오늘날 현존하는 최고의 안티 바이러스를 하나 꼽으라면 많은 사람들이 꼭 한 번쯤은 지목할 만한 것이 바로 카스퍼스키(Kaspersky) 안티 바이러스입니다.
NOD32, AntiVir, AVG, BitDefender 등과 경쟁하는 카스퍼스키의 가장 큰 특징은 바로 역동성에 있습니다. 다른 안티 바이러스들은 버전이 올라갈 때마다, 인터페이스나 화면 레이아웃 변경 외에 그다지 큰 기능적 변화가 없는 데 반해, 카스퍼스키는 빌드 넘버가 하나 올라갈 때마다 새로운 기능으로 사용자들을 놀랍고 즐겁게 해 줍니다.
5.0에서 6.0으로 넘어갈 때에는 다른 안티 바이러스에서는 거의 채택하지 못한 HIPS 기반 사전 방역을 제공해 주더니, 6.0에서 7.0으로 넘어갈 때에는 한결 가벼워져서 그간의 무겁다는 악명을 다소 완화시켜 주었습니다.
마침내, 최근 업데이트 된 8.0(2009)에서는 보다 사용하기 쉬워진 사전 방역 설정을 제공해 주고, 그 무게감 역시 거의 180도 다르게 가벼워졌습니다. 아래 본문에서 다시 언급하겠지만 필자는 이제 카스퍼스키를 가벼운 백신으로 분류하려고 합니다.
강력하지만 가볍다는 모순된 두 개의 특성을 겸비하기에 이르렀고, 마침내는 이 분야의 강자 NOD32와 필적만하게 진화된 카스퍼스키 인터넷 시큐리티 2009(8.0)를 리뷰해 보겠습니다. (이하 KIS)

(1) 설치

대부분의 보안 프로그램들은 설치 과정이 조금 복잡합니다. 사용자의 시스템 제원, 상태, 소프트웨어 등의 상이한 주요 환경을 정의해 주어야 하기 때문입니다. 하지만 최근에는 이러한 번거로운 절차가 많이 줄어든 모습을 볼 수 있는데, 카스퍼스키의 신 버전 역시 같은 흐름에 있습니다.

가장 먼저 설치 타입을 지정하는 창을 만날 수 있습니다. KIS의 모든 설정값은 설치 후 옵션 창에서 수정이 가능하므로 일단은 가장 보편적인 셋팅을 정의하는 "Express installation"을 선택합니다.

▲ 설치 타입 지정

제품 코드 또는 키파일을 입력하여 라이선스를 획득하는 과정입니다. 실시간으로 라이선스를 구입하려면 맨 상단에 있는 "Active Online"을 선택하고, 만약 미리 준비한 키파일이 있으면 "Active Using the Key file"을 선택합니다.
체험판을 사용한 후 구입 여부를 결정하려면 필자와 같이 "Active trial version"을 선택하면 됩니다. 비록 시험판이라고는 하지만 30일간은 정식 버전과 아무런 차이도 없이 이용할 수 있습니다.

▲ 라이선스 획득

카스퍼스키 시큐러티 네트워크에 가입하여 각종 보안 뉴스와 정보를 받아 보거나, 내 시스템에서 검출된 멀웨어 샘플들를 전송하여 치료에 도움을 받음과 동시에 카스퍼스키의 DB 구축에 도움을 줄 것인가를 선택하는 단계입니다.
두 곳 모두 체크를 해제한다고 하여 어떤 제한이나 조건을 부과하지 않으므로 사용자 임의로 선택합니다.

▲ 카스퍼스키 시큐러티 네트워크 가입

모든 설치 과정이 끝났습니다. 이미 언급한 대로, 안티 바이러스치고는 상당히 간단한 설치 과정입니다. 재 부팅을 하면 카스퍼스키가 온전하게 설치될 것입니다.

▲ 설치 과정 종료

(2) 인터페이스

일부 유저들은 바로 전 버전인 7.0의 인터페이스에 적지 않게 실망한 모습을 보여주곤 했습니다. 필자 역시 마찬가지 였는데, 오히려 그 전 버전인 6.0보다 퇴보한 인상을 느꼈습니다.
하지만 이번 8.0(2009) 버전은 다릅니다. 여전히 볼벤 소리가 들리기도 하지만 대체적으로 아주 깔끔한 모습을 보여주고 있습니다. 여러 기능이 내장되다 보면 중구난방 식으로 어지러이 버튼, 아이콘, 설정창, 옵션 등이 널려있을 법 하지만 적절한 위치에, 시인성 높은 아이콘을 곁들여 잘 배치시키고 있어서 사용상의 직관성을 높여줍니다.

