[보안과 해킹] 세계 최강의 백신, Kaspersky

블로그 > akula21님의 블로그
http://blog.naver.com/akula21/40018476479

오 늘은 바야흐로 백신 본연의 기능인 검출, 삭제에 있어서 세계의 지존 격인 백신을 다뤄볼까 합니다. 이미 국내의 많은 커뮤니티를 통하여 파워유저들 사이의 입소문으로 유명해진 Kaspersky Anti-Virus(이하 KAV)가 그것입니다. 지난달 공식으로 한국어 사이트를 개설하여 국내시장에 진출하여 공식 한글판도 출시되었고(현재는 Personal 버전만 해당), 한국 사용자를 지원할 것으로 보여지니 매우 반가운 소식임에는 틀림없습니다. 더구나 1년 라이센스키의 가격 또한 3만 3천원이라는 합리적인 수준이므로 책정된 만큼, 자신의 PC를 지켜주는 대가로 하나 구입하는 것도 좋을 듯 합니다.이번 KAV의 리뷰는 백신 자체의 검출율에 대한 것은 언급하지 않기로 합니다. 이미 각종 유명사이트나 테스트를 통하여 세계 1등으로 밝혀진 바 있고, 수많은 백신의 엔진으로도 이용되고 있는 만큼 이에 대한 논의는 무색하리라 여겨집니다. 따라서 실사용시 반드시 염두 해야 할?설정방법과 KAV의 사용자들이 가장 많이 지적하는 "좀 더 가볍게 KAV를 사용하는 팁"을 중심으로 사용법을?알아보기로 합니다. 처음 사용해 보는 유저, 기존에 사용해 왔던 유저 모두에게 도움이 되길 기대합니다.

참고로, 얼마 전 '알렉스 휘슬러'란 사람에 의해 발견된 CAB포맷 파일 처리시 발생되는 보안 취약점을 개선하여 현재 최신버전은 5.0.390 입니다. 5.0.388을 사용중인 유저라면 자동으로 5.0.390으로 업데이트 되었을 것이며 5.0.372를 사용 중이었다면 5.0.375로 업데이트 되었을 것입니다.

공식명칭과 소개	Kaspersky Anti-Airus (KAV) "카스퍼스키"는 러시아산 소프트웨어이여,?그 명칭은?CEO인 Natalya Kaspersky이 이름에서 따 온 것이라고 합니다.
최신버전	5.0.390 (Personal)
라이센스	쉐어웨어 (30일)
공식사이트	http://www.kasperskylab.co.kr/

	1. 인터페이스와 KEY파일

(1) 메인화면

"보호", "설정", "지원"의 총 3가지 탭으로 구성되어 있는 KAV의 메인화면은 텍스트 위주로 구성된 깔끔하고 심플한 구성을 보여줍니다. 직관성을 높이기 위한 아이콘 이외에는 별다른 장식이 없습니다. AVAST 등의 화려한 백신들에?비하면 심심하다고까지 여길 수 있겠지만 필자 개인적으로는 이 백신다운 구성이 맘에 듭니다.

(2) 스캔화면

(3) 파이러스 정의파일 업데이트 화면

(4) 키파일을 통한 라이센스 등록

시리얼번호 등을 기입하여 놓는 것에만 익숙한 사용자들의 경우, 처음 접해보면 다소 낯설게 여겨지는 KAV의 라이센스 구현은 Key파일이라는 하나의 파일로 이뤄집니다. 공식사이트에서 30일 한정판을 다운받을 수 있는데, 이 기간 동안은 바이러스 정의파일(VDF)의 업데이트를 포함한 모든 기능을 이용할 수 있는 키파일을 부여하는 것이며, 기간만료 후에는 키파일을 구입하여 사용해야 합니다. 따라서 쉐어웨어이건 정식으로 구입했건 키파일은 무조건 필요합니다.?위에 언급한 대로 1년 단위의 키파일은 33,000원에 판매하고 있습니다. 키파일의 유효기간이 지나면 VDF의 업데이트가 불가능해 집니다. 하지만 프로그램을 사용하는 데에는 별다른 제한이 생기지는 않습니다.

