블로그 이미지
쿠들릭
전자기기 사용기와 함께 악성코드 관련글과 일상을 업로드 하는 블로그 입니다.^^

calendar

      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Notice

2013. 6. 10. 02:44 리뷰/F-Secure

이번에는 악성코드 검사및 탐지 실시간 검사와 방화벽에 대해서 

또한 부족한 점에 대해 다루겠습니다.







바이러스 및 스파이웨어 검사(빠른 검사), 전체 컴퓨터 검사(전체 상세 검사), 검사할 항목 선택(수동 선택 검사),


 루트킷 검사, 그리고 검사 설정 변경 (고급 설정) 으로 나뉘어져 있습니다. 


전체 컴퓨터 검사를 평상시에도 많이 사용하신다면 


전체 컴퓨터 검사시에 루트킷도 동시에 검사하므로 따로 루트킷 검사를 돌리실 필요는 없는것으로 보입니다.








 바이러스 및 스파이웨어 검사(빠른 검사) 입니다. 


매우 빠른 속도로 스캔 되며 중요한 파일 위주로만 검사한다는 성격을 띄고 있습니다. 


개인적으로 시간이 부족할때 또는 간단히 컴퓨터를 끄기 전에 가볍게 검사하는 용도로 쓰는 것이 좋을듯 합니다.










전체 컴퓨터 검사(전체 상세 검사) 입니다. 말 그대로 전체 드라이브와 중요 시스템 파일까지 모조리 검색합니다.


루트킷 검사도 포함되어 있으므로 전체 검사를 이용하신다면 굳이 따로 루트킷 검사를 돌리지 않으셔도 충분합니다.









 검사 후 악성코드가 검출시 이런 창이 뜹니다.


자동 정리를 하게 되면 말 그대로 1순위: 치료, 2순위 : 삭제및 검역소에 안전한 복사본을 만들어 놓게 되어 


오진시에도 안전히 복구 가능하게 해놓습니다.









 따로 항목 별로 결정탭을 누르게 되면 이런 상세한 창이 뜹니다.


삭제는 말 그대로 삭제, 단 검역소에 남지 않음.


정리, 삭제한 후 검역소에 안전 백업 복사본을 만들어 놓음 (추천)


격리, 정리와 비슷합니다. (추천)


없음, 무시(ignore)와 동일합니다. 악성코드로 의심되는 파일을 아무런 처리를 하지 않은채 가만히 냅두게 됩니다.









악성코드 처리에 대한 선택을 거치게 되면 다음과 같은 창이 뜹니다.


 마침을 눌러누세요.









악성코드 삭제로 인한 시스템의 불안정한 상황을 안정화 시키기 위해 재부팅을 실시하게 되는데요.


이거 참 불편하다고 느껴지더군요. Virut, Parite같은 악성 악성코드가 아닌 이상 


굳이 단 한가지 삭제 같이 간단한 치료만으로도 해결할수 있는 악성코드를 치료 한 후


다시 한 번 껐다 켜야 한다는 점이 여간 불편한 점이 아닙니다.









검사할 항목 선택(수동 선택 검사) 항목 입니다.


특정 폴더나 특정 드라이브만을 선택하여 검사 가능합니다.









하지만 이런 오른쪽 버튼 클릭으로 통하여 더욱 쉬운 접근성을 통한 수동 선택 검사가 가능하므로


참조하시기 바랍니다. 검사할 항목 선택(수동 선택 검사)는 폴더, 드라이브 같은 큰 개체만 선택및 검사가 가능 했다면


이 오른쪽 버튼 클릭 검사는 특정 exe,dll 같은 단일 항목 검사가 가능하므로


매우 빠르고 편리하게 의심 가는 파일을 검사 가능하게 만들어 줍니다.








실시간 검사 파트 입니다. 


예를 들어 보기 위해 직접 악성코드 샘플을 통하여 테스트를 진행했습니다.


악성코드를 탐지하게 되면 다음과 같이 자동 처리가 됩니다. 이때 세부 정보 칸을 눌러보게 되면,







다음과 같이 상세 정보가 나오게 됩니다. 


Trojan,Generic.9015902 이라는 악성코드 진단명을 통하여 정식 진단임을 


사용자에게 보여줍니다. 








또한 웹서핑 시 자동으로 취약점을 통한 Exploit 같은 악성코드의 경우 


시그니쳐 진단이 아닌 차단을 시켜 버리므로 최종 exe같은 실행 파일의 접근을 원천 통제 합니다.


