태터데스크 관리자

도움말
닫기
적용하기   첫페이지 만들기

태터데스크 메시지

저장하였습니다.

'바이로봇 2011'에 해당되는 글 1건

  1. 2011.01.26 하우리 ViRobot Internet Security 2011 제품 사용기 (1차 수정) (7)
보안관련소식2011.01.26 20:11


1. 바이로봇 신제품 출시와 맞물려..

2011년 01월 25일 오늘은 2003년 국내 인터넷망을 마비시켰던 1.25 인터넷 대란이 발생한지 8년째가 되는 날입니다. 당시에 국내 보안업체들은 인터넷 대란 유발의 주범인 슬래머 웜 파일 분석에 많은 고생을 했었지요. 하우리 역시 중요한 역할을 수행했던 것으로 기억됩니다.

그렇게 8년이 지난 지금 하우리에서 "바이로봇 인터넷 시큐리티 2011(ViRobot Internet Security 2011)" 이라는 이름의 신제품을 공개했네요! 정확히는 01월 24일 정식으로 출시를 했습니다. 

참혹했던 1.25 국가적 재앙을 상기하며, 악성파일이 일으킬 수 있는 아픈 현실을 다시 한번 회상하며, 이러한 사건 사고가 재발되지 않도록 바이로봇과 같은 Anti-Virus 제품의 필요성을 다시금 느낄 수 있었으면 좋겠습니다.


더불어 하우리에서는 1월 24일 신라호텔에서 바이로봇 신제품 발표회를 통해서 중앙관리솔루션인 바이로봇 매니지먼트 시스템 4.0, 서버 방역솔루션인 바이로봇 서버 프로텍션 2011 등 총 3종의 신제품 출시를 함께 발표했습니다.

공식 출시된 바이로봇 신제품 어떤 모습일까요?


VRIS 2011 은 하우리가 12년간의 Anti-Virus 경험 노하우를 기반으로 새롭게 개발한 New S3(Smart, Small, Speed) Engine 을 탑재한 것으로 특장점 소개를 하고 있습니다.
 
특히, Intelligent Scan 기술을 적용하여 경쟁사 대비 가장 빠른 검사 속도를 제공한다고 밝히고 있네요. 더불어 향상된 Heuristic Engine 기술로 악성 의심 파일을 사전에 탐지하고, 특허 출원중인 Stealth Finder(Generic Anti-Rootkit) 기술을 통해서 은폐형 악성 파일에 대한 효과적인 대응이 가능하다고 소개하고 있습니다.

http://www.hauri.co.kr/NewViRobot/vris/event.html


2. 바이러스를 잡는 로보트? 바이로봇

이번 바이로봇 신제품은 하우리의 홈페이지를 통해서 공개용 체험판을 무료로 다운로드하여 사용해 볼 수 있습니다.

      http://www.hauri.co.kr/customer/download/trial_vris.html?show_div=4

    다운로드 파일명 : VRIS2011_Trial_R1_20110124.exe


설치본(Setup Launcher Unicode)은 약 203MB(212,938,736 바이트)의 크기를 가지고 있으며, 파일버전(2011.1.24.0)은 제품 공개일인 날짜 방식으로 표기를 하고 있습니다.

3. VRIS2011 설치 과정 리뷰

VRIS2011_Trial_R1_20110124.exe 파일을 실행하면 다음과 같이 설치 화면이 보여집니다.


그런데...헉!!

Microsoft Virtual PC 2007 가상의 한글 윈도우XP SP3 버전에서 설치 중이었는데, 다음과 같이 임시경로에 InstallShield 마법사가 MSI 압축을 풀어주는 중 오류가 발생했습니다.


다시 [확인] 버튼을 누르고, 동일한 문제가 또 발생하는지 재확인 해보기 위해서 설치 재시도를 하였습니다.

휴~~!! 이번엔 오류가 없네요.^_^*

다시 설치본 파일을 실행했더니 압축 푸는 과정이 문제없이 진행되었고, 아래 화면과 같이 정상적으로 설치가 이루어졌습니다. 변경한 설정은 전혀 없는 상태에서 바로 재설치를 시도했습니다. 이에 정확한 원인을 파악하기는 힘들지만 아마도 설치본 압축 푸는 과정상에 예기치 못한 장애가 있었나 봅니다.


