[문스랩닷컴] 삶에는 왕도가 없습니다

무료백신으로 인기를 얻고 있는 어베스트! 안티바이러스 제품의 차세대 버전인 V5의 베타 테스트가 진행 중에 있습니다.

V5 버전의 가장 큰 특징은 슈트(Suite)의 도입입니다. '슈트'란 안티바이러스 엔진 이외에 안티 스팸, 방화벽과 같이 추가적인 보안 대책을 제공하는 프로그램의 유형을 의미합니다.

최근에는 어베스트! V5 인터넷 시큐리티의 베타 테스트도 함께 진행되고 있는데, 설명서의 내용 중에 제품의 로드맵이 나타나있어서 소개합니다.

어베스트!의 다음 버전에서는 다음과 같이 3가지의 형태로 공급됩니다.

• 어베스트! 프리 안티바이러스 - 기존 어베스트! 홈 에디션과 동일하며, 개인에 한해 무료로 사용할 수 있습니다.
• 어베스트! 프로 안티바이러스 - 기존 어베스트! 프로페셔널 에디션과 동일하며, 평가판은 30일간 제공되며, 그 이후에는 구매하셔야 사용하실 수 있습니다.
• 어베스트! 인터넷 시큐리티 - 새롭게 추가된 제품으로, 상용 제품입니다.

제품 별로 제공되는 기능은 다음과 같습니다.

	어베스트! 프리 안티바이러스 5.0	어베스트! 프로  안티바이러스 5.0	어베스트! 인터넷 시큐리티 5.0
고성능 안티바이러스 엔진	예	예	예
안티-루트킷	예	예	예
안티스파이웨어	예	예	예
스크립트 쉴드(프로바이더)	아니오	예	예
프로세스 가상화	아니오	예	예
명령행 검사기	아니오	예	예
안티-스팸	아니오	아니오	예
방화벽	아니오	아니오	예

참고로, 어베스트! V5 버전은 2010년 1월 초로 예정되어 있다고 합니다. 하지만, 위의 내용뿐만 아니라 출시 일정은 사정상 변경될 수 있다는 점을 유의하시기 바랍니다.

감사합니다.

다잡아, 울타리 등과 같은 프로그램은 스파이웨어(악성 코드)를 잡아 주는 기능 이외에 인터넷의 속도를 빠르게(최적화하는) 기능을 제공합니다. 물론 안연구소의 V3에서도 유사한 기능을 제공합니다.

이번에는 다음(DAUM)에서 발표한 DAUM 클리너는 인터넷을 사용할 때에 발생할 수 있는 다양한 문제점을 해결해 줄 수 있습니다. 주요 기능은 다음과 같습니다.

• ActiveX 컨트롤 관리 - 인터넷 브라우저를 사용할 때에 수시로 설치되는 ActiveX 프로그램들을 관리할 수 있습니다. 악성코드들은 ActiveX를 통해 사용자의 컴퓨터에 설치되는 경우가 많습니다.

• 툴바/IE 추가기능 관리 - 툴바는 인터넷 브라우저의 상단에 있는 메뉴에 포함되는 형식으로 다음에서도 제공하고, 네이버에서도 제공합니다. 또한, 악성 코드 들도 툴바로 설치되는 경우가 많습니다. DAUM 클리너는 컴퓨터에 설치된 툴바를 검색하여 필요없는 경우 삭제할 수 있습니다. 또한, IE의 추가기능도 관리할 수 있습니다.

• 프로그램 제거 - 제어판의 프로그램 추가/제거 기능의 축소판입니다. 중요한 점은 삭제하고자 하는 프로그램을 선택하고, "관련 정보 검색"을 클릭하면, 다음 검색 엔진에서 해당 정보를 검색하여 보여줍ㄴ디ㅏ. 

• 시작 프로그램 관리 - 컴퓨터가 켜지는 동안 자동으로 실행되는 프로그램을 관리할 수 있습니다. 최근의 악성코드들은 시작 프로그램에 교묘하게 프로그램을 숨겨두어 사용자가 이를 알고 삭제하더라도, 컴퓨터를 다시 시작하는 동안에 감염되게 하는 경우도 있습니다. 이러한 경우에 이 기능을 통해 해당 파일이 동작하지 않게 할 수 있습니다.