이는 매우 효과적으로 웹 서핑 악성코드를 막는 좋은 판단으로 보였습니다.









 제가 지난번 2편에서 DeepGuard에 관한 내용을 적는다고 했었는데 


다음과 같은 방식으로 탐지 됩니다.


 먼저 F-Secure의 블랙리스트 DB에 없는 악성코드일 경우  DeepGuard가 없는 경우 바로 실행되어


해당 악성코드에 컴퓨터가 감염됩니다.


이런 경우를 막기 위해 도입한 기술이 DeepGuard 인데요.


 DB에 없으나 수상한 행동을 하는 악성코드의 경우 Rating(악성 점수)을 통하여 평을 내린후 일정 수준의 Rating이 되면


위험 하다고 판단되어 실행을 막아버리는 구조입니다. 또한 인터넷이 연결되어 있는 경우 F-Secure의 본 서버를 통한 


클라우드 진단을 하게 되어 해당 악성코드의 대한 평을 중앙 자동화 서버에서 내려 주면 이에 대한 평판을 통하여 


진단하게 됩니다. 간단하게 줄여서 말씀 드리자면 (행동기반 탐지+ 클라우드 서버 평판 탐지)가 둘 다 포함된 


고급 기술입니다. F-Secure에서는 해당 기술을 핵심으로 보고 있고 또한 해마다 버전을 업그레이드 해나가면서 


DeepGuard의 대한 중요성을 부각 시키고 있습니다. 


 실시간으로 발생된 DB에 포함되지 않은 제로데이 악성코드 같은 경우 상당수가 DeepGuard의 선방을 통하여


실행되기도 전에 차단되는 일이 많이 있더군요. 알려지지 않은 신종 악성코드가 요즘은 폭발적으로 쏟아져 나오므로


해당 기능을 반드시 켜두는것이 진단 향상에 큰 도움이 될것은 분명합니다. 


하지만 '오진일 경우나 안전한 파일인데 잘못 탐지했다.'라는 경우 위의 사진에 나온것 처럼


파란색으로 표시된 allow the program을 누르게 되면 해당 차단을 무시하고 실행하게 됩니다.









악성코드 내역입니다. 


단순한 리포트 기능을 가지고 있어 어느 악성코드를 그동안 언제 잡았는가를 쉽게 볼수 있습니다.









격리소 입니다. 만약에 악성코드로 의심된 파일을 삭제 했는데 해당 파일이 중요한 파일이다. 


혹은 그 파일을 삭제한 후 시스템이 이상하게 돌아간다. 같은 경우 복원을 통하여 안전히 복원할수 있게 만듭니다.


세부 정보 버튼을 클릭할 시에는...









 다음 사진과 같이 악성코드에 대한 상세한 분석및 어떤 악성 효과를 불러 일으키는 가에 대한 분석서가 


F-Secure링크와 연결됩니다.








 오랫동안 쓰시게 된다면 위 사진 처럼 많은 기록이 쌓이게 될텐데 이때 내역 지우기를 누르게 되면


여태 까지의 기록이 깔끔히 지워지고 다시 새로운 기록들로 채워지게 됩니다.








 번외로 F-Secure의 엔진 구성에 대해 설명하겠습니다.


- F-Secure Aquarius 엔진은 F-Secure의 本, 핵심 엔진으로 비트디펜더 엔진을 라이센싱한 엔진입니다.


- Hydra엔진은 F-Secure 자체 엔진으로 라이센싱하여 쓰고 있는 Aquarius엔진은 아무래도 빠르게 자가 대응하여


    시그니쳐에 추가 하기 어렵기 때문이거나 Virut같이 치료하기 까다로운 악성코드를


    진단및 치료하기 위하여 자체 엔진을 사용하게 된것입니다.


- Online은 웹기능에 관한 엔진이고


- Gemini엔진은 행동 기반 탐지 엔진.


- BlackLight는 너무나도 유명한 F-Secure의 안티 루트킷 엔진으로 탁월한 루트킷 진단성능을 가지고 있습니다.



다음과 같은 멀티 엔진으로 F-Secure는 해외에서도 인정받은 뛰어난 성능을 가지게 됩니다. 


http://chart.av-comparatives.org/chart1.php


AV-Comparatives에서 테스트한 Whole Product Dynamic 2013년 4월 결과입니다.


