작년 Kaspersky 6.0이 출시 된 후, 일년이 멀다하고 새로운 버전 7.0이 발표되었습니다. 사실, Kaspersky 6.0은 사용자들로부터 많은 불만을 들어왔습니다. 지금도 일부 시스템에서는 여전히 문제가 되는 윈도우 시작 시 딜레이 문제를 비롯하여, 개선되기는 했으나 이유 없이 실시간 감시기가 죽어버리는 현상까지... 그래서일까요? 예상보다 빠르게 7.0으로 업그레이드 되었으며, 이러한 문제는 거의 해소되었습니다.

이번 리뷰에서는 Kaspersky 7.0에서 달라지거나 새롭게 추가된 기능에 대해 간단히 살펴본 후, 유저들의 최대 관심사인 가볍고 빠르게 사용하는 팁에 대해 기술하려 합니다.
단, 리뷰에 사용된 것은 카스퍼스키 인터넷 시큐러티(KIS) 영문판입니다. KIS를 선택한 이유는 그것이 카스퍼스키 안티바이러스의 모든 기능을 포함하고 있기 때문입니다. 따라서 리뷰를 구독하는 독자 중 카스퍼스키 안티바이러스 버전을 사용 중이라면 방화벽(Firewall), 안티-스파이(Anti-Spy), 안티-스팸(Anti-Spam), 자녀보호(Parental control) 등은 스킵해도 무관합니다. 또한, 공식 한글판은 11월초에나 출시 예정이므로 영문판을 이용하였습니다.

▲ 리뷰 프로그램 정보

Kaspersky 5.0에서 6.0으로 업그레이드되었을 당시에는 사전방역(Proactive Defence)이라는 혁신적인 기능을 도입하여 윈도우 응용프로그램과 레지스트리까지 제어하는 등의 큰 변화가 있었지만 6.0에서 7.0으로 넘어오면서는 그다지 큰 차이는 없습니다. 오죽하면 한국 지사에서도 다음과 같이 표현하고 있습니다.

아래에서 언급될, 새롭게 눈에 띄는 휴리스틱 설정이나 루트킷 설정 역시, 세세한 옵션을 조정할 수 있게 해 주기 위하여 독립적으로 분류된 것일뿐, 아예 없던 것이 추가된 것은 아닙니다.

이런 여러 정황 때문에, 필자는 이번 7.0을 6.0의 마이너 업그레이드라 칭하려 합니다. 일부 버그가 개선되고, 몇몇 부가 기능이 추가되었을 뿐, 멀웨어를 차단한다는 본연의 기능에서는 이전 버전과 차이가 없습니다. 따라서, 6.0을 탈 없이 사용해 온 유저라면 굳이 새로운 버전으로 자금을 투자할 이유는 없습니다. 어짜피 내년에 8.0이 등장할 예정이니, 몇 개월만 참고 바로 8.0으로 넘어가는 것도 좋은 방법입니다.

(1) 메인화면 디자인 변화

사용자들이 가장 먼저 접하게 되는 Kaspersky의 메인화면 변화부터 살펴 보겠습니다. 이전 버전인 6.0 보다는 상대적으로 화면이 커졌습니다. 반면, 주요 정보를 나열해 주는 문자는 변화가 거의 없다보니, 증가한 창의 크기만큼 여백이 늘어났고, 이 때문에 다소 휑하고, 어딘가 텅 빈 느낌이 듭니다. 개인적으로는 이전 버전의 아기자기한 인터페이스가 좀 더 마음에 듭니다.

▲ Kaspersky Internet Security의 메인화면 (Kaspersky는 이 중 Firewall 이하 부분이 없습니다.)

6.0에서 보였던 버튼들이 사라진 것도 아쉽습니다. 마치 동영상 재생기의 플레이, 일시정지, 정지 버튼과 유사한 것으로, 수동 스캔, 사전방어(Proactive Defence)를 시작하고 끄거나, 잠시 중지할 때 유용하게 사용했었느데, 7.0으로 넘어오면서 아예 사라지고, 대신 "stop", "pause" 라는 단조로운 문자를 클릭하게끔 변경되었습니다. 여기까지는 그렇다고 쳐도, 일시정지를 해 두면, play 또는 start 같은 문구나 나타나지 않아서 다시 시작할 경우 잠깐 당황스럽게 만듭니다.
전반적으로 볼 때 이전 버전보다 오히려 퇴보했다는 개인적 생각입니다.