• PC 최적화 - 윈도우와 인터넷 브라우저를 사용하는 동안에 발생하는 기록이나 캐시 등을 삭제할 수 있는 기능을 제공합니다.

• 실시간 감시 - 악성 코드를 수동으로 검사하여 진단하는 기능도 중요하지만, 가장 핵심적인 기능으로 요구되는 부분이 바로 실시간 감시 입니다. 실시간 감시는 사용자가 컴퓨터를 사용하고 있는 동안에 백그라운드로 조용히 감시를 하고 있다가, 의심스러운 부분이 나타나면 이를 차단할 수 있습니다. 물론, 실시간 감시 기능을 켜거나 끌 수 있습니다.

지금까지 설명한 주요 기능은 기존에 배포되던 안티스파이웨어 프로그램의 기능과 유사합니다. 문제는 얼마나 자주 그리고 최신의 스파이웨어를 진단하여 삭제할 수 있는지에 대한 부분이 관건으로 생각됩니다.

마지막으로, 국내에 수십여가지 가짜(기능이 제대로 동작하지 않는) 안티스파이웨어 제품을 사용하여 쇼핑몰 캐시백을 당하거나(!), 있지도 않는 악성코드를 돈내고 고치라고 하여 금전적인 손해를 입는 경우가 많습니다. DAUM 클리너에서는 이러한 나쁜 짓을 하지 않을 것으로 생각되므로 하나쯤 설치해 두는 것도 나쁘지 않을 것이라고 생각됩니다.

DAUM 클리너 블로그: http://blog.daum.net/daumcleaner

어제는 체크포인트 사에서 하룻동안 무료로 존알람 프로를 다운로드할 수 있었다는 아쉬운 기사를 올려 드린 적이 있었는데 하나의 좋은 보물이 숨어 있었습니다.

홈 페이지 클릭

여기에서 오른쪽의 이름과 메일 주소를 입력하면 안티 스파이웨어 제품을 무료로 사용할 수 있는 라이선스와 다운로드 링크를 이메일로 보내 줍니다.

아직 안티 스파이웨어 제품을 고민하시는 분 다운로드하여 즐거운 정품 혜택을 함께 누려 보시지요~

주의사항으로는 메일의 내용을 보면 다운로드 링크의 유효기간이 있으니, 다운받아서 따로 잘 보관해 놓으세요. 그리고, 제품이 영어로 되어 있습니다. T.T...

일련의 보안 자료를 보면, 해가 가면 갈수록 바이러스, 웜 등의 악성 프로그램의 발생 건수가 기하급수적으로 증가하고 있습니다.

일반적으로 안티 바이러스 제품은 서명(시그내처) 기반의 진단 기술을 사용하기 때문에 바이러스가 발견된 이후에 그에 대한 데이터베이스가 업데이트되는 형편입니다. 물론, 일부 안티 바이러스 제품은 사전 방역, 휴리스틱 진단 기법을 통해 아직 발견되지 않은 악성 프로그램을 미리 예방할 수도 있습니다. 하지만, 장점이 있으면 단점이 있는 법! 오진의 가능성이 서명 기반의 안티 바이러스 제품보다 높다는 단점이 존재합니다.

우스갯소리로 안티바이러스 분석팀은 일년내내 일을 해도 다 못한다는 말이 있습니다. 그만큼 갈수록 업무가 증대되고 있으며 사람이 수작업으로 진행한다면 처리할 수 있는 일에는 보나마나 한계가 있을 수 밖에 없습니다. 최근 보안 벤더들은 자동으로 처리할 수 있는 가상화 기술/소프트웨어를 도입하여 사용합니다.

악성 프로그램 제작자들은 새로운 악성 프로그램을 탄생(!)시키기 보다는 기존의 악성 프로그램을 변형하는 방법을 주로 취합니다. 물론 작성자는 자신의 코드를 충분히 이해할 수 있다는 가정을 한다면, 변종(Variant)을 떡 주므르듯이 마구 만들어서 널리 감염시킬 수 있을 것입니다.

최근 외국의 유명한 보안 전문가는 최근 안티 바이러스 제품의 허를 찌르는 글을 하나 게재했습니다.

