다시 생성 되는 프로세스가 전혀 없었고 아예 프로그램이 켜지지도 않고,


오른쪽 마우스 클릭시 가능했던 파일/폴더 수동검사도 전혀 되지 않았습니다.


다행히 재부팅 후에 다시 원래대로 복구가 되었는데요.


 이는 만약 실제 악성코드가 단순한 작업종료로 F-Secure를 종료 시킬 경우


끔찍한 악성코드의 감염을 초래할수 있는 결과를 줄수 있게 됩니다. 


 이는 시급히 고쳐야할 문제라고 봅니다.




-----------------------------------------------------------------------------------------------------------------




F-Secure를 한달 동안 써보았는데 


확실히 직관적이고 편리한 UI, 엔진 성능 만큼은 매우 만족했으나


때떄로 불안하게 느껴진 안정감은 뭔가 부족함을 느끼게도 만들었습니다. 


하지만 아직 Beta 버전이므로 그럴수도 있다고 생각하지만 


정식 버전에서의 경우 좀 더 구성을 치밀하게 해야 될 필요가 보입니다.


하지만 뛰어난 백신 성능으로 국내 시장에 출판될 경우 충분한 경쟁력을 갖출것으로 예상됩니다.








posted by 쿠들릭

댓글을 달아 주세요

prev 1 2 3 4 5 6 7 8 9 10 ··· 99 next