압축이 정상적으로 해제되고, Windows Installer 기능의 설치가 별 무리없이 진행되었습니다.


자! 이제 본격적으로 설치를 시작해 보도록 하지요. 우선 초기 설치 화면에서 프로그램 저작권법에 대한 주의문구를 볼 수 있듯이, 우리나라는 아직도 소프트웨어 불법 복제율이 매우 높은 편입니다. 정품을 구매하여, 보안 소프트웨어 시장에 활기를 주입할 수 있었으면 하는 바램입니다.

다음(N) 버튼을 클릭하면 사용권 계약서 증서와 동의 설정을 완료한 다음에 설치를 계속하실 수 있습니다.


다음 화면에서는 사용자 정보를 입력할 수 있는 구성을 볼 수 있으며, 사용자 이름과 조직 등을 직접 입력할 수 있습니다.


사용자의 개인적인 정보를 입력한 후에 계속 설치를 진행하면 ViRobot Internet Security 2011 제품을 어느 경로에 설치할 것인지 보여주는 화면이 나옵니다. 기본 초기 설정 경로는 C:\Program Files\HAURI\ 입니다.


설치 대상 폴더가 지정되고, 다음 버튼을 클릭하면 구성요소가 다음과 같이 설치되기 시작합니다. 설치 과정 중에는 시작 옵션이라는 작은 창이 나오는 것이 이례적이네요. 서비스 시작 옵션 선택 메뉴에는 방화벽과 실시간 검사를 선택할 수 있도록 해줍니다.


시작 옵션을 선택하고 확인 버튼을 누르면, 잠시 후에 실시간 검사가 활성화 되었다는 내용이 시스템 트레이 오른쪽 하부에 안내 창이 잠깐 올라왔다가 내려갑니다. 그리고 InstallShield 완료 화면을 볼 수 있고, 바이러스 검사 시작 기능을 바로 수행할 수 있습니다. 바탕화면에 생성된 바로가기 아이콘은 예전 푸른색에서 붉은색의 V 자로 변화된 것을 볼 수 있습니다.



상기와 같은 화면이 나와 있는 상태에서 아직 마침 버튼을 누르지 않았는데, 갑자기 실시간 검사 화면이 나타나더니 제가 사용하는 분석 프로그램을 가뿐히 삭제해 주시네요. 위협요소명이라고 표기되어 있는 악성파일 진단명을 보니 Packed.Win32.UPack 이네요.

네 맞습니다. UPack 으로 실행압축되어 있는 분석도구 인데, 압축된 형태 자체를 진단해서 삭제한 것입니다. 보통 UPack 으로 실행압축된 형태는 대다수가 악성파일이지만 정상적인 프로그램도 존재하기 때문에 좀더 신중한 판단과 정책이 필요한 부분이었는데, 사용자에게 삭제 여부를 묻지 않고 바로 삭제해서 다소 아쉬운 부분입니다.


악성 파일 분석용 프로그램 1개가 오진으로 삭제되었지만, Packed 형태의 파일 (의심)진단 기능을 기본적으로 탑재하는 형식은 여러 Anti-Virus Vendor 에서 공통적으로 사용 중이기도 합니다. 개인적으로는 초기 실시간 검사 기능에서 악성파일 탐지시 즉시 삭제보다는 사용자에게 삭제 동의 여부를 묻도록 해주면 어떨까 싶기도 합니다.

그리고 설치 후에 패턴 버전이 아직 2010-12-29.00 으로 표기되는데, 가장 먼저 패턴/엔진 업데이트를 진행할 수 있도록 사용자에게 유도해 주면 좋을 것 같다는 생각이 듭니다. 현재 제품 설치후 재부팅 없이 업데이트 버튼을 눌러도 업데이트가 진행되지는 않습니다. 체험판이라서 그런건가?? 이건 좀더 확인해 봐야 겠네요!!

메인화면의 [업데이트] 버튼으로는 아무런 동작을 안하더니 트레이 아이콘 바이로봇의 오른쪽 버튼 메뉴로 [업데이트]를 선택하니 업데이트 시도 창이 나타나네요^^;;; 이건 약간 버그가 있는 듯!


[2011년 01월 25일 추가 정보]

새로 설치해서 테스트해 본 결과 메인 화면에서 [업데이트]버튼 클릭을 통한 업데이트가 정상적으로 진행되었습니다.


