ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • ESET NOD32 Antivirus 5.2 for Windows
    PC and Mac 2012. 8. 10. 16:35

    ESET NOD32 Antivirus 5 간단한 설정 변경


    ESET NOD32 Antivirus 5를 사용하기 시작 했습니다. 기본설정은 굳이 건드릴 필요가 없기는 합니다. 개인적 취향의 단지 몇 가지 부분에 대한 설정 변경이며 알고 있으면 좋은 점(?)을 설명한 글입니다. 참고하는 정도로 읽으시길 바랍니다.




    ESET NOD32 Antivirus 5 에서 고급설정(Advanced setup)에 들어가는 방법 두 가지 입니다. 두번째 방법이 좀 더 빠르겠죠. 첫번째 방법에서는 저기서 단축키 F5를 눌러도 고급설정(Advanced setup) 창이 나타납니다.


    바이러스 정의파일 업데이트 알림창 표시 안 하기



    ESET NOD32 Antivirus의 바이러스 정의파일이 업데이트 되면 알려주는 알림창을 보고 싶지 않다면 체크. 매번 정의파일 업데이트시 업데이트를 했다는 알림창을 보고 싶다면 그냥 놓아두면 됩니다. 매번 DB 업데이트 알림창을 볼 필요가 없기에 체크 했습니다.



    트레이 아이콘에 마우스를 가져다 대면 말풍선에 현재 설치 된 DB 정보를 쉽게 확인 할 수 있습니다 DB 버전 7378(2012년 8월 12일).



    Splash-Screen 시작시 표시 안 하기


    Windows 시작시 ESET NOD32 Antivirus가 실행되었다는 걸 보여주는 스크린이 뜹니다 매번 로봇 그림이 보고 싶으면 상관 없지만 아니라면 체크를 해제. 당연히 굳이 매번 볼 필요가 없기에 체크를 해제.



    ESET Live Grid(ESET Cloud) 정보 전송 설정



    이부분은 굳이 기본값에서 변경 할 필요는 없습니다 다만 설치 할 때 ESET Live Grid 기능 사용을 체크하지 않았다면 여기서 언제든 사용유무를 결정 할 수 있습니다. ESET Live Grid는 클라우드 평판검색 기능입니다. 이걸 체크 해제하면 이 기능을 사용 못 합니다 그러기에 당연히 사용하는 걸 추천.

    표시해 놓은 부분은 정보전송에 대한 부분입니다 체크를 하면 내 PC의 정보를 전송하지 않는거죠. ESET은 신뢰할만한 보안업체중에 하나이고 개인정보 수집은 안 하고 전송 된 정보는 익명성에 근거해서 필요한 데이터 구축에만 사용한다고 설명하고 있죠. 파일들의 신뢰성을 위해서는 많은 사용자가 참여하는 게 좋겠지만 이런 옵션도 있다는 걸 아는 것도 중요하겠죠.

     

    Windows의 업데이트 알림기능 설정



    이것 역시 굳이 기본값에서 변경 할 필요는 없습니다. 원래는 Critical Update(필수 업데이트)인데 경고알림을 보고 싶지 않다면 그림처럼 No updates(업데이트 않음)로 변경하면 됩니다. 이 기능은 Windows의 업데이트 알림기능인데 일반 사용자가 Windows 업데이트를 자동 업데이트로 해 놓았다면 이런 알림이 도리어 거슬릴 수도 있다고 생각 할 수 있습니다.

    더욱이 이 기능은 어디까지나 알림기능만 있지 업데이트를 직접 해주는 건 아닙니다. 새로운 업데이트가 있다는 걸 알려주면 Windows Update를 이용해서 업데이트하면 됩니다. 관점의 차이인데 요즘은 Windows의 보안업데이트가 굉장히 중요합니다. 자동 업데이트를 해두었다 해도 이런 알림기능으로 조금이라도 빨리 안다면 좀 더 능동적으로 신속히 업데이트 할 수 있기에 좋은 기능이라 봅니다. 일반 사용자에게는 백신에서 이런 알림을 주는 게 일반적인 업데이트 알림보다 더 어필한다고 봅니다. 일단 느낌이 다르니까요. 이런 접근법에 점수를 주고 싶군요. 하여튼 이것도 이리 조정 할 수 있는 옵션이 있다는 걸 알자는 정도죠.

    Windows 보안 업데이트를 포함해서 사용하는 소프트웨어는 항상 최신버전을 사용하는 게 중요합니다. Windows 보안 취약점외에 대표적으로 취약점 공격에 잘 사용되는 것들 입니다.