확장자가 ".key"로 끝나는 키파일은 "지원 → 라이센스 키"에서 등록, 관리 합니다. 처음 사용자의 경우 "추가"를, 이후 사용자의 경우 "갱신"을 눌러서 구입하여 다운받은 키파일의 경로를 지정해 주면 됩니다.

?

	2. KAV를 가볍게 사용하기 위한 환경설정

보안을 위하여 은행 등에서의 전자결재에서는 몇 단계의 암호를 거치게 하고 있으며 그 암호마저 가급적이면 최대한 어렵게 정해 놓기를 권장하고 있습니다. 즉, 엄격한 보안은 그만큼 많은 관리와 자원을 소모하게 되는 것이 현재까지는 일반적인 상식입니다. KAV역시 이와 같은 사실에서 예외는 아닌지라 제법 무겁다는 평이 많습니다.

일부 유저들이 KAV가 무겁다며 그것을 "단점"으로 지적하는데 필자는 위에 언급한 이유 이것을 단점으로 보지는 않습니다. 다만 필연적인 "제약"이라고 여기고 있으며, 사용자의 입장에서는 자신의 시스템에 맞게 이 제약을 완화해 가는 노력이 중요하다고 봅니다. 그러므로 이러한 제약을 완화시킬 수 있는 유일한 방안인 환경성정은 여느 백신보다 KAV에 있어서는 중요할 것입니다. 다만 이러한 "가벼운 설정"은 필연적으로 다소간의 보안의 취약성을 동반함을 명심해야 합니다.

KAV의 "설정" 화면


(1) 기본적인 환경설정 구성

위험요소 및 제외	스캔대상에서 제외할 항목(폴더, 파일, 또는 마스크단위 구성)을 정합니다. 자세한 설명은 아래에서 다룹니다.
실시간 감시기 구성	실시간 감시기 수준을 설정하여 실시간 감시의 정도를 조정합니다.
수동검사 구성	대략 일주일에 한번 정도 자신의 시스템을 스캔하는 작업을 하는 것이 좋은데 이러한 수동스캔시 정도를 조정합니다.
업데이트 설정	바이러스 정의파일을 자동으로 받을 것이지 여부와 네트워크의 피해로 인하여 인터넷 접속이?안 될 경우 폴더나 디스켓에서 정의파이을 업데이크 할 경우 사용합니다.
격리 및 백업 설정	의심파일이나 감염파일이 삭제해도 되는 것이지의 여부를 모를 경우 일단 격리소에 보내 놓고 PC를 운영하다가 별 문제가 없으면 완전히 삭제해 버립니다.
부가설정	백신기능 외적인 것들, 가령 프로그램 시작시 자동실행 여부와 타인에 의한 임의의 KAV 언인스톨을 예방하기?위한?패스워드 등을 지정합니다.
구성파일 관리	현재 자신이 설정해 놓은 KAV의 설정과 옵션을 저장하여 두었다가 차후 포맷으로 인한 재설치나?문제 발생시 복구시킵니다.

기본적인 환경구성 설명

(2) "위험 요소 및 제외"를 이용하여 가볍게 사용하기

위험 요소 및 제외 (1)


"위험 요소 및 제외"를 클릭하여 위의 그림을 참고하여 차례대로 작업합니다. 맨 먼저 1번 화살표의 "추가"를 눌러서 제외항목, 즉 바이러스 스캔을 하지 않을 대상을 정하는 작업입니다.

"제외된 항목" 창이 뜨면 2번 화살표를 클릭하여 "항목"란에 제외할 프로그램의 이름, 디스크 문자, 폴더이름, 파일이름 그리고 마스크 등을 지정할 수 있습니다.

3번 화살표의 위험요소 칸에서 알려진 위협요소 목록 중 구체적인 위협요소를 선택하면 해당 제외 범위에서 선택한 위협요소는 모두 제외됩니다.

4번 화살표에서는 범위를 지정해 주는 것으로, 주문형 검사(수동검사), 실시간 검사(메일/파일) 중에 선택택합니다. 수동검사는 자주 하는 것이 아니니만큼 가급적이면 실시간 보호에만 체크해 두길 권합니다.