▲ KIS 2009 메인 화면 인터페이스 (모든 화면 플래시 동영상 보기 : Click )

눈에 보이는 인터페이스 이외에, 가장 주목할만한 것으로 사전 방역 옵션의 이원화입니다.
예전 버전의 경우 사전 방역 옵션 내에서 각종 응용 프로그램, 레지스트리 등의 규칙이나 모니터링 대상을 지정하는 방식이었지만, 이번 버전에서는 사전 방역에서는 큰 줄기만 설정하게 해 놓고, 세부적인 규칙, 레지스트리 모니터링 대상은 "Application Filtering"이라는 별도의 항목에서 리소스별, 장치별, 시스템 환경별로 구분되어 설정하게 해 두었습니다.
덕분에 보다 더 효율적으로 사전 방역 설정을 관리할 수 있음은 물론이고, 기존의 스캔 또는 방화벽과 분리된 듯한 느낌에서 벗어나 하나의 통합된 방어체제 구축이라는 인상을 심어주고 있습니다. (물론, 이는 감성적인 느낌일 뿐, 예전 버전에서도 사전 방역과 실시간 감시, 방화벽 등이 분리되어 있다는 의미는 아닙니다.)

▲ 사전 방역 옵션의 이원화

새로운 버전의 카스퍼스키에서는 무엇이 달라졌을까는 이번 리뷰의 핵심이 되는 것입니다. 과연 무엇이, 얼마나, 어떻게 달라졌는가를 알아야만 최신 버전으로 업데이트(구입)할 지 여부를 결정할 것이고, 그도 아니면 다른 안티 바이러스 프로그램으로 갈아탈 것인가를 고려하는 중요한 정보가 되기 때문입니다.
따라서 기존의 일부 리뷰어들처럼 단순한 장점 나열과 선전에 그치지 않고, 독자들이나 유저들이 구매를 고려하는데 직접 도움이 되도록 해 보자는 선택의 관점에서 오늘의 리뷰를 전개해 나갈 것입니다.

(1) 사전 방역 강화와 HIPS 패턴(Preset) 제공

세계 최고의 안티 바이러스라는 호칭이 무색하리만큼 카스퍼스키의 사전 방역(Retrospective/ProActive) 결과는 좋지 못했습니다. 아래 표는, 주기적으로 전 세계 유명 안티 바이러스의 테스트를 수행하여 그 결과를 배포하고 있는 오스트리아의 비영리 전문가 집단 AV-comparatives.org에서 최근(2008년 5월) 공개한 사전 방역 테스트 결과입니다.

▲ 2008년 5월. AV-comparatives 사전 방역 테스트

전 세계 유명 안티 바이러스 16개 중 카스퍼스키는 겨우 13번째 순위에 그치고 있는데, 이 정도면 가히 바닥이라 봐도 무방하리만큼 실망스러운 수준이 아닐 수 없습니다. 물론, 이러한 결과가 AV-comparatives.org에서만 한정되는 것은 아닙니다. VB100 Award, AV-Test 등의 몇몇 기관에서도 카스퍼스키에 대한 평가는 유사했으므로 그의 무능한 사전 방역은 충분히 검증(?)되었다고 봐도 무방합니다.

사전 방역 기능이 떨어지는 것은 절대 간과할 수 없습니다. 과거와는 다르게 최근에는 하루가 멀다 하고 신종 멀웨어가 생성, 유포되므로 기존에 구축해 놓은 데이터 베이스에만 의존하는 고전적인 방어는 한계가 있기 마련입니다.
그들 역시도 스스로의 사전방역 기능이 미약함을 직시하고 있었기에 버전 6.0부터 Proactive Defense라는 이름으로 HIPS 기반 사전 방역 기능을 제공하기 시작했으며, 이후 버전까지 계속 이어지고 있습니다.
하지만 여러 유저들로부터 실효성에 대한 지적을 제기 받은 바 있습니다. 가장 큰 이유는 PC에 그다지 능통하지 못한 일반적인 유저들이 사용하기에는 다소 벅찰 만큼 옵션 설정이 까다롭다는 것 때문입니다. 즉, 아래 그림과 같이 Proactive Defense(HIPS)를 활성화 시킨 상태에서 빈번하게 등장하는 팝업창과 응답요구에 적절히 반응하기 위해서는 네트워크는 물론 소프트웨어와 윈도우 전반에 대한 지식이 필수였습니다.