    - Java *
    * 대부분 일반 사용자가 Java를 사용 할 일이 없죠. 저도 사용하고 있지 않습니다 그런데 주변 PC 들을 보면 필요가 없는데도 일단 Java가 설치 되어져 있는 경우가 많더군요. 자바와 자바스크립을 혼동하는 분들도 있는데 이 둘은 관계가 없는 별개입니다. Java가 무언지 잘 모르는데 설치되어져 있다면 언인스톨하는 게 여러모로 좋습니다. 언인스톨 했는데 만약 필요하다면 그때 http://Java.com 에서 반드시 최신 버전으로 설치해서 이용하는 게 좋습니다.
    - Adobe Flash Player
    - Adobe PDF Reader


    URL 제외 설정

    노턴이나 카스퍼스키 처럼 웹방어, 필터링 기능이 ESET NOD32 Antivirus에도 있습니다. 특정 사이트를 차단하기도 하고 특정 요소를 악성코드로 진단 합니다. drive-by download 기법으로 악성코드가 유포되는 웹사이트는 방문만으로도 감염 되기에 요즘은 웹 진단/방어가 상당히 중요하죠. 때문에 될 수 있으면 제외 설정은 안 하는 게 좋습니다.

    그래도 대부분의 보안제품이 그러하듯 오진의 가능성과 DB 업데이트 시간차(당시에는 악성코드를 유포했지만 지금은 깨끗한 상태)가 있을 수 있습니다. 안전한 사이트라는 확신이 있거나 반드시 사용해야 한다면 제외 설정은 알아야 하겠죠.

    보통 차단이 된 사이트는 그럴만한 원인(악성코드 유포)이 있거나 있었다고 보면 맞습니다. 웬만하면 방문을 안 하는 걸 추천하지만 반드시 그 사이트를 방문해야 한다면 안전성 판단을 위해 VirusTotal 사이트에서 미리 검사해 보기 바랍니다.



    1. Advanced Setup -> Web and email -> Web access and antiphishing protection -> URL address management.
    2. 기본값이 List of addresses excluded from filtering 이미 선택 되어져 있습니다. Add 버튼 클릭. 주소 입력을 위한 창이 뜨죠.

    3. 제외 설정 예제 * 예제일뿐 밑에 주소를 추가는 하지 마시기 바랍니다.  

    *.*daum.net/*

    http://guestbook.blog.naver.com/guestbook/GuestBookWrite.nhn?blogId=*

    이 위의 주소 그대로 복사해서 붙이고 OK 버튼을 클릭하면 됩니다.
    '*'를 붙여주는 이유는 하부 내용을 일괄적으로 진단에서 제외시켜주기 위해서 입니다.


    오진(False positive)?

    <http://guestbook.blog.naver.com/guestbook/GuestBookWrite.nhn?blogId=*> 는 네이버 안부 게시판 제외를 위한 주소 입니다. ESET NOD32 Antivirus에서 악성코드(진단명: JS/Kryptuk.P trojan)를 진단했었습니다. *이 문제는 현재 해결 되었습니다.

    네이버 안부 게시판에 대한 정보를 제공한 블로그( ESET 보안 제품에서 네이버 안부게시판 차단시 조치 방법 )의 글 입니다. 글의 날짜가 2011.09.26 입니다 오래전이죠. 글을 읽어보면 프로그램 내에서 오진신고도 이미 했다는 걸 알 수 있습니다. 당시 ESET NOD32 Antivirus 5.0.93.7이고 현재는 2012년 8월이고 ESET NOD32 Antivirus 5.2.9.1 이니 소프트웨어 업데이트도 꽤 많이 되었지만 이때까지도 네이버 안부 게시판에 대해 이런 진단을 했었죠.



    먼저 언급하고 싶은 건 오진이나 의심진단의 경우 수정/조사를 확실하게 하고 싶으면 ESET Malware Response Team에 직접 email로 문의하는 게 빠르고 확실합니다. 다른 보안업체인 Symantec (노턴 인터넷 시큐리티)의 경우도 제품내에서 오진신고를 해도 반영이 안되고 자신들이 만든 양식으로 제출하거나 email을 보내야 가장 빠른시간내에 조사해서 수정하더군요.

    네이버 안부 게시판의 경우는 email을 보내 ESET Malware Response Team에서 답변을 받았습니다. 답변을 읽고나니 이 문제가 왜 오랜 기간 수정이 안된 것인지 알 수 있었죠. 조사 결과 해당 웹 페이지에 악성코드 제작자들이 보편적으로 사용하는 기법의 Obfuscated JavaScript (암호같은 코드로 보이는 자바스크립로 해석하겠습니다)이 포함되어져 있다는 거였습니다.