위 링크를 참조하면 무려 제로데이 같은 웹 공격 차단에서 99.8%의 경이로운 차단 능력을 보유하고 있습니다.








방화벽 부분. 외부에서 이상한 트래픽이 접속될경우 즉시 차단해주는 기능을 가지고 있습니다.


이곳에 더욱 상세한 컨트롤이 가능했다면 더욱 좋을 텐데 


단순히 자동 차단만을 하게 되어 뭔가 좀 부족하다는 느낌이 듭니다.






애플리케이션 접속 문의.


사용자에게 어떤 프로그램이 인터넷에 접속할 경우 방화벽이 이처럼 알람을 알려주고


허용할것 인가 거부할것 인가에 대해 선택을 하게 만듭니다.


특정 프로그램을 실행 할때 이 같은 창이 계속 떠 귀찮게 만드는 경우


이 프로그램에 대해 이 대화 상자 다시 표시 안 함. 버튼을 체크하고 허용/거부를 선택하게 되면


다음 접속시에는 더 이상 묻지 않게 됩니다.





제거 화면 입니다.


모두 제거를 하실경우 바로 시작을 눌러주면 자동으로 제거가 됩니다.







이 곳에서 좀 오랜 시간이 흐르게 되면







다음과 같이 재부팅을 통해 남은 찌꺼기를 제거하게 됩니다.




-----------------------------------------------------------------------------------------------------------------





※보충할 점 및 불편하거나 고쳐야 할 점


1. 평소나 수동 검사중 시스템 리소스를 많이 먹는다.


평상시 입니다.


평상시 대기하고 있어야 할 각 모듈이 차지 하는 메모리 양이


너무 많다고 생각됩니다.


타 백신의 경우 한 모듈만 켜져 있고 메모리 차지량 2000 KB~4000 KB 정도로 매우 적습니다.


이는 영문판에서도 일어나는 현상인지는 모르겠지만 백신을 간소화 시켜 고쳐야할 부분이기도 합니다. 




검사시 입니다. 

저 무시무시하게 차지 하고 있는 메모리 리소스.. 웹 브라우저 한개가 돌아가고 있는 무거운 느낌이 드네요.



2. DeepGuard 탐지 창이 떴을때 약간의 번역 미숙이 보입니다. 


 아직 정식판이 아니므로 금방 수정될 부분 이기도 하고 딱히 중요한 문제점이라고 보기는 어렵지만 


혹시 몰라 얘기해봅니다.




3. 격리소에서 파일 복원 시 바로 실시간 감시에서 탐지됨.


 이거 꽤 불편하더군요. 오진파일일 경우 복원하게 되면


실시간 감시에서 바로 탐지가 되어 자동 삭제가 되는 난감한 일이 일어납니다.


그래서 실시간 감시를 끄고 복원해야 한다는 점이 꽤 불편 하다고 느꼈네요.


복원시키는 파일은 일정 시간 정도는 실시간 탐지 목록에서 제외 시켰으면 좋겠다고 생각이 듭니다.




4. 게임 모드의 부재가 아쉽습니다.


 최신 백신들을 보면 기본적으로 게임 모드가 탑재 되는데 게임을 실행할 경


번거롭게 뜨게 되는 방화벽 창을 계속 보게될 경우가 생기더군요.


실시간 감시를 잠시 모두 풀어놓고 해도 되지만 게임 모드 버튼 단 하나만으로 해당 불편을 쉽게 고칠수 있는


편의성을 고려한다면 꽤 불편하다고 느껴졌습니다.




5. 자가 보호 매우 취약 (심각)


 이것은 좀 매우 심각해보이는데 단순히 Windows 작업 관리자를 통한 프로세스 종료에서도


픽픽 꺼지는 현상이 보입니다. 최신 악성코드는 기본적으로 AVKill 기능을 탑재하고 있는 경우가 많은데 


단순한 윈도우 작업 관리자에서의 작업 종료로 모든 실시간 감시가 다 꺼져 버리게 되는 건 좀 아닌듯 싶습니다.


 더욱 심각한건, 실시간 감시가 모두 꺼져버려 아무 샘플도 실시간 탐지가 되질 않았고 


다시 F-Secure 아이콘을 클릭해봐도 다시 생성 되는 프로세스가 전혀 없었고 아예 프로그램이 켜지지도 않고,


오른쪽 마우스 클릭시 가능했던 파일/폴더 수동검사도 전혀 되지 않았습니다.