서명 기반의 바이러스 백신 제품의 기술로는 바이러스로 검출되는 코드(이하 스크립트와 동일함)는 동일한 패턴이 나타나면 거의 100% 진단할 수 있는 기술을 보유하고 있습니다.

여기서 언급하는 스크립트는 인터넷 익스플로러에서 동작하는 악성 프로그램을 말합니다.

하지만, 코드의 일부분에 공백이나 숫자등을 채우는 이른바 패딩(padding) 기법으로 변조할 경우에는 제대로 바이러스 여부를 진단할 수 없다고 합니다.

이렇게 채우는 값을 최대 255 바이트까지 늘릴 경우에는 거의 대부분의 바이러스 백신에서 제대로 진단하지 못한다는 테스트 결과도 나온 적이 있습니다.

상식적으로 생각해 봐도, 악성 프로그램의 변종을 만들어 내는 것은 스페이스 바~ 누르는 것처럼 아주 쉽겠죠?

아래 그림은 악성 스크립트를 vi 편집기로 본 화면입니다.

그리고, 헥사 덤프(16진수로 보여주는)로 본 화면입니다. 중간에 0x00 값을 많이 채워넣었습니다.

이러한 방식으로 코드를 변조한 상태에서 바이러스토탈(http://www.virustotal.com)에서 진단한 결과를 보면 32개 제품 중에 15개 제품만이 악성 프로그램으로 진단하였다는 결과가 나온 적이 있습니다.

한 편, 스크립트에서 의미없는 0으로 채워진 값을 제거한 상태에서는 32 제품 중에 25개 제품이 진단에 성공하였습니다.


마이크로소프트의 관계자에 따르면 이러한 공백 처리 부분은 인터넷 익스플로러의 구조적인 설계에 기인한다고 수년 전에 발표한 적이 있습니다. 하지만, 구조적인 설계가 잘못된 경우라고 한다면 IE7이 나오면서 이러한 문제를 보완하는 새로운 설계가 나와야 하는 것은 아닐까요?

참고로 이러한 문제점에 대항하기 위해 맥아피의 바이러스 스캔(VirusScan) 제품에서는 스크립트스캔(ScriptScan)이라는 전용 모듈을 추가하여 이러한 문제점에도 불구하고 충분히 진단이 가능한 기술을 추가한 상태입니다. 아래 동영상 참조하세요.


감사합니다.

자료 출처: http://blog.didierstevens.com/2007/10/23/a000n0000-0000o000l00d00-0i000e000-00t0r0000i0000c000k/

악성 코드 및 개인용 방화벽 프로그램으로 명성을 얻고 있는 선벨트 소프트웨어(Sunbelt Software)에서는 9월달에 인기(!) 있었던 악성 프로그램에 대한 보고서를 발표했습니다.

매달 발표되는 보고서에는 카운터스파이(CounterSpy) 검사와 위협 연구 센터(Threat Research Center)에서 제공하는 서비스를 통해 수집된 정보입니다.

9월 달에 새로 등록된 악성 프로그램은 Troyan.NewMediaCodec으로 특정한 웹사이트에서 성인용 비디오를 보기 위해서는 윈도우 미디어 플레이어를 업그레이드해야 한다고 속이는 프로그램입니다. 실제로 파일을 다운로드하여 설치하는데 이때에 악성 프로그램이 함께 설치 됩니다.

1. Troyan.FakeAlert(DesktopScam) - 1.59%
2. Troyan-Downloader.Zlob.Media-Codec - 1.44%
3. Virtumonde - 0.75%
4. ClickSpring.PuritySCAN - 0.75%
5. Troyan.Unclassified.gen - 0.55%
6. Trojan.NewMediaCodec - 0.49%
7. Zenotecnico - 0.40%
8. Command Service - 0.33%
9. Trojan.Smitfraud - 0.32%
10. WinAntiVirusPro - 0.32%

출처: http://www.earthtimes.org/articles/show/news_press_release,189798.shtml

수퍼 안티 스파이웨어

#1. 소개 및 설치

#2. 검사 및 관리

#3. 설정

아무리 좋은 보안 제품이라 하더라도 설정을 제대로 해주지 않는다면 정확한 보안이 유지될 수 없습니다. 수퍼안티스파이웨어 제품은 다양한 보안 설정 기능을 제공하기 때문에 보다 정확한 이해가 필요한 제품입니다.