KIS 2009에서는 사전 방역에 대한 알고리즘적인 개선은 물론, 일반 유저들이 쉽게 다가갈 수 없는 HIPS의 단점을 해소하고자 새로운 대안을 제시하고 있는데, 바로 정형화된 패턴(Preset)의 제공입니다. 즉, 아래의 그림과 같이 각 소프트웨어의 특징에 맞게 Internet browsers, File Managers, Email Clients... 등으로 카테고리를 정하여 널리 쓰이는 주요 프로그램의 사전 방역 설정을 기본으로 제공하고 있습니다. (이러한 방식은 이미 이 분야에 가장 앞선 기술을 보유한 코모도 방화벽에서 선보인 바 있습니다).

다만, 이렇다고 하여 HIPS의 모든 문제점이 해소된 것은 아닙니다. HIPS 옵션을 어떻게 해야 하는가에 관한 "설정에 대한 어려움"만을 해소해 줬을 뿐, 해당 동작이 감지되었을 경우 사용자가 일일이 대응 방안을 선택해야 하는 문제는 여전히 남아 있습니다.
이를 위하여 준비한 것이 다음에 소개하는 상속 권한(Inheriting Rights) 모드의 신설입니다.

(2) 상속 권한(Inheriting Rights)

상속 권한이란 HIPS 분야의 선구자격인 코모도 방화벽에서 이미 선보인 바 있는 학습모드와 유사한 기능입니다. 단, 그것보다는 다소 제어 수준이 낮고, 그만큼 사용하기에는 좀 더 수월합니다.
이해를 돕기 위한 예를 들어보겠습니다. 2MB라는 악성코드 의심 프로세스가 윈도우의 시작 프로그램 항목에 미친소라는 스파이웨어의 등록을 시도하는 고전적인 상황을 가정합니다. 이 때 필요한 것이 흔히 알려진 시스템 구성 유틸리티(msconfig)입니다. 2MB가 미친소를 등록시키기 위해서는 msconfig에 후킹을 시도하여 권한을 얻은 다음 그것을 수정하는 일련의 단계를 생각할 수 있습니다. (물론 실제에서는 레지스트리를 수정하는 경우가 흔하지만 독자들의 이해를 돕기 위해 보다 널리 알려진 msconfig를 언급하였습니다.)
HIPS를 지원하지 않는 국산 백신과 같은 프로그램들은 2MB가 악성코드인지 확실하지 않기 때문에 그것이 msconfig에 후킹(침투)하여 설정을 바꾸는 것에 대해 어떤 대응도 하지 못하는 경우가 많습니다. 설사 탐지를 했더라도 이미 모든 설정이 변경되어 상황이 종료된 후의 뒷북에 그칠 수 있습니다. (이것이 바로 고전적인 DB의존 안티 바이러스의 단점이기도 합니다.) 다시 말해, 어찌어찌 하여 2MB는 삭제했지만 이미 윈도우 시작 프로그램은 변경되었고 미친소가 유입될 수도 있다는 말이 됩니다.

하지만, KIS 2009 또는 코모도를 사용하고 있다면 이제 더 이상 저런 방식의 바이러스 피해는 걱정하지 않아도 됩니다.
이 두 보안 프로그램은 활동하는 모든 프로세스에 일일이 권한을 부여합니다. 따라서 2MB라는 멀웨어 의심 프로세스가 검출되면 일단 차단(Block)이라는 권한을 기본으로 부여합니다. 반면, msconfig는 잘 알려진 윈도우 내장 프로그램이므로 허락(Allow)이라는 권한이 이미 부여되어 있을 것입니다.
이제 2MB가 msconfig에 침투하여 시작 프로그램 변경을 시도합니다. 앞에서 말한 바대로 msconfig에는 Allow라는 권한이 부여되어 있으므로 기존의 단순한 HIPS기반 프로그램은 2MB가 의도한 대로 미친소를 끌고 들어가게 할 수도 있습니다. 하지만 KIS 2009부터는 상속 권한이 그 어떤 것보다 우선적으로 적용됩니다. 비록 msconfig가 Allow 권한을 보유하고 있지만, 그것을 뒤에서 조종하는 패어런트(Parent) 프로세스(또는 상위 프로세스)인 2MB가 Block 권한을 보유하고 있으므로 msconfig는 Allow가 아니라 Block으로 권한이 정해지고 결국 미친소 유입 시도는 실패로 돌아갑니다.