다행히 재부팅 후에 다시 원래대로 복구가 되었는데요.


 이는 만약 실제 악성코드가 단순한 작업종료로 F-Secure를 종료 시킬 경우


끔찍한 악성코드의 감염을 초래할수 있는 결과를 줄수 있게 됩니다. 


 이는 시급히 고쳐야할 문제라고 봅니다.




-----------------------------------------------------------------------------------------------------------------




F-Secure를 한달 동안 써보았는데 


확실히 직관적이고 편리한 UI, 엔진 성능 만큼은 매우 만족했으나


때떄로 불안하게 느껴진 안정감은 뭔가 부족함을 느끼게도 만들었습니다. 


하지만 아직 Beta 버전이므로 그럴수도 있다고 생각하지만 


정식 버전에서의 경우 좀 더 구성을 치밀하게 해야 될 필요가 보입니다.


하지만 뛰어난 백신 성능으로 국내 시장에 출판될 경우 충분한 경쟁력을 갖출것으로 예상됩니다.








posted by 쿠들릭

댓글을 달아 주세요

2013. 6. 7. 19:31 리뷰/F-Secure

환경설정 부분을 살펴보겠습니다.


모든 부분이 한글판으로 번역되어 설정을 통제하기 매우 편리해졌습니다.


 개인적으로 직관적인 F-Secure의 환경설정 탭이 마음에 드네요.


UI는 F-Secure 2010 이후부터 큰 변화는 없는것 같습니다.





기본 작업  UI 입니다. 매우 깔끔하고 직관적인 특유의 F-Secure의 느낌이 존재합니다. 


한글판으로 번역되어도 그 특유의 느낌은 사라지지 않네요. 


탭은 단순검사, 업데이트, 방화벽관련, 격리소, 고급설정, 부가기능이 존재하고 쉽게 접근할수 있게 만들어 졌습니다.






그리고 또한 비슷한 UI 형태로 F-Secure의 상태를 바로 볼수있는데요.


 보시다시피 매우 직관적으로 배열해놓았기 때문에 초보자 분들께서도 현재 보안기능의 상태를 보신후 쉽게 관리할수 있습니다. 





또한 간단하게 보안내역에 관한 통계를 보실수도 있는 곳이 존재합니다.


현재동안 실시간으로 검사한 바이러스 및 스파이웨어 검사, 프로그램 수, 보안 업데이트, 이메일 검사와 

최신 DB 업데이트 일을 표시함을 통하여 한 눈에 편리하게 현재동안 백신의 내역을 보실수 있습니다.




실시간 검사탭입니다. 

매우 단순합니다. 따로 설정할 것도 없이 단 세개만 체크하면 끝이네요.


작업 부분은 악성코드 탐지시 어떻게 반응하는지에 대한 부분인데 기본설정대로 남겨놓는게 가장 좋을듯 합니다.

또한 밑에 악성코드 탐지 내역과 격리소, 제외된 항목을 볼수있습니다.


제외된 항목에서는 사용자가 직접 특정 파일이나 폴더를 검사에서 제외시켜 실시간 검사와 수동검사에서 그 특정부분만 제외시킨 나머지를 검사하게 됩니다.





Deep Guard탭입니다. 이후 3편에서 자세히 설명해드리겠습니다만, 행동기반 탐지 엔진으로 

Black List DB에 없는 악성코드를 사전으로 탐지하는 고급기술입니다.


마치 카스퍼스키의 HIPS와 닮은면을 보이지만 다른 부분이 존재합니다. 


이후 3편에서 어떻게 이 기능이 사용되는지 보여드리겠습니다.


※ 고급 프로세스 모니터링을 사용하게 되면 탐지력은 증가하게 되나 

검사속도가 감소한다는 단점이 있으니 참고하시기 바랍니다.


 


방화벽 내역의 상세 설정입니다. 고급 사용자들을 배려한 칸이라고 볼수 있는데요.


'자신이 직접 컨트롤 할줄 아는 사용자가 아니다.' 라고 판단되면 밑에 있는 간단한 방화벽 설정만으로도 충분한 방화벽 보호가 가능합니다.



단순한 방화벽모드 설정입니다.  각 프로필마다의 상세한 세부설정의 차이가 있습니다. 

참고하자면, 저는 개인용 컴퓨터를 사용하므로 가장 무난한 홈으로 선택하였습니다.