수퍼안티스파이웨어 메인 메뉴에서 Preferences 버튼을 누르면 환경 설정에 대한 화면이 나타납니다.

각 탭을 간단히 설명하면 다음과 같습니다.

• General and Startup - 시작 옵션과 자동 업데이트 설정
• Scanning Control - 검사 옵션 설정, 신뢰 항목 설정, 검사 제외 폴더 설정
• Real-Time Protection - 실시간 검사 기능을 사용할지 설정
• Hi-Jack Protection - 인터넷 브라우저의 홈페이지, 검색 페이지를 보호
• Statistics/Logs - 로그 및 통계 보기
• Repairs - 악성 코드들이 변경하거나 손상시킨 다양한 시스템 설정들을 원상태로 되돌려 주는 유용한 기능

2. Scanning Control

a) Scanning Options - 검사할 때 설정하는 옵션입니다.

• Ignore files larger than 4MB(recommended) - 4MB 보다 큰 파일은 검사하지 않습니다. 큰 파일을 검사하지 않아 검사 속도가 향상됩니다.
• Ignore non-executables files(recommended) - 실행 파일 이외에는 검사하지 않습니다. 속도가 향상됩니다.
• Ignore System Restore/Volume Information on ME/XP - 윈도우 ME/XP에서 시스템 복구 영역과 볼륨 정보 영역을 검사하지 않습니다. 일부 악성코드는 이러한 영역에 파일을 저장하므로 가급적 옵션을 체크하지 않는 것이 좋습니다.
• Scan only known file type(.exe, .com, .dll, etc.) - 실행파일로 알려져 있는 파일들을 검사합니다.
• Close browsers before scanning - 인터넷 브라우저에 관련된 악성코드를 안전하게 검사하기 위해 검사하기 전에 브라우저를 닫습니다.
• Scan for tracking cookies - 쿠키를 검사합니다.
• Resolve Links/Shortcuts during scan(.lnk) - 바로가기 및 링크를 검사합니다.
• Terminate memory threats before quarantining - 감염된 파일을 격리 보관하기 전에 메모리에 남아 있는 경우 종료합니다.
• Scan alternate Data Steams - ADS를 검사합니다.
• Use Kernel Direct File Access(recommended) - KDFA를 사용합니다.
• Use Kernel Direct Registry Access(recommended) - KDRA를 사용합니다.
• Display scan option in Explorer context(right-click) menu - 탐색기에서 마우스 오른쪽 버튼을 통해 검사합니다.

b) Allowed/Trusted Items - 신뢰하거나 오진하는 항목을 허용합니다.

c) Excluded Folders - 검사하지 않은 폴더를 추가합니다. 동영상, MP3, 사진과 같이 악성코드가 감염될 가능성이 적은 폴더는 비검사 영역에 추가하여 검사 속도를 향상시킬 수 있습니다.

수퍼 안티 스파이웨어

#1. 소개 및 설치

#2. 검사 및 관리

#3. 설정

아무리 좋은 보안 제품이라 하더라도 설정을 제대로 해주지 않는다면 정확한 보안이 유지될 수 없습니다. 수퍼안티스파이웨어 제품은 다양한 보안 설정 기능을 제공하기 때문에 보다 정확한 이해가 필요한 제품입니다.

수퍼안티스파이웨어 메인 메뉴에서 Preferences 버튼을 누르면 환경 설정에 대한 화면이 나타납니다.

각 탭을 간단히 설명하면 다음과 같습니다.

• General and Startup - 시작 옵션과 자동 업데이트 설정
• Scanning Control - 검사 옵션 설정, 신뢰 항목 설정, 검사 제외 폴더 설정
• Real-Time Protection - 실시간 검사 기능을 사용할지 설정
• Hi-Jack Protection - 인터넷 브라우저의 홈페이지, 검색 페이지를 보호
• Statistics/Logs - 로그 및 통계 보기
• Repairs - 악성 코드들이 변경하거나 손상시킨 다양한 시스템 설정들을 원상태로 되돌려 주는 유용한 기능

1. General and Startup


a) Start-up Options - 수퍼안티스파이웨어를 언제 실행할지 설정합니다.