최신 업데이트 파일 다운로드 현황 (일부 IP 주소 생략 처리)

http://211.xx.xx.34//virobot2011//ENGINE/VRENGINE/egn000001.ucf - 바이로봇 엔진
http://211.xx.xx.34//virobot2011//ENGINE/VRPATTERN/egn000093.ucf - 바이로봇 패턴
http://211.xx.xx.34//virobot2011//BITENGINE/PLUGINS/bit000010.ucf - 비트디펜더 엔진/패턴
이후 생략..

업데이트 서버의 보안설정 등을 확인해 보고자, 메인 주소로 접속을 시도해 봤는데, 다음과 같이 나오네요.

http://211.xx.xx.34/ 메인 접속 퍼미션을 변경해 두도록 하면 좋을 것 같습니다.



[2011년 01월 26일 추가 정보]

하우리에서 해당 도메인에 대한 접속 권한 퍼미션을 변경하여, 현재는 다음과 같이 액세스가 불가능하도록 보안이 강화되었습니다. IP주소와 도메인 모두 접속 차단으로 변경이 완료된 상태입니다.신속한 수정이 되었다는 점에서 제 점수는요? 100점.


다시 본론으로 돌아와서..

설치 완료 화면에서 "□ 바이러스 검사 시작" 부분에 V 체크가 된 상태에서 변경없이 실시간 검사 종료를 했더니 아래와 같이 빠른 검사가 진행되었습니다.


빠른 검사 화면에서 "자세히 보기"라는 부분을 클릭하면 실시간 검사 화면과 동일하게 구성된 UI 를 볼 수 있습니다. 실시간 검사 화면과 빠른 검사 화면은 동일한 화면을 사용한 것 같아 보입니다. 동일한 인터페이스를 사용해서 리소스 절약 효과가 있을 수 있으며, 사용자 입장에서 통일된 느낌을 줄 수 있습니다. 다만 사용자 입장에 따라서 실시간 검사 화면인지 빠른 검사 화면인지 혼동하거나 디자인적인 측면에서 다양한 화면을 볼 수 없는 아쉬움이 있네요.

4. VRIS2011 실행 화면 들춰보기!

설치를 끝내고, 바탕화면에 생성된 바로가기 버튼을 실행하면 아래와 같은 심플한 디자인으로 바뀐 ViRobot Internet Security 2011 제품을 만날 수 있습니다.

 
전체적으로 붉은톤으로 구성되어 있는데, 이것을 보니 예전에 하우리 본사가 유한양행 빌딩에 있을 때에 붉은색의 간판을 사용했던 기억이 나는군요! 그때 근무하셨던 직원분들과 부대찌개 먹었던 기억이 아직도 생생하네요. 

메인 화면은 빠른 검사, 정밀 검사, 시스템 보호 등의 3가지 메뉴로 구성되어 있는데 복잡했던 Anti-Malware GUI 방식에서 심플한 방식으로 변경되는 최근의 디자인 트랜드가 반영된 것으로 보여지네요.

참고로 저는 바이로봇 데스크탑 5.0 버전(이전)과 데이터 메딕을 2002년도 부터 꾸준하게 사용해 오고 있는 상태입니다.


메인 화면 중에 바이로봇의 이름에 걸맞게(?) EASY ROBOT 이라는 기능이 눈에 띄는데요.

이것을 실행했더니 빠른 검사라는 작업이 진행되었습니다. 구성된 화면을 보니 "빠른검사 결과" 와 "시스템 최적화" 탭이 있는데 아마도 간편하게 체크할 수 있는 기능을 제공하기 위해서 만든 것인가 봅니다. 근데 한가지 문제점이 있습니다.

EasyRobot 이 중복적(쌍둥이 로봇?)으로 실행이 가능하도록 구성되어 있습니다. 아래 화면과 같이 다수의 실행이 가능한 상태인데 리소스 부담 및 오클릭으로 인한 비효율적 실행이 될 것 같아 보입니다. 중복 실행 방지를 추가하면 좋을 듯 싶네요. 추가로 정밀 검사 등도 중복적으로 검사 진행이 가능한 것으로 확인되었습니다. 전체적으로 중복 검사 등이 진행되지 않도록 개선되면 좋을 것 같습니다.