(2) 휴리스틱 진단 강화

해외의 권위있는 각종 테스트에서 카스퍼스키의 사전 진단 기능, 이른바 휴리스틱 진단 기능은 좋은 평가를 받지 못하고 있습니다. 따라서 이번 7.0에서의 기능 추가를 통하여 적극적으로 휴리스틱 기능을 강화하려는 의도가 엿보입니다. File/Mail/Web 방어 등 주요 부분에 모두 휴리스틱 설정과 관련된 옵션이 추가되었으며, Detail(세세하게), Medium(보통), Shallow(낮게) 등의 세 가지 수준으로 스캔 강도를 조절할 수 있습니다.

▲ 휴리스틱 진단

휴리스틱 진단의 정의.

"휴리스틱"은 "hyu-ris-tik"으로 발음하며, 그리스의 "heuriskein"이란 단어에서 유래했다고 합니다. "heuriskein"의 의미는 "discover(발견하다)"입니다. 인공지능 진단, 또는 사전 진단 이라고도 지칭되는 휴리스틱 진단이란, 기존에 수집된 멀웨어의 DB, 알고리즘, 패턴 등을 분석하여 알려지지 않은 신종 바이러스로 부터 시스템을 보호하는 것을 의미합니다. 오늘날과 같이 하루, 한 시간이 멀다하고 신종 멀웨어가 출몰하는 시기에는 그것을 발견하고, 안티-바이러스 DB에 추가하여 사용자의 컴퓨터로 전송하기까지의 텀조차 길게 느껴질 수 있습니다. 따라서 기존에 수집한 멀웨어 정보를 바탕으로, 알려지지 않은 특정 프로그램이나 코드를 잠재적인 멀웨어로 정의하여 차단시킨 후, 정식으로 검증이 이뤄지면 조치(삭제/치료/수락)를 취하게 됩니다. 독자적인 휴리스틱 엔진을 보유한 벤더로는 Eset(NOD32), 비트디펜더(BitDefender), 노턴(Norton), 아바스트(Avast), Dr.Web, 맥아피(McAfee), Avira(AntiVir), 카스퍼스키(Kaspersky) 등 극히 일부에 지나지 않습니다. 이 중, 거의 독보적인 우수함으로 최고로 꼽히는 것이 NOD32이며, 휴리스틱 기술이 전무하다시피 한 국내 백신은 상대적으로 사전 진단에 매우 취약합니다. ※ 관련 글 : 2007년 5월 백신 사전방역 테스트 by Anti-Virus Comparatives

(3) 루트킷(RootKit) 진단 강화

최근에 보안 업계의 이슈로 부각된 루트킷 진단 기능이 강화되어, 별도의 카테고리로 분류되었습니다. 루트킷은 현존하는 멀웨어 중 가장 악명 높은 것 중 하나로 꼽히며, 일단 감염이 되면 치료법이 없기 때문에 필자 개인적으로는 에이즈에 비유하기도 합니다. 치료가 가능한 최선의 방법은 오로지 하나, 하드 디스크를 깨끗하게 포맷하고 윈도우를 다시 설치해야만 합니다.

이러한 특성 때문에 최근의 다른 안티 바이러스와 마찬가지로 Kaspersky에서도 루트킷 예방 기능을 제공하고 있습니다. 다시 말하지만, 루트킷을 예방하거나 검출할 수는 있지만, 치료법은 없기 때문에 가급적이면 이 기능을 기본값 그대로 켜 두는 것이 좋습니다.

▲ 루트킷(RootKit) 진단

루트킷 탐지에 관련된 설정 역시 File/Mail/Web 방어와 마찬가지로 세부 설정이 준비되어 있습니다. General, Addtional, Heuristic analyzer 등 세 개의 하위 항목이 있으며, 이 중 General 탭에서는 검출할 범위를 주로 지정합니다.

▲ 루트킷(RootKit) 설정 - General

Additional에서는 부가적인 설정에 관련된 것으로, Kaspersky의 탐지기술 (iChecker 와 iSwift) 기술을 활용하여 좀 더 빠르고 효율적으로 루트킷을 탐지해 냅니다.

▲ 루트킷(RootKit) 설정 - Additional

마지막은 Heuristic analyzer 탭입니다. 이름 그대로 휴리스틱 진단에 대한 설정과 강도를 정할 수 있습니다.
한편, "Enable extended rootkit scan"을 통하여 보다 강력하게 루트킷 스캔의 강도를 조절할 수도 있습니다.