• Start SUPERAntiSpyware when Windows starts - 컴퓨터가 시작될 때에 수퍼안티스파이웨어를 실행.
• show SUPERAntiSpyware icon in system tray - 바탕화면 하단의 시스템 트레이에 수퍼안티스파이웨어가 실행 중인 경우 아이콘을 보여 줌.
• show splash screen on startup - 수퍼안티스파이웨어 프로그램 실행시에 배너 화면을 보여 줌.
• Use Windows XP style menus - XP 스타일의 인터페이스 사용.

b) Automatic Updates - 자동 업데이트를 지정합니다. 무료인 홈 버전에서는 지원하지 않습니다.

• Automatically check for program and definition updates every 8 hours(recommended) - 매 8시간마다 프로그램 및 데이터베이스 업데이트가 있는지 자동으로 확인.
• Check for program updates when the application starts(recommended) - 수퍼스파이웨어 프로그램 실행시에 프로그램 업데이트를 확인
• Check for Update Now - 최신 업데이트가 있는지 지금 확인

c) Start-Up Scanning - 수퍼스파이웨어 프로그램 실행시 컴퓨터에서 검사할 부분을 지정

• Do not scan when SUPERAntiSpyware starts - 프로그램 실행시 검사 안함
• Start a Quick Scan - 빠른 검사 실행
• Start a Complete System Scan - 모든 검사 실행
• Start a Custom Scan - 사용자가 지정한 대로 검사 실행
• Check for updates before scanning on startup - 검사 전에 업데이트가 있는지 확인

d) Reset Program Options To Default Settings - 변경한 설정 사항을 프로그램의 기본값을 초기화합니다.

지난 글을 통해 수퍼안티스파이웨어의 기능과 설치에 대해 간략히 알아 보았습니다. 이 번 포스트에서는 검사하는 방법, 예약 검사, 검역소를 관리하는 방법에 대해 다룹니다.


수퍼안티스파이웨어를 설치하고 나면 바탕화면 하단의 트레이에 아이콘이 하나 추가되어 보여집니다. 이 아이콘을 더블클릭하면 메인 프로그램이 실행됩니다. 그리고, 마우스 오른쪽 버튼을 누르면 실행할 수 있는 세부적인 메뉴가 나타납니다.

아래 그림은 수퍼스파이웨어 메인 프로그램의 화면입니다.

1. 검사(Scan your Computer) - 컴퓨터에 악성코드가 있는지 검사합니다. Scan your Computer 버튼을 누르면 다음과 같이 세부적으로 검사할 수 있는 메뉴가 나타납니다.

• Scan Location - 검사하려는 드라이브를 선택합니다.
• Quick Scan - 레지스트리와 하드 디스크의 중요한 폴더에서 애드웨어 등을 빠르게 검사합니다.
• Compete Scan - 모든 항목(메모리, 레지스트리, 시작 위치, 쿠키, 하드 디스크 전체)를 검사합니다.
• Custom Scan - 항목을 선별하여 검사합니다.

2. 예약 검사(Scheduled Scanning) - 무료 버전인 홈 버전에서는 지원하지 않는 기능입니다. 프로페셔널 제품에서는 사용할 수 있습니다.


3. 업데이트 확인(Check for Updates) - 최신 데이터베이스가 있는지 확인하고 있는 경우에는 업데이트를 수행합니다. 안티 바이러스와 안티스파이웨어 등 보안 제품에 있어 업데이트는 매우 중요한 항목입니다.


4. 검역소 관리(Manage Quarantine) - 검역소는 격리보관소라고도 하며 일반적으로 감염된 파일 등의 객체를 나중에 다시 사용할 경우를 대비하여 안전하게 보관하는 장소입니다. 오진의 가능성이 있는 경우라든지 또는 감염된 파일이지만 현재로서는 어쩔 수 없이 실행해야 사용해야 하는 경우에 검역소에 보관하고 있다가 필요시에 실행하는 특별한 경우도 있습니다.
격리 보관된 파일들은 Restore 버튼을 통해 원래의 위치로 되돌릴 수 있습니다. Remove 버튼을 누르면 컴퓨터에서 완벽하게 삭제됩니다.

지금까지 수퍼안티스파이웨어의 일반적인 사용 방법에 대해 알아 봤습니다. 다음 포스트에서는 가장 중요한 부분인 설정에 대해 알아 볼 예정입니다.

많은 기대 바랍니다.