정리하여, 그림의 설정을 해석하자면 "E: 드라이브에서는 'Virus.DOS.Trivial.30.g'라는 악성코드를 실시간 메일/파일 보호시 스캔하지 않는다"는 것이 됩니다. 만일 위험요소 칸을 비워 놓으면, 항목 칸에서 지정한 모든 개체가 제외됩니다. 여기서 말하는 위험요소는 KAV연구소가 데이터베이스화 해 둔 악성코드 또는 악성프로그램 등을 일컫습니다. 따라서 가급적이면 이러한 설정은 권장하지 않고 있으며, 필자의 경우 아래 그림과 같이 마스크를 이용하여 위험요소의 개입이 상대적으로 덜한 파일만을 제외시키고 있습니다.

위험 요소 및 제외 (2)


같은 방법으로 위 그림을 해석하면 확장자가 JPG로 끝나는 모든파일(그림파일)에 대해서는?모든 위험요소를 차단하지 않는다는 말이 됩니다.(위험요소 칸이 비워졌으므로) 즉, 아예 검사를 하지 않는다는 말이 되겠습니다.

만일 위험한 개체 발견 시 조치가 사용자 확인 후 처리 라면, 사용자는 수동 검사 과정 동안 발견된 개체를 제외에 추가할 수도 있습니다.

수동 검사시 제외/추가 ("사용자 확인 후 처리"로 설정 시)

아래 표는 KAV 사이트에서 명시된 마스크의 사용방법을 그대로 옮겨온 것이니?참고 바랍니다.

◇ 개체에 경로를 지정하지 않고 사용된 마스크: ? *.exe ? exe 확장자를 가진 모든 파일 *.ex? ? ex? 확장자를 가진 모든 파일 (? 문자 대신에 다른 문자가 들어간 확장자도 모두 제외) test ? test 이름을 가진 모든 파일 ◇ 개체의 절대 경로와 함께 사용된 마스크: C:dir*.* - C:dir 카테고리 안에 모든 파일 C:dir*.exe - ?C:dir 카테고리 안에 exe 확장자를 가진 모든 파일 C:dir*.ex? - C:dir 카테고리 안에 ex? 확장자를 가진 모든 파일 (? 문자 대신에 다른 문자가 들어간 확장자도 모두 제외) C:dirtest - C:dir 안에 test 파일만 제외. C:dir - C:dir 카테고리와 그 하위 카테고리 안에 있는 모든 파일. ◇ 개체의 상대 경로와 함께 사용된 마스크: dir*.* - dir 카테고리 안에 모든 파일 dirtest ? ?dir 안에 모든 test 파일 dir*.exe ? dir 카테고리 안에 exe 확장자를 가진 모든 파일 dir*.ex? ? dir 카테고리 안에 ex? 확장자를 가진 모든 파일 (? 문자 대신에 다른 문자가 들어간 확장자도 모두 제외) dir - dir 카테고리와 그 하위 카테고리 안에 있는 모든 파일 ◇ 공인된 위협요소 마스크 예: not-a-virus:AdWare.* - 검사 범위에서 광고 프로그램을 검사하지 않음 (예. Gator) not-a-virus:Riskware.* - 검사 범위에서 잠재적으로 위험한 프로그램을 검사하지 않음 not-a-virus:Client-IRC.* - 악성 프로그램에 의해서 사용되는 IRC-클라이언트를 검사하지 않음 (예. MIrc) not-a-virus:Dialer.* - 잠재적으로 위험한 다이얼러 프로그램을 검사하지 않음 not-a-virus:RemoteAdmin.* - 원격 제어 프로그램을 검사하지 않음 (예. RAdmin) not-a-virus:Server-Proxy.* - 악성 프로그램에 의해서 사용되는 프록시-서버를 검사하지 않음

마스크 사용방법

(3) 실시간 감시레벨 조정하기

? 실시간 감시기 구성

"설정 →?실시간 감시기"에서 실시간 감시레벨 수준을 조정하여 KAV를 가볍게 사용할 수 있습니다. "빠른 검사" , "권장 보호", "최대 보호" 등 세가지가 있는데 필자의 경우 "빠른 검사"를 이용하고 있으며 이 경우 제법 상당한 시스템의 속도 향상을 느낄 수 있습니다. 이 세가지 검사에 대한 세부 사항은 아래의 표에서 정리하였습니다.