▲ 루트킷(RootKit) 설정 - Heuristic analyzer

루트킷(RootKit)에 대한 간단한 정의

2005년 10월 경, 지금은 MS사가 인수한 저 유명한 Sysinternals사의 프로그래머겸 보안 전문가 Mark Russinovich가 자신의 컴퓨터 안에서 루트킷(RootKit)이 설치되어 있다는 것을 발견했습니다. 당시에 이 사건이 크게 이슈화 된 이유는 소니의 음악 CD에 탑재된 저작권 보호 장치(DRM : Digital Right Management)의 일부로서 루트킷이 탐지되었기 때문입니다. 이 때문에 소니사는 사용자들의 어마어마한 비난을 받았으며, 각종 소송에 직면하기도 했습니다. 대부분의 멀웨어가 시스템을 마비시키거나, 스팸을 전송하거나, 인터넷 네트워크와 CPU의 부하를 늘리고, 중요한 데이터를 물리적으로 삭제시키는 것과는 다소 양상이 다르게 루트킷의 일반적인 유형은 시스템에 은밀히 침투하여 최고 관리자(Administrator)의 권한을 획득한다는 데에 있습니다. 직접적이고 즉각적으로 사용자의 시스템이나 데이터에 피해를 주지 않는다는 특징이 있어서, 얼핏 느끼기엔 바이러스나 웜보다 문제가 적다고 여길수도 있지만, 오히려 더욱 위협적입니다. PC 시스템을 운용하는데 절대적인 권한을 갖고 있는 최고 관리자 계정의 권한을 갖고 있으므로, 사용자 뒤에 숨어서 전자금융 정보, 아이디, 패스워드 등을 비롯한 주요 개인정보를 훔치거나, 시스템을 통제합니다. 이는 곧, 바이러스와 스파이웨어의 특징을 모두 보유하고 있다는 의미이기도 하며, 실제로 루트킷이 시스템에 침투할 때에도 그 둘을 결합하는 방식을 사용합니다. 무엇보다 심각한 것은, 한 번 루트킷에 감염되면 하드 디스크를 완전하게 포맷 후, 운영체제를 다시 설치하는 방법 외에는 치료가 불가하다는 점에 있습니다. 때문에 Kaspersky를 비롯한 모든 안티 바이러스에서 루트킷 "치료/삭제" 라는 기능은 존재하지 않습니다. 오로지 예방만이 가능할 뿐이며, 이러한 이유로 루트킷 관련 설정은 가급적 켜 두는 것이 좋습니다.

(4) 자녀 보호(Parental control) 기능 추가

윈도우 비스타를 사용 중인 유저라면, 제어판에서 자녀 보호라는 옵션을 본 적이 있을 겁니다. 각종 유해 사이트나 파일로부터 미성년자를 보호하기 위한 것으로, 이번에 업그레이드된 Kaspersky에서도 그와 유사한 기능이 부가되었습니다.
구동되는 방식은 간단합니다. 제한할 계정을 만들어 두고 특정 시간을 지정하면, 해당 시간동안 인터넷을 할 수 없게 만듭니다.

▲ 자녀 보호(Parental control) 기능

Kaspersky Internet Security 7.0에 부가된 자녀보호 기능은 가동시키면, 기본적으로 부모(Parent)와 자녀(Child) 두 가지가 프로필을 볼 수 있습니다. 여기서 Parent는 일종의 최고 관리자 개념이고, Child는 일반 사용자 개념에 비유할 수 있습니다. 리뷰일 현재 Kaspersky Internet Security 7.0 한글판은 배포되지 않고 있으며, 편의상 이 기능을 "자녀보호"로 지칭했습니다만, Child는 일반적인 모든 사용자를 의미합니다.

▲ 자녀 보호(Parental control) 기능 프로필

세부 설정에 들어가면 비로소 Child, Teenager, Parent 등 세 개의 프로필을 볼 수 있습니다. Child에서 일반적인 사용자들의 제한을 설정하고, Teenager에서 자녀의 사용을 제한할 수 있습니다. 마지막으로 Parent에서는 Child와 Teenager가 설정을 변경할 수 없도록 비밀번호를 지정합니다. 또한, Teenager 및 Parent 권한을 가진 사용자를 추가할 수도 있는데, 이 경우 윈도우에서 제공되는 사용자 계정과 연동합니다. 따라서 해당하는 윈도우 계정 이름을 추가하면, 그 계정으로 부팅 시 Teenager, 또는 Parent로 권한이 정해집니다.

▲ 자녀 보호(Parental control) 기능 프로필 설정

▲ 윈도우 계정과 연동되는 자녀 보호(Parental control) 기능