본문 바로가기

IT, Security

다음 세대 V3, AhnLab Next V3 – 기타

이전 글인 다음 세대 V3, AhnLab Next V3 – 도구에서 이어지는 글입니다.

1. 개관에서

개관에서 설명한 내용은 거의 다 글로 옮겼다고 생각됩니다. 개관에서 Next V3의 변경점(특징)을 10가지 소개하였는데, 대부분의 글을 확인하셨다면 순서는 맞지 않더라도 몇 가지를 제외한 기능들을 소개하였습니다. 마지막 기타에서는 하나의 글 목록으로 올리기엔 부족한 것들을 서술하겠습니다.

2. 기능 향상

2-1. 스마트 검사

스마트 검사란 말 그대로, 이미 검사한 항목은 다시 검사하지 않는 것입니다. 이는 날이 갈수록 거대화가 되고 있는 HDD(SSD) 시스템에서 매우 효과적인 시스템으로, 이미 Kaspersky나 Symantec 등의 기업에서는 자체 기술 명목으로 출시하고 있었던 기능입니다.

컴퓨터의 사양이 좋아지면서, 검사 프로그램의 다중 CPU를 지원하는 것도 매우 중요해졌으나, 이는 한번에 검사할 수 있는 목록을 늘리는 것입니다. 이 기능의 의의는 근본적인 검사할 항목을 줄여 검사 시간을 최소화하고자 하는 것입니다. 사실, V3 자체에도 이미 다중 CPU 지원 기능 덕택에 검사 속도가 굉장히 빨랐는데, 이번에 더 강화되었다고 볼 수 있습니다.

 

 

프로그램을 설치하고, 빠른 검사를 했을 때 2분이 약간 안 되는 시간이 걸렸습니다. 또한 클라우드 분석 요청 수가 12군요. 이 분석 요청은 위협 분석 – 클라우드 자동 분석에서 확인할 수 있으며, 여기에서는 확인할 수 없습니다. 닫기를 누르고 다시 한번 빠른 검사를 실행하면 다음과 같이 검사합니다.

 

 

3초로 그 속도가 굉장히 줄어든 것을 확인할 수 있습니다. 이는 매우 극단적인 예입니다. 첫 번째 검사를 실시한 후, 다른 활동 시간(파일이 변경될 시간) 없이 바로 다시 검사하였기 때문입니다. 하지만 실제 정밀 검사에서도 위와 같이 2분하던 게 3초로 줄어들진 않을 테지만, 상당한 검사 시간 단축의 효과가 있을 것으로 보입니다.

2-2. 확장 검사의 강화

다음 세대 V3에서 독특한 점은, PUP(불필요한)과 AppCare(유해가능), 그리고 PUS(불필요한 사이트)의 위치가 매우 중요해졌다는 것입니다. 단순히 약관 등의 동의를 받고 설치하는 애드웨어들은 보안 업체라는 '기업(소송)'의 특성상 '악성'으로 규제하기에는 다소 무리가 따를지도 모릅니다.

따라서 보안 업체는 유해 가능하거나, 불필요하다는 '선택적' 검출을 선택하였습니다. 이를 통해 대부분의 사용자에게 필요 없는 기능을 제공하는 쓰레기 프로그램을 제거할 수 있도록, 도와줍니다. 실제 PUP 진단 등은 사실 꾸준히 있어왔던 기능이나, 그 기능이 Next V3에 와서 강화되었습니다.

 

 

다만 기본적으로 비활성화 되어 있습니다. 반드시 활성화하고 사용하는 것을 추천합니다. 실제로 PUP나 PUS는 사용자 생활에 매우 밀착되어 있는데, 정상 프로그램에 끼어 팔기로 되어 있는 프로그램이라던가, 제대로 검출하지 못하면서 돈을 내고 치료하는 허위 백신(FakeAV) 등의 경우 정식 진단 외에도 PUP나 PUS로 검출할 수 있습니다.

실제, 불필요한 스폰서 프로그램을 설치하는 PCClear와 KMP 등을 설치해보면, 다음과 같은 경고창을 띄워 알려줍니다. (실제 조치는 되어 있습니다. 차단 or 삭제)

 

 

실제 프로그램 자체는 정상 설치 되는 경우도 있고, 프로그램 자체가 PUP일 경우도 있겠지요. 중요한 것은 이런 옵션은 사용자에게 생각보다 크게 나온다는 점입니다. 기초 보안 수칙만 지키면 어느 정도 방어할 수 있는 악성 위협과 달리, 악성 위협이 아니면서도 사용자를 굉장히 불편하게 만드는 요소는 이렇게 옵션을 통하여 V3가 차단할 수 있게 해줍니다.

광고로 고생한다, 쓸데 없는 프로그램으로 고생한다면 이 옵션을 반드시 활성화 하시기 바랍니다.