실시간 감시레벨 조정

? ?

설정

최대 보호

권장 보호

빠른 검사

실시간 감시레벨 세부사항

위의 표에서 보듯이 '권장 보호'와 '빠른 검사'의 차이는 파일을 포맷별로 보호하는냐 확장자별로 보호하느냐의 정도에 그칩니다. 따라서 일반 사용자의 경우 '빠른 검사"로 해 놓고 사용해도 크게 무리는 없을 것이라 여겨집니다.

? 실시간 감시기 상세설정

실 시간 감시레벨 조정 설정에서 우측 하단의 "실시간 감시기 상세설정"을 클릭하여 그것을 조정하면 한결 더 가볍게 사용할 수 있습니다. 아래의 그림은 일반적인 사용자에게 적합한 설정입니다. "메일보호"의 경우 아웃룩이나 썬더버드 등을 설치하여 POP/IMAP 등을 이용하지 않는 유저라면 체크하여 꺼 두는 것이 좋습니다. 아마 대부분은 하나포스메일이나 다음, 네이버 등의 웹기반 메일을 이용 중일 것 입니다.

실시간 감시기 상세설정

(4) 자동 업데이트 끄기

자동 업데이트

"설정 → 업데이트 설정"에서 조정이 가능합니다. 매일 거의 3시간 마다 KAV의 정의파일은 업데이트 되기 때문에 가급적이면 켜 놓는 것이 좋지만, 저 사양시스템은 운용중인 유저라면 꺼 놓고 수동으로 하면 다소간의 시스템 부하를 줄일 수 있습니다.

	3. KAV의 고급기능과 문제해결

(1) 네트워크 공격 차단 기능 (IDS : Intrusion Detection System)

5.0.227 이후 버전부터 지원되는 IDS는 간단히 말하면 "미니 방화벽" 정도라 할 수 있습니다. 존알람이나 룩앤스탑 등 유명한 방화벽에 비하면 기능이 약하고, 윈도우즈 XP SP2에 내장된 것과는 비슷하거나 약간 상회하는?기능을 제공해 줍니다. 인바운드(Inbound : 내 PC로 들어오는 트래픽) 탐지 기능만 있으며 아웃바운드(Outbound : 내 PC에서 나가는 트래픽) 탐지는 제공하지 않습니다. 또한 차단하는 공격 역시 제한적이어서 TCP port scan, UDP port scan, ICMP flood, TCP SYN flood, Land, Ping of death, Lovesan, Helkern 등만을 탐지해 냅니다.

KAV측에서도 그 명칭을 "방화벽(Firewall)"이라고 하지 않은 것에서 짐작할 수 있듯이 이 기능으로 방화벽을 대체할 수 없다고 밝히고 있습니다. 따라서 윈도우즈의 기본 방화벽과도 충돌은 없으므로,?일반적으로 병행하여 사용하해도 문제가 없습니다. 하지만 전문적인 방화벽을 설치한다면 이 기능은 꺼 둘 것을 권장합니다. 그렇지 않을 경우 프로그램이 충돌하는 등의 문제가 발생할 수 있습니다.

IDS는 "설정 → 실시간 감시기 구성 → 실시간 감시기 설정"에서 끄고 켜는 등의 조정이 가능합니다. "네트워크 공격 보호"의 세부사항은,?KAV 공식사이트에서 명기된 것을?아래 표에 정리하였습니다.