    물론 그런 기법이라고 반드시 악의적인 자바스크립이란 이야기는 아닙니다. 이건 ESET이 바라보는 보안에 대한 관점과 설계 그리고 정책상의 문제였습니다. Obfuscated JavaScript에 대해 어떤 생각을 가지고 있는지는 자신들의 ESET 블로그에도 글을 올렸더군요.

    [영문] ESET Threat Blog: Obfuscated JavaScript: Oh What a Tangled Web. 글을 읽어보니 오진의 가능성이 있어도 계속 유지할 생각인 모양입니다 (비난성 댓글이 있기도 합니다) 현재로는 네이버 때문에 수정 할 생각은 없어 보이더군요 어찌보면 네이버 문제라는 뉘앙스가 풍기기도? 결국 네이버가 제대로(?) 자바 스크립을 수정해야 한다는 게 ESET의 생각이라고 볼 수 있습니다. * 추가: 2012년 8월 29일 - 네이버에서 이 문제를 인지했다는 소식을 전해 들었습니다. 네이버측에서 자바스크립을 수정 할 모양인데 일정은 언제가 될지 아직 잡혀있지는 않다는군요. 10월 확인 결과 더 이상 네이버 안부게시판을 'JS/Kryptuk.P trojan'로 진단하지 않습니다.
     



    어제까지만 해도 cfile210.uf.daum.net 이 주소도 역시 차단 시키더군요. ESET Malware Response Team 에 리포트 하자 다음 업데이트에서 차단을 풀겠다고 답변 메일이 왔습니다. 지금은 이 주소 차단 알림이 나오지 않는걸로 보아서 DB 업데이트가 된 모양입니다. 응답도 빠르고 이런 부분은 만족스럽네요.



    *추가[8월 21일 2012년] image.melon.co.kr 차단에 대한 글을 보고 호기심에 멜론 사이트에 들어가 보았습니다. 무려 2011년 7월에 작성 된 글이더군요. 사이트를 방문하니 아직까지 이 주소를 차단(8월 20일 2012년 사이트 방문). ESET Malware Response Team 에 리포트 하자 차단 해제(DB 업데이트)에 관한 답변 메일이 왔고 현재 차단 알림이 나오지 않는 걸 확인 했습니다. 신고시 대응이 상당히 빠름에도 불구하고 언어 문제 때문에 차단 된 한국 사이트에 대한 신고가 많이 없는 듯해서 안타깝습니다. (이런 사이트 차단이 단순한 오진은 아닙니다. 앞에서도 언급했지만 차단 된 사이트들은 나름 다 이유가 있었기에 차단 된 경우가 대부분 입니다 특히 한국은 유명 언론 사이트를 비롯해서 잘 알려진 웹 사이트들도 해킹에 취약해서 악성코드 유포가 심합니다)



    *추가[8월 31일 2012년] kr.koreanair.com 국제선/국내선 항공권 예매로 들어가면 ESET NOD32 Antivirus 에서 HTML/ScrInject.B.Gen virus 를 진단 했었습니다. ESET Malware Response Team에 문의한 결과 현재 이 문제는 DB 업데이트(DB 7432)로 해결 되었습니다. ActiveX는 어차피 허용하지 않았기에 그 이상은 어찌될지 모르겠지만  해당 페이지에 들어가서 나오는 악성코드 진단 문제는 더 이상 없습니다. www.koreanair.com 과는 다르게 kr.koreanair.com 은 특정 웹 브라우저인 MS IE에 최적화 되어있고 ActiveX 설치를 강요하는 건 상당히 아쉬운 부분.



    한 번에 여러 알림창 닫기


    알림창 닫기 버튼 옆에 역삼감형 아이콘이 있습니다. 경우에 따라 알림창이 여러개 열렸을 때(알림창 숫자가 표기 됨) 한번에 모두 알림창을 닫아야 할 경우가 있죠. 손쉽게 한번에 닫는 명령어가 메뉴에 있습니다. 그리고 사용상 단 한가지 이해가 안 갔던 부분은 차단 된 URL address는 Log 기록에 없습니다. ESET측에 문의한 결과 결과적으로 차단되어서 어떤 악성코드나 악성프로그램이 다운로드 된 상태가 아니기에 기록에 남기지 않는다고 했지만 오진의 경우 체크도 불편하고 스크린 캡쳐를 해서 보내야한다는 점에서 개선 될 점이 아닐까 하는데 곧 나올 version 6 (현재 베타 테스트 중)에는 Web site log도 추가 될 거라는 이야기가 있더군요.