다음으로 빠른 검사를 해보았는데, 진행 중에 강제로 중단/종료하면 안내 화면에 사용자가 검사를 도중에 중단했습니다라는 문구가 아닌, 모든 검사를 수행 하였습니다라는 내용으로 보여주네요.

검사 도중에 X 버튼이나 검사 종료 버튼을 이용해 검사 자체를 중간에 정지시켰을 때 모든 검사 수행 내용의 문구 보다는 도중에 사용자에 의해서 중단되었다고 문구를 조금 변경하면 좀더 이해하는데 도움이 될 것 같아 보이네요.


환경설정 부분을 살펴보면 총 5가지 형태로 구성되어 있으며, 각각의 설정 탭마다 세부적인 기능 설정을 할 수 있습니다. 특히 눈에 띄는 기능은 네트워크 보호 => 인터넷 보호라는 부분인데 피싱 사이트 차단 및  웹 사이트 차단을 사용자가 설정할 수 있는 기능입니다. 방화벽 사용자의 경우는 규칙 리스트를 추가하실 수도 있습니다.


이어서 시스템 보호 부분을 살펴보았는데, 해당 기능에는 크게 ▶네트워크 보호, ▶시스템 최적화, ▶보안 취약점, ▶데이터 보호, ▶부가 기능 등의 탭으로 구성되어 있습니다.

네트워크 보호에는 인터넷 보호(피싱 사이트 차단, 웹 사이트 차단)와 방화벽 등의 실행/중지 등을 설정할 수 있네요.


시스템 최적화 부분에는 시스템 정리, 액티브엑스 관리, 시작프로그램 관리 등을 기능을 제공하며, 보안 취약점 부분에는 윈도우 취약점, 계정 취약점, 공유 폴더 관리 등의 기능을 제공합니다. 그리고 데이터 보호에는 파일 영구 삭제 기능이 있고, 부가 기능 부분에는 프로세스 관리, 시스템 설정, 컴퓨터 사용 제어 등을 통해서 보호자가 아이들의 컴퓨터 사용을 제한/관리할 수 있도록 만들어져 있네요.

고객센터 부분을 클릭하면 제품 정보와 엔진 버전 등의 내용을 볼 수 있습니다. 더불어 듀얼엔진/패턴으로 사용하는 비트디펜더 상표권 내용이 포함되어 있네요. 근데 SOFTWIN 회사명이 Bitdefender 로 변경되지 않았나 싶기도 합니다. 사실 우리도 바꿔야 하는데..ㅜㅜ 그리고 도움말 사용기한이 사용방법 을 알려드립니다. 라는 부분이 좀 이상하네요!


하우리는 오래전 부터 Major 급 Anti-Virus 엔진인 Bitdefender(루마니아) Dual 로 탑재하여 사용하고 있는데, 비트디펜더 패턴과 엔진 모듈들은 다음의 경로에 설치되고 있으며, 패턴은 비트디펜서 서버에서 실시간으로 적용하는 방식은 아니고, 하우리 서버에서 받아지도록 구성되어 있습니다.


또한, update.txt 파일을 통해서 비트디펜더 패턴 수량과 최종 업데이트 시간 등을 체크해 볼 수 있습니다.


사용 중인 비트디펜더의 엔진 버전은 11.0.0.42 입니다.


다음으로.. 메인 화면에서는 실시간 감시라는 용어를 사용하고 있는데 반해서 트레이 메뉴에는 실시간 검사 시작이라는 문구를 사용하고 있네요. 뭐 완전 다른 말은 아니지만 실시간 검사 시작을 실시간 감시 시작으로 통일해 주면 좀더 보기 좋지 않을까 싶네요.


5. 악성파일 진단/치료 테스트

자 그럼 이제 본격적으로 Anti-Virus 제품의 본연의 기능인 악성파일 진단/치료 테스트를 해볼까 합니다. 이러한 테스트는 다양한 환경에 따라서 결과나 현상이 다르게 나타날 수 있으므로, 참고용으로만 봐주시면 좋겠네요.

제일 먼저 실시간 감시 기능을 활성화 해두고 최신 패턴인 상황에서 지난 주 네이트온쪽지 사용자들을 대상으로 국내에 유포된 샘플을 넣어보겠습니다.

