사이트가드 2.0에 관하여

이번에 고맙게도 안철수연구소 사이트가드 팀에서 이벤트를 해줘서.. ^^ 그 동안 쓸 것도 있고 해서 이벤트 겸 글도 한번 써본다. 아쉽지만, Sandboxie는 SiteGuard를 지원하지 않는다. 더군다나 나는 어베스트 프리 안티바이러스에 잠시 실증이 나서 언인스톨 한 상태였다. 그래서 아무 생각 없이 진짜 컴퓨터에서 진짜 Internet Explorer로 의심 사이트를 마구 찔러 보기 시작했다. =_=;;

   

음.. 유료 버전을 이용해도 되는가에 대한 궁금증이 들어서 유료버전으로 해볼까.. 하다가 무료버전으로 설치했다.

   

가장 먼저 생각난 것은 해외 허위 보안제품 다운로드라는 것이었다. 해외 허위 보안 제품은 많으므로 잘 잡겠지..ㅎㅎ! 가장 먼저 해외 허위 보안제품 사이트에 접속하였다.

   

   

GuardPCS라는 곳이었는데, 전형적인 사기 사이트였다. 이런.. 주제를 잘못 잡은 것 같았다. 가만히 생각해보니 피싱사이트도 아니고.. 특별히 사이트 자체에서 악성코드를 다운로드하는 것도 아니었다. (사용자 몰래)

   

그래도 왠지 아쉬워서 이번엔 파일을 다운로드 해 보았다. 잘 다운로드 된다.. 학학;; 그랬더니 무엇인가 반응이 있다. 뜻 밖에도 아무것도 설치하지 않은 윈도우에서 윈도우 디펜더가 급 발동을 시작한 것이다. -_-;

   

   

….!

이 다운로드와 함께 더 놀라게 한 것은 윈도우 디펜더의 반응이었다!

   

   

같은 파일을 사이트가드의 브삼 엔진과 윈도우 디펜더가 검출해 내었다.

재미있는 것은 평소엔 백그라운드로 시동되듯한 윈도우 디펜더가, 갑자기 검출했다고 뜨는 것이다.. (잊고 산지 어연 1년..)

   

   

처음에 그냥 넘어간 줄 알았다. (사실 윈도우 디펜더의 대응에 충격을 먹어서 -_-;;)

Spyware라는 이름을 부여하여 진단을 하고 있었으나 딱히 알림 팝업 같은 것이 없어서 제대로 눈치채질 못 했다. 어쨌든, 허위 보안 제품을 배포하는 사이트를 피싱 사이트나 악의적인 사이트로 지칭하여 진단을 하지는 않지만, 파일을 다운로드 받을 때 안전다운로더가 활성화 되어 있다면, 그리고 지문에 등록된 파일이라면 진단이 가능하다. 사용자는 2중으로 악성 파일들에 대해서 보호를 받을 수 있는 것이다.

   

   

한 가지 재미있는 것은, 글을 쓰는 동안에 새로운 변종이 업로드 되었다.ㅋㅋ

이번에도 윈도우 디펜더와 사이트가드의 반응을 기대하지는 않았다. 바로 업로드 된 변종이고.. 설마 진단하겠는가?

   

   

   

이런 -_-; 윈도우 디펜더가 진단했다. 브삼 엔진은 초록 얼굴을 내비치며 안전을 표시하고 있다. 실시간 변종에 대한 한계를 느끼는 순간이었다. T-T (이건 백신사의 잘못이 아니다.)

재밌는 것은 윈도우 디펜더는 어떻게 진단을 했는가이다. ㅎㅎ 무섭네~

   

   

두 번째로, 사이트 변조에 대한 개인적인 바램을 깨적거리려고 한다..

지금까지 내가 사이트가드를 사용하면서 본 검출 기법은 ActiveX 파일을 감시하고, 메인 소스 파일이나 기타 소스 파일에 외부로 연결되는 아이프레임, 스크립트 등을 검출하는 형식이었다. 그렇다면 익스플로잇 킷을 직접 인터넷 익스플로러에서 실행시키면 사이트가드는 진단할 것인가? 라는 의문을 가지고 직접실험을 해 보았다.

   

직접실험을 해봤음에도 불구하고 스크린샷이 없는 이유는.. 글을 쓰려고 다시 사이트에 접속하니 서버가 죽어있었다. -_-;;

   

익스플로잇 킷은 Yes Exploit 이라는 이름으로, 어도비 리더의 취약점과 기타 취약점을 이용한 악성 파일을 다운로드 한다. 물론, 내부 소스 스크립트는 암호화되어 있어서 백신의 진단을 우회하고 있었다. 진짜 자체 휴리스틱 기술이 적용된 사이트 가드라면 진단해야 하지 않을까? 어려운 익스플로잇은 아니었다. 그러나 검출하지 못했다. 분명히 외부 연결이 있었음에도 불구하고 말이다. 이런 점이 약간 아쉽다. 꼭 외부연결이 아니더라도 내부 스크립트는 암호화 되어 있었기 때문에 진단을 하는 것이 옳았다고 본다.

   

물론 사이트가드의 검출 방식은 실시간 검출 방식으로 기존 맥아피 사이트 어드바이저 같은 데이터 베이스에 의존하는 방식에는 벗어나, 매우 깔끔한 방식임에는 틀림 없다. 개인적으로 이 기능은 혁명적(?)이라고도 볼 수 있을 것 같다. ㅜㅜ 아이프레임을 진단하는 방식도, 기존 V3에서는 볼 수 없는 웹 가드 형식이었다. 앞으로 지능화되는 스크립트 들에 대항하기 위해서는 특정 사이트에 있는 악성 외부 연결의 감시 뿐만 아니라 이미 사용자 몰래 실행되고 있는 익스플로잇 까지도 검출이 가능했으면 한다.

   

개인적으로는 하루 빨리 사이트가드라는 시스템이 없어지고(!!!) V3에 V3 Web Defender 형식으로 V3 제품군에 껴져서 현재의 많은 안티 바이러스 소프트웨어 같은 형식이 되었으면 한다. (예를 들어 카스퍼스키의 웹 감시기능, 안티버의 웹 가드 기능)

   

그게 아니라면, 사이트 가드는 무료용으로 존재하게 한 후에, 웹 가드 형식으로 V3 365 에는 탑재하는 형식으로 갔으면 좋겠다. 현재 V3 365 클리닉을 설치하면 설치할 때 사이트가드 설치를 유도하기는 하는데 별도 설치이니 정작 V3 제품군 자체에는 웹 방어 기술이 없다고 볼 수 있기 때문이다. 이벤트 겸 해서 무개념 고딩의 푸념글을 새벽에 써 봤다. ㅎㅎ