▲ 기존 안티 바이러스[위]와 카스퍼스키의 상속(inherit) 모드[아래]의 차이

(3) Security Analyzer(보안 진단) 및 Browser Configuration(브라우저 진단)

필자가 이미 여러 리뷰와 개인 블로그에서 수 차례 밝힌 바 있듯이 윈도우 보안 패치와 개별 응용 프로그램의 업데이트는 강력한 안티 바이러스를 고르는 것보다 더 중요합니다. 안티 바이러스는 어디까지나 잘 짜여진 갑옷일 뿐, 실제 전투에서 승리하기 위해서는 평소 자신의 몸이 건강하고 잘 단련되어 있어야 하듯이, 직접적으로 멀웨어들의 표적이 되는 윈도우 운영체제와 개별 어플리케이션의 주기적인 보안 업데이트가 없다면 아무리 좋은 안티 바이러스를 사용해도 항상 위협에 노출되어 있기 마련입니다.
[참고] 백신이 중요할까? 보안 패치가 중요할까? 

상업적인 문제에 맞물려서 솔직히 그 동안 안티 바이러스 벤더들이 이 점을 제대로 소비자에게 알리지 않은 면이 있습니다만, 이번 KIS 버전에서는 그간 간과했던 중요 사항을 제대로 지적해 주고 있습니다.
Security Analyzer(보안 진단) 그리고 Browser Configuration(브라우저 진단)은 큰 범주에서는 같은 맥락의 새로운 기능입니다. 현재 내 시스템에 설치되어 있는 윈도우와 개별 응용 프로그램의 보안 패치 및 최신 버전 여부를 검사하여 업데이트가 되어 있지 않을 경우 사용자에게 알려줍니다.

▲ Security Analyzer(보안 진단)

별도의 기능으로 분류된 Browser Configuration은 Internet Explorer를 전문적으로 진단하는 도구입니다.

▲ Browser Configuration(브라우저 진단)

(4) 실시간 Network Monitor(네트워크 모니터) 및 Network Package Analysis(네트워크 패킷 분석)

방화벽이 내장되어 있는 KIS 2009에만 제공되는 Network Monitor을 통하여 현재 열려있는 포트, 연결 프로토콜, 인바운드/아웃바운드 용량, 그리고 응용 프로그램의 네트워크에 부여되어 있는 KIS 보안 설정 등을 실시간으로 파악할 수 있습니다.
예전에 어떤 독자가 질문하기를 어떤 프로그램이 어떤 프로토콜과, 어떤 포트를 사용 중인가를 간단하게 알 수가 없어서 별도의 도스 명령이나 프로그램을 사용하는 것이 불편하다고 했습니다. 하지만 이제는 이러한 단점이 다소 해결될 것으로 여겨집니다. KIS 자체에서 실시간으로 해당 정보들을 보여주기 때문에 일일이 파악할 수 있고, 이데이터를 바탕으로 하여 각각의 응용 프로그램마다 방화벽 정책(Network Policy)을 구현하는데 용이해졌기 때문입니다.

▲ 실시간 Network Monitor(네트워크 모니터)

Network Package Analysis (네트워크 패킷 분석)은 보다 진보된 기능으로, 파워 유저들에게는 매우 흥미있는 것이 아닐 수 없습니다. 전문적인 분석툴 만큼은 아니지만 적절하고 효과적으로 네트워크 패킷을 분석할 수 있습니다. 특히 보다 용이한 작업을 위하여 프로토콜 및 source, destination address 별로 필터링이 가능합니다.
이제 인스톨 과정에서 의심스러운 행태를 취하는 국산 모 프로그램 및 각종 애드웨어에 대하여 보다 능동적으로 대응할 수 있게 되었습니다.
Network Package Analysis를 활성화 하면 시스템 상태 또는 네트워크 연결 상태에 따라 인터넷이 느려지는 문제가 발생할 수 있으므로 기본적으로는 기능이 중지되어 있습니다. 일반 유저라면 그대로 사용하면 되고, 분석을 원하는 고급 유저라면 KIS 옵션 창에서 켜 줄 수 있습니다.