네트워크 공격 보호

 

◇ 네트워크 공격 알리지 않음	기본적으로 프로그램은 컴퓨터에 공격이 시도될 때마다 사용자에게 알립니다. 공격하는 컴퓨터의 IP 주소와 로컬 포트, 공격 형태에 관한 정보를 담고 있는 메시지를 보여주게 됩니다. 이 알림이 참조를 위해서만 나타나기 때문에 만약 사용자가 이 메시지를 확인할 필요가 없을 경우에는 이 체크 상자에 체크를 하여 메시지 표시를 중지시킬 수 있습니다.
◇ 지정된 시간 동안 공격하는 컴퓨터 차단(분)	컴퓨터의 공격을 시도하는 모든 컴퓨터들의 공격을 방어합니다. 기본적으로 공격하는 컴퓨터를 60초 동안 방어합니다. 이 시간 동안, 공격하는 컴퓨터는 당신의 컴퓨터와 네트워크 접속을 열 수 없습니다. 방어 기간을 변경하려면 체크 상자에 체크를 한 후, 원하는 값을 지정합니다.
◇ 스텔스 모드 이용	이 모드는 사용자에 의해서 시작된 네트워크 활동만을 허용합니다; 다른 모든 동작(원격지에서 사용자의 컴퓨터에 접속하는 등..)들은 허가되지 않습니다. 이는 여러분의 컴퓨터가 다른 컴퓨터들에 가상적으로 안 보이는 상태가 됨을 의미합니다. 게다가 스텔스 모드는 어떤 형태의 DoS (Denial of Service) 공격도 예방합니다. 동시에 스텔스 모드는 카스퍼스키 안티 바이러스가 사용자에 의해서 시작된 어떠한 네트워크 활동 들을 허락하더라도 인터넷 사용에 영향을 미치지 않습니다.

네트워크 공격 보호 세부 설명

(2) 백신 데이터 베이스

"설정 → 위험요소 및 제외"에서 확인할 수 있는 백신 데이터 베이스는 기본 데이터베이스와 확장 데이터베이스 두가지가 있습니다. 확장 데이터베이스의 경우 일반적인 바이러스 등과 더불어 잠재적인 위험요소까지 검출해 냅니다. KAV가 정의하고 예방하는 잠재적인 위험요소는 Adware, Spyware, Proxy-programs, Porno-dialers, Riskware, 시작페이지 변경 프로그램 등이 있습니다.

잘 알려진 Adware와 Spyware 이외에 Proxy-programs은 사용자의 PC를 스팸서버화 시키는 것이며, Porno-dialers는 임의로 포르노 사이트에 접속시켜 엄청난 사용료를 부과하는 것입니다. Riskware는 FTP나 IRC, 원격 데스크탑시 발생할 수 있는 보안 취약성을 이용하여 사용자의 PC를 공격하는 것 입니다. 따라서 가급적이면 이 확장 데이터베이스를 선택하여 사용하기를 권장합니다.

백신 데이터 베이스

??(3) NTFS 스트림 기술

일반적으로 윈도우즈 2000이나 XP 등을 NTFS 포맷으로 설치시 KAV로 스캔할 경우 많은 시간이 소요된다고 합니다. 이 때 스캔 속도를 높이기 위해 KAV사가 개발한 것이 NTFS 스트림 기술입니다.?하지만 KAV 삭제시 NTFS 스트림 오류가 발생하는 경우가 종종 있습니다. 물론 사용하는데에 큰 지장은 없지만 이것이 거슬리는 사용자는 KLStreamRemover.exe 파일을 다운받아서 명령창에서 실행시켜 주면 됩니다. (자세한 사항은 KAV 한글사이트를 참고 바랍니다.)

NTFS 스트림 오류가 발생하는 근본적인 이유는 삭제시 아래 (그림 3-3)에서 처럼 iStreams의 체크를 해제해 주지 않은데서 기인합니다. 따라서 KAV를 이용 후 삭제시 이 체크를 해제할 것을 권장합니다.

?NTFS 스트림 삭제

(4) 파이러스 정의파일 수동 업데이트

인터넷이 불가하거나 특별한 사정으로 네트워크를 이용할 수 없을 경우 정의파일을 다운로드 받아온 디스크 등을 이용하여 수동으로 업데이트가 가능합니다. 먼저 PC 등에서http://www.kaspersky.com/avupdates/zip을 방문합니다. 아래 그림에서 처럼 3가지의 파일이 제공됨을 알 수 있습니다.