요즘 악성코드(스파이웨어)를 잡아 주는 프로그램이 인터넷 상에서 많이 찾아 볼 수 있습니다. 외국도 그렇겠지만, 특히 우리나라에서는 악성코드를 잡아 준다고 하며 거짓으로 진단 결과를 보여 주거나, 경쟁 제품을 악성코드로 분류하여 삭제하기도 하고, 검사는 무료로 해주지만 실제 치료는 돈을 내야 하는 경우도 많습니다.

돈을 한번 내더라도 그 다음번에 다시 치료할 때는 다시 더 내야 하거나, 또는 매달 자동 결제가 이루어지게 하여 부당하게 요금을 뺏어 가는 부도덕성을 보이기도 합니다.

이럴 때 일수록 어떤 제품이 정말 사용자를 위해 제공되는지 한번 더 고민해 보고 사용해야 할 것으로 생각됩니다.


지금 소개하는 SUPERAntiSpyware는 외국에서 개발하여 제공되는 악성코드 치료 프로그램입니다. 개인용은 무료로 제공되고 전문가용은 유료로 제공됩니다. 따라서, 개인은 그리 큰 기능상의 차이점 없이 충분히 사용이 가능한 제품입니다.

특히 이 제품은 무료이지만 윈도우 비스타를 지원하는 등 충분한 버전업 능력을 가지고 있습니다. 수퍼안티스파이웨어의 주요 특징은 다음과 같습니다.

• 빠른 검사 속도, 사용자가 검사할 영역을 지정할 수 있음
• 스파이웨어, 애드웨어, 악성 프로그램,전화접속 유도 프로그램, 웜, 키 로커, 하이재커, 패러사이트, 루트킷 등 다양한 위협을 진단 및 치료
• 시스템 자원의 사용량이 적음
• 악성 프로그램으로 인해 인터넷 연결에 관련된 설정사항이 손상될 경우 복구
• 실시간 감시 및 차단
• 예약 기능 제공
• 전문적인 연구 팀 활동

하지만, 위의 기능들은 대부분 유료 제품인 프로페셔널에서 동작합니다. 무료 버전이 홈 버전에서는 기본적인 검사 및 치료 기능만을 제공합니다. 또한, 데이터베이스 업데이트도 자동이 아닌 수동이라는 점을 주의해야 합니다.

설치 과정은 아주 평이합니다. 아래 링크에서 홈 버전을 다운로드하여 실행하면 설치가 진행됩니다.

다운로드 링크: http://www.superantispyware.com/downloadfile.html?productid=SUPERANTISPYWAREFREE

설치가 완료되면 최신 업데이트가 있는지 확인하여 업데이트할 지를 묻습니다. 가급적 예를 클릭하여 최신 데이터베이스로 업그레이드하는 것이 좋습니다.

아래 화면은 수퍼스파이웨어 프로그램이 실행된 상태를 보여 줍니다.

• Scan your Computer - 검사
• Scheduled Scanning - 예약 검사
• Check for Updates - 업데이트 확인
• Manage Quarantine - 검역소 관리
• Preferences - 설정

다음 글에서는 위의 메뉴에 대해 간략하게 살펴 보고 특히, Preferences에 대해 중점적으로 소개할 예정이니 기대하기 바랍니다.

끝.

요즘 국내외 포탈 및 검색 엔진에서는 인터넷 브라우저에 애드온으로 동작하는 툴바(Toolbar)를 제공하고 있습니다.

가장 대표적인 툴바를 보면 야후! 툴바, 네이버 툴바, 구글 툴바 등이 있습니다.

야후!에서는 CA(Computer Associates)사가 개발하는 안티-스파이웨어 제품을 툴바에 번들로 계속 제공하기로 했다는 소식입니다.

CA는 야후와 손잡고 모든 CA 홈/오피스 보안 제품을 야후 툴바에 제공하기로 하였으며 CA 인터넷 시큐리티 2008까지 지속될 것이라고 합니다.야후 툴바에 제공되는 안티스파이웨어 기능은 스파이웨어, 애드웨어, 키로거, 브라우저 하이재커 등등의 위협으로부터 컴퓨터를 보호합니다.

CA/Yahoo! 툴바는 인터넷 익스플로러와 파이어폭스에서 사용할 수 있습니다.