(5) Virtual keyboard (가상 키보드)

인터넷 뱅킹, 홈트레이드. 홈쇼핑 등이 일반화 되면서 신용카드 번호, 주민등록 번호 등과 같은 개인정보 전송이 흔해지고 있습니다. 이런 데이터를 입력하는 데에 필수적인 도구가 바로 키보드인지라 이미 오래 전부터 해커들은 키보드 해킹에 관심을 두고 있습니다.
때문에 웹상에는 다양한 종류의 키로거가 널려 있으며, 대부분이 안티 바이러스는 적절히 방어하고 있습니다. 하지만 문제는 기존의 소프트웨어적인 키로거가 아니라 하드웨어적인 키로거까지 등장했다는 데에 있습니다. 학교, 사무실, 게임방 등의 PC 뒤 USB포트에 몰래 꽂아 두면 그 어떤 안티 바이러스를 사용하던 무용지물이 됩니다.
KIS의 Virtual keyboard는 물리적인 키보드로 데이터가 전송되지 않으므로 다른 안티 바이러스보다 훨씬 더 근본적으로 키로거를 예방할 수 있습니다.

▲ Virtual keyboard (가상 키보드)

(6) Privacy Cleaner Wizard (개인정보 제거 마법사)

IE7, 더월드, 웹마, 오페라, 파이어폭스 등과 같은 브라우저에서 우리는 간단하게 방문한 사이트 기록을 지우거나 쿠키 파일을 삭제하는 기능을 경험한 바 있습니다.
KIS의 Privacy Cleaner Wizard는 이와 비슷한 기능을 합니다. 방금 내가 사용한 윈도우 운영체제 안에서 내 흔적을 지워버리는 역할을 담당하기 때문이며, 그 범위는 아래 표와 같습니다.
KIS 2009만 있으면, 이제 레지스트리 편집기를 열고, 윈도우 제어판을 열고, IE 옵션을 열고, "검색" 도구를 열어서 일일이 내가 남긴 자취를 찾아 삭제할 필요가 없습니다.

▲ Privacy Cleaner Wizard (개인정보 제거 마법사)

예전 버전과 마찬가지로 프로세스는 단 두 개만이 작동하고 있으며, 수치상으로 보이는 리소스 점유는 아래 그림처럼 적다고 평가할 수 있는 수준은 아닙니다. 대략 42MB가 넘는 메모리 점유입니다. (사용자의 시스템에 따라 차이가 있을 수 있습니다.)
하지만 체감하는 무게감은 나날이 개선되어 가고 있습니다. 6.0이후 7.0 그리고 이번 8.0까지 종전의 무겁다는 카스퍼스키의 악명을 떨쳐버려도 충분할 만큼 이제는 많이 가벼워졌습니다. 이쯤에서 필자는 KIS 8.0(2009)를 가벼운 안티 바이러스 범주에 포함시켜도 무방하다고 정의하겠습니다.
다른 경쟁 제품들과의 개인적 비교를 잠시 언급하자면, NOD32보다는 무겁지만 (솔직히 NOD32가 지나치게 가벼운 것이라고 해야 맞을 것입니다. ^^) 이번에 새로 출시된 AVG 8.0보다 훨씬 가벼워서 AVAST 정도의 무게감을 느낄 수 있을 것 같습니다.
최근의 평균적인 시스템에서는 아주 쾌적하게 사용할 수 있으며, 펜티엄4 급의 CPU와 512MB 메모리를 갖춘 사양 이상이라면 "카스퍼스키 때문에 시스템이 버벅인다." 라는 불평은 하지 못할 것입니다. 다만, 최초 윈도우 부팅 시 딜레이가 여전한 것은 다소 아쉽습니다.

▲ KIS 2009 리소스 점유 (Kaspersky는 이보다 더 가벼울 것입니다.)