맨 하단부터 살펴보면, "Complete update"란 이제까지의 모든 정의파일을 말합니다. 2주 이상의 상당기간 동안 업데이트를 하지 못했을 경우 이용합니다. Previous week's updates"는 바로 전주의 정의 파일입니다. 즉, 바로 앞의 일주일분량의 파일을 의미합니다. KAV에서는 매주 금요일 이후부터 한주가 시작된다고 정하고 있으므로 "매주 금요일?마다 올려집니다. "Current week's updates"는 이번 주까지의 파일입니다.

바이러스 정의 파일 다운로드 받기

자신의 업데이트 상황에 맞게 하나, 또는 그 이상을 다운받았으면 임의의 폴더에 압축을 풀어두고 KAV에서 "설정 → 업데이트 설정"을 차례로 클릭합니다. 업데이트 소스를 인터넷에서 로컬폴더로?바꾸고 그 밑의 경로지정 버튼을 누릅니다.

정의파일 수동 업데이트 (1)


"로컬 폴더 선택" 트리창에서 다운받아서 압축을 풀어둔 파일이 있는 폴더를 지정해 주면 됩니다.

정의파일 수동 업데이트 (2)

(5) KAV 언인스톨을 깨끗하게 하기

제어판의 프로그램 추가/제거를 이용했다고 하더라도 간혹,?KAV의 찌꺼기가 PC에 남아있게 되며, 이는 차후 KAV 재설치 시 문제를 발생시킬 수 있습니다. 이를 예방하기 위해 미국의 KAV 공식 딜러가 만든 KAV 레지스트리 클리너를 소개합니다. 우선 여기를 클릭하여 파일을 다운로드 받은 후 압축을 풀어서 "KAV_Registry_Clean.exe" 파일을 실행시킵니다.

KAV 레지스트리 청소기


위 그림에서처럼 KAV가 설치된 경로가 맞으면(아마 대부분의 사용자는 설치시 기본으로 했을 것이므로 이 경로와 동일할 것입니다.) "Start" 버튼을 눌러서 모두 삭제하면 됩니다. 단, 이 청소기는?반드시 KAV를 언인스톨 한 이후에 해야 합니다.?

	4. 마치며...

이상으로 백신의 세계 지존 KAV에 대해 알아보았습니다. 바이러스에 의한 심각한 피해를 경험해본 유저라면 아마 KAV를 설치해야 할 필요성을 절실히 느낄 것입니다. 그 뛰어난 기능만큼 다소 무겁다는 평도 있지만 인터넷을 빈번하게 이용하는 사용자라면 KAV Personal 정도는 사용해 보는 것도 나쁘지 않으리라 여겨집니다. 얼마 전 모 유명 인터넷신문사의 사이트 해킹을 최초로 보고하는 등의 최근 뛰어난 업적을 발휘하고 있는 국내 G사의 백신 역시 KAV의 엔진을 사용하는 것임을 감안하면, 그 성능이 얼마나 대단한가를 짐작할 수 있습니다.

현재 KAV의 경우 개인용 백신은 Kaspersky Personal과 Kaspersky Personal Pro 두 가지로 판매되고 있고, 방화벽으로는 Kaspersky Anti Hacker가 있습니다. 그러나 2006년 부터는 Kaspersky Personal Pro가 Kaspersky Personal로 통합되고, Kaspersky Personal과 Kaspersky Anti Hacker를 합친 Kaspersky Internet Security(KIS)가 새로이 출시될 예정입니다. 현재 베타테스트 중인 KIS는 백신과 방화벽을 통합했다는 것 외에 스파이웨어와 레지스트리관리 등의 제어기능까지 갖추게 되어 보안에 관련된 통합 솔루션을 구축할 것으로 여겨집니다. 특히 개별 프로세스에 대한 그룹단위 지정 관리는 필자 개인적으로 매우 기대하고 있는 기능이기도 합니다.

아래 그림들은 얼마전 러시아의 포럼에서 공개된 KIS의 베타판 스크린 샷입니다. 더 많은 정보를 원하는 독자는 KAV 러시아 포럼을 참고 바랍니다.

 

 

글/여호종