처음에는 JPG 확장명으로 넣었는데, 진단하지 않더군요! 그래서 EXE 확장명으로 변경하여 넣었더니 다음과 같이 정상적으로 진단/치료를 하였습니다. 실시간 감시는 실행파일 형태를 주로 감시하는 것을 알 수 있습니다. 이 부분은 환경설정의 실시간 검사에서 [주요 감염 대상 선택]을 통해서 사용자가 수정하실 수 있으므로, 큰 문제는 아닙니다.


실시간 감시 및 치료기능이 제대로 작동하는 것을 확인했으니, 감염된 상태에서도 제대로 치료하는지 확인해 보도록 하지요. 일단 실시간 감시 기능을 비활성화 하고, 다른 악성 파일을 감염시킨 상태에서 테스트해 보았습니다.


다수의 악성파일을 정상적으로 탐지해 냈으며, 애드웨어로 분류된 것은 치료 가능으로 표시되었고, 바이러스 형태로 구분된 것은 바로 치료(삭제)시도가 되었습니다. 애드웨어와 바이러스 형태 치료 정책이 다소 다르게 적용되고 있는 듯 싶습니다. 이 과정에서 치료하기 버튼을 누르면 치료 가능으로 표시되었던 애드웨어만 치료 대상이 되고 있으며, 별다른 변화 동작이 없어서 사용자 입장에서 체감할 수 있는 변화가 적어 보입니다. 치료가 완료된 항목은 컬러를 다르게 표시해 주거나 해주면 좀더 이해하는데 도움이 될 것 같기도 합니다. 또한, 일부  DLL 형태의 악성파일은 재부팅 후 삭제로 표기가 되어 재부팅을 진행했습니다.
 
재부팅 후 시스템 폴더(System32) 폴더에 들어가 봤습니다. 이런 LO0Cvkl10.dll 파일이 삭제되지 않고 그대로 남아 있네요. 이런 경우는 몇 가지 이유가 있을 수 있습니다.


빠른 검사에서 dll 악성 파일을 생성하는 Main Dropper 를 탐지/치료하지 못한 경우, 또 하나는 재부팅 후 삭제가 제대로 작동하지 않는 경우입니다. Main Dropper 를 탐지하지 못한 경우에는 지속적으로 재감염 현상이 반복될 수 있으며, 악성 파일 감염 특성으로 인한 부분이기 때문에 정밀 검사 등의 전체 검사를 수행하는 과정이 반드시 필요합니다.

실시간 감시나 빠른 검사에서 악성 파일이 발견된 경우에는 꼭 전체 드라이브 검사를 해보시길 권해드립니다. 이번 테스트에서는 시간 관계상 전체 검사 수행은 생략합니다. 다만, 관련 악성파일 샘플을 하우리 관계자분에게 전달하였고 정확한 원인 조사가 진행될 수 있도록 한 상태입니다.

참고로 해당 악성 dll 파일을 마우스 오른쪽 버튼 검사로 다시 재확인했는데도 재부팅 후 삭제 라는 상태를 보여줍니다.

6. ViRobot Internet Security 2011 사용 소감 및 총평

클라이언트 통합 보안 솔루션의 명성에 부합되도록 VRIS2011 은 다양한 악성 파일을 탐지하고 자동으로 치료하도록 설정되어 있습니다. 그 동안 바이로봇을 버전별로 사용해 본 경험을 비추어 보면 이번 제품에서는 사용자 편의성이 상대적으로 높아진 것으로 느껴집니다. 다만, 일부 업데이트 기능과 악성 파일 치료 실패 경험은 다소 아쉬운 부분으로 남으며, 정확한 원인 파악을 거쳐서 문제가 있는 부분이 검증되고 다음 버전에서 조속히 개선된다면 사용자들에게 좀더 발전된 보안 서비스를 제공해 줄 수 있을 것으로 기대됩니다.

[참고자료] 

① 타사 제품 대비 주요 기능 비교표


출처 : 하우리


② ViRobot Internet Security 2011 제품 사용 설명서 

사용 설명서는 제품을 설치하면 다음 경로에 PDF 파일로 생성이 됩니다.

C:\Program Files\HAURI\VRIS2011\Help


※ 잘못된 부분이나 수정이 필요한 부분이 있다고 생각되시면 댓글이나 shuny2k@naver.com 메일로 내용 남겨주시고요. 이 내용은 지속적으로 수정/보완될 수 있습니다.

Posted by viruslab