이메일 필터링 설정입니다. 


이메일을 잘 사용하시지 않는 경우에는 리소스를 꽤 잡아먹으므로 


이메일 필터링을 사용하지 않는편이 낫다고 봅니다만. 


이메일을 자주 사용하시던가, 중요한 일에 관한 사무적인 컴퓨터라면 반드시 이메일 보안을 켜두시는데에 추천을 드립니다.





1시간 마다 꾸준히 업데이트를 체크하는것을 보실수 있습니다. 


자동 업데이트 란을 켜주시면 굳이 업데이트 버튼을 수동으로 클릭하지 않아도


스스로 업데이트를 실행하므로 업데이트에 관한 걱정은 전혀 하지 않아도 되는 좋은점이 있네요.






마지막으로 업데이트를 했을시 모습입니다. 


F-Secure는 Symantec Norton 백신과 비슷한 방식의 Push Update 방식을 쓰고 있으므로


굳이 업데이트 버튼을 누르지 않아도 충분히 자동적으로 알아서 작동을 합니다.


업데이트 시기는 거의 1시간 마다 한번씩 체크 하면서 빠르게 업데이트를 해주는것 같네요.



UI는 2009->2010 혁신적인 UI 개선이후로 특별한 모습의 변화를 느끼지 못했습니다.


환경설정쪽의 큰 변화도 느끼지 못하였구요. 오히려 복잡했던 F-Secure 2009 이하 버전보다는 


더욱 직관적인 UI를 선택하여 보안에 대해서 잘 모르는 사람들도 쉽게 접근을 할수 있고 


제어 할수 있는 부분은 칭찬 받을 부분입니다.


하지만 검사 같은 설정에 대해서는 고급 사용자를 배려한 Custom 같은 설정 칸을 만들어주면 


고급 사용자 입맛에 이 백신을 좀 더 효과적으로 쓸수 있었을 것 같다는 아쉬움이 들었네요.






마지막 3편 악성코드 검사및 탐지및 치료와 보충할점으로 넘어갑니다.

posted by 쿠들릭

댓글을 달아 주세요

2013. 6. 3. 01:18 리뷰/F-Secure

최근에 F-Secure Korea 지사에서 진행한 F-Secure 한글판 Beta를 리뷰하게 되었습니다.

첨부해야 할 내용이 많으니 긴말 없이 바로 리뷰에 들어가겠습니다.





가장 먼저 설치파일을 클릭해보시면 아시겠지만 이전 F-Secure와는 다르게 설치언어의 기본이 한국어로 되어 있습니다.



사용권 계약서는 반드시 읽어보시는게 센스 아닐련지요? ^^ 반드시 필독한 후 동의 버튼을 누르고 설치를 진행합시다.



라이센스를 넣으라고 하는데요. 저는 F-Secure Korea에서 1달 평가판 Test용 라이센스를 첨부하였습니다.

개인적으로 가지고 있는 F-Secure 라이센스를 첨부할때 어떻게 반응할지는 확인하지 못했네요...

 


이후 자동설치와 단계별 설치로 나뉩니다. 

자동설치를 누르신다면 추가적인 질문없이 말 그대로 자동으로 설치되고 단계별 설치는 몇몇 사용자가 임의 수정할수 있는 항목이 나오게 됩니다. 대체로 처음 쓰시는 분들께는 자동 설치, 고급 사용자 분들께는 단계별 설치를 추천합니다.





업데이트를 하게 되는 데 저는 의외로 업데이트하는데 시간이 많이 들지 않게 느껴졌습니다.




 이후 업데이트를 마무리 짓고 F-Secure를 실행하게 되면 실시간 감시가 바로 실행 되지 않는 부분이 과연 보안 제품으로써의 기본을 해주는가에 대한 의문을 남깁니다.

 

 개인적으로는 보안제품은 설치하자마자 컴퓨터를 보호 하는것에 초점을 맞춘 제품인데 F-Secure Beta는 재부팅후 실시간 감시가 켜지게 되어 이를 악용할수 있게 되는 악성코드가 생길수 있는 문제점이 있는것 같습니다.


 정식 F-Secure 는 어떨지 모르지만 한글 F-Secure의 문제라면 시급히 고쳐줘야 하는 문제라고 봅니다.




이후 2부로 넘어갑니다. 


















posted by 쿠들릭
TAG F-Secure

댓글을 달아 주세요

prev 1 next