또한 Next V3에서는 이 기능이 실시간 검사에서도 동작합니다. 기존 V3 365 클리닉을 사용해보신 분들은 아시겠지만, 수동 검사에만 동작하고 실시간 검사에서는 동작하지 않습니다.

2-3. 자체&시스템 보호 기능 강화

자체 보호와 AV공격은 꾸준히 있었던 수요입니다. 안티 바이러스 프로그램이 자신을 검출하지 못할 때, 즉 아직 대응이 되지 못했을 때 안티 바이러스 자체를 공격하여 더 이상 자신을 대응하지 못하도록 하는 수법은 예전부터 꾸준히 있어왔고, 이는 Kill-AV로 불리었습니다.

V3에도 파일 자체 보호 기능이 있었으나 유명 무실했던 것이 사실이고, 실제로 공격자들 또한 V3가 별로 유명하지 않았기에 (-0-); 공격 대상 리스트에 자주 있지 않았습니다만, 중국에서 한국 온라인 게임 핵 공격으로 인하여 V3와 AlYac에도 자체 보호 기능의 강화가 필요했습니다.

 

 

마찬 가지로 환경 설정에서 제품 보호에 체크 되어 있어야 하며, MBR 보호 또한 체크 되어 있으면 좋습니다.

 

 

종전에는 파일 보호만 가능하던 것이, 이제는 파일 보호와 레지스트리 보호, 프로세스 보호까지 가능한 것을 확인할 수 있습니다.

파일 접근은 Next V3를 구성하는 파일에 문제가 생겼을 때 나타나는 알림창이며, 레지스트리 접근은 서비스나 실제 레지스트리 접근에 문제가 생겼을 때 나타나는 알림창입니다. 마지막으로 프로세스는 ASD가 종료되거나 할 경우 띄워주는 알림창입니다.

또한 환경 설정에서 MBR 보호가 활성화 되어 있을 경우, 시스템을 구성하는 중요 요소인 MBR까지 보호해 줍니다.

 

 

실제 이러한 보호 기능을 우회하여 또 다시 자체 보호 기능을 제어하는 악성 코드 또한 많습니다. 따라서 이러한 기능이 반드시 무적이라고 볼 수는 없습니다만, 그래도 종전의 버전에 비하면 상당히 향상된 수준의 자체 보호 기술이라고 판단됩니다.

2-4. 제품 경량화

빛자루와 V3 365 클리닉을 아시는 분은 그 경악할 무거움에 치를 떠셨을 겁니다. 실제로 경량화로 개선되는 것은 V3 365 클리닉 2.0부터 였습니다. Next V3의 경우 실제 설치에서부터 업데이트 파일을 받아오기까지의 시간이 정말 많이 단축되었습니다.

그냥 단적인 예로, 각각의 최신 버전으로 업데이트 된 프로그램 폴더의 총 무게감을 비교할 경우 다음과 같습니다.

 

 

V3 365의 경우 262MB, Next V3의 경우 97MB입니다. 물론 이 수치는 Next V3가 아직 완성되지 않았다는(방화벽이 없습니다) 점 때문에 정확한 비교라고 할 수는 없습니다. 그러나 방화벽의 유무를 제외하더라도, 파일과 폴더의 개수가 비약적으로 줄어든 것을 볼 수 있으며, 이는 단순한 수치 상이라고 치부할 수는 없습니다.

실제 프로세스 상에서도 점유율이 V3 365 클리닉 2.0 대비하여 상당히 낮아진 것을 확인할 수 있습니다.

3. 끝으로

사실 기능 향상으로 생각한다면, '파일 분석 보고서'나 'URL 분석 보고서', 위협 분석의 '프로그램 활동 내역', '클라우드 자동 분석'까지 포함되어야 할 것입니다만, 이번 글에서는 자잘한 몇 가지 기능들을 한 쪽에 모아두는 형식으로 글을 작성하였습니다.

컴퓨터 사양은 해마다 좋아지지만, 아직도 그러지 못하는 컴퓨터 또한 많으며, 점점 더 비대해지는 데이터의 양을 보안 프로그램은 여유를 갖고 처리해야 합니다. 따라서 탐지 능력의 향상도 중요하지만, 얼마나 컴퓨터에 부담이 가지 않으며, 다른 프로그램과 충돌하지 않는가라는 점은 영원한 보안 업체의 숙제로 보입니다.

분명한 것은 Next V3는 아직 방화벽이 탑재되지 않아 정확히 판단할 수 없다 하더라도, 전작에 비하여 눈에 띄게 경량화되었으며, 사용자가 이를 체감할 수 있을 정도라는 점입니다. 드디어 마지막입니다. 다음 글에서 이 후기를 마치도록 하겠습니다. 다음 세대 V3, AhnLab Next V3 - 끝으로로 이어집니다.