    * 대부분의 유료 백신 프로그램은 사용기간안에 소프트웨어 업그레이드가 포함되어져 있습니다. 새로운 버전(예: v5 -> v6)이 나오면 ESET도 당연히 무료 업그레이드 입니다.


    검역소(Quarantine)



    도구(Tools) -> 검역소(Quarantine) 바이러스 진단시 격리 시킨 파일을 관리하는 메뉴. 대부분의 백신이 바이러스를 진단했다고 완전히 삭제하는 게 아닙니다. 기본적으로 격리 시키죠. 오진에 의한 파일을 복구하려면 이곳에서 하면 됩니다. ESET은 오진률이 적은 백신중에 하나이기에 확실한 경우에만 복구하기 바랍니다.

     

    방화벽?

    ESET NOD32 Antivirus 는 웹감시와 네트워크 감시기능이 있습니다. 다만 방화벽 관리기능을 포함한 통합 인터넷 시큐리티 제품군(ESET Smart Security)이 아니기에 반드시 소프트웨어 방화벽을 사용하기 바랍니다. Windows 7에 내장 된 기본 방화벽의 경우 특별히 설정에 신경 쓸 필요도 없고 기본 기능과 성능이 좋습니다 (들어오고 나가는 연결 모두 관리 할 수 있습니다. 굳이 신경 쓸 필요도 없지만 말이죠) 기본적으로 On 상태이기도 하죠. 그래도 자신이 방화벽을 사용하는지는 확인 하시길.


    함께 사용하면 좋은 보안 제품은?

    ESET NOD32 Antivirus와 함께 사용하면 좋은 툴로는 Malwarebytes Anti-Malware (참고) 가 있습니다. 무료버전으로도 검사/치료가 모두 가능하기에 PC 사용자의 필수툴중에 하나라고 할까요. 단 반드시 실시간 감시기능이 없는 무료버전으로 사용해야 합니다.


    어떻게 생각하나?

    ESET은 세계적으로도 마켓 점유율(3위: 2012년 6월 기준)이 높고 여러 독립 테스트 기관에서 검증 된 좋은 성능의 백신입니다. Dennis Technology labs2012년 7월~9월 테스트 결과 [영문].

    특히 강점은 신뢰할만한 보호기능을 제공하면서도 오진율이 낮고 백신의 사용성이 좋습니다. 메모리 사용은 타 제품들 보다 특별히 적게 사용하는 건 아니지만 퍼포먼스는 훨씬 좋더군요. 즉 가볍고 빠릅니다. 시스템에 부하를 거의 느낄 수 없고 기능자체가 간결하고 심플한 게 장점. 웹브라우저에도 툴바 설치나 플러그인을 따로 설치하는 게 없죠. AV-ComparativesPerformance Tests (2012년 10월 테스트 결과 [영문]) 에서 최상위 그룹인 Advanced + 그룹에 속하고 그 안에서도 보통 1~2위를하는 제품일 정도로 실제 사용시 퍼포먼스는 뛰어납니다.

    현재 상당히 만족스럽게 ESET 제품을 사용중이명성만큼 신뢰할만한 성능을 보여주는 백신 중 하나는 맞습니다 다만 한국에서 사용자층이 낮기에 한국내에서 사용한다고 보았을 때 추천은? 글쎄요? 일본에서는 ESET의 평판도 좋고 점유율도 높은데 바로 옆 나라인 한국지원에 크게 신경 안 쓰는 건 아쉽군요. 물론 ESET 제품들은 한국어를 지원합니다. 오진이나 새로운 악성코드 샘플 신고에 빠르게 대응해주는 모습을 보여주지만 그건 어디까지나 직접 영문 이메일을 ESET Malware Response Team에 보냈을 때 이야기입니다. * How do I submit a virus, website or potential false positive sample to ESET's lab?


    기타 - 설치 과정

    1. 실시간 감시 기능이 있는 백신 프로그램은 PC에 1개 제품만 설치하고 사용하는게 원칙입니다. 따라서 ESET NOD32 Antivirus 설치 전에 사용하던 보안 제품이 있다면 반드시 제거해야 합니다.

    예를 들어 시만텍 노턴 인터넷 시큐리티를 설치해 사용했었다면 반드시 노턴 인터넷 시큐리티를 언인스톨하고 설치해야 합니다.(참고) 그런데 정상적인 방법으로 언인스톨을 해도 ESET NOD32 Antivirus 설치시 노턴 인터넷 시큐리티가 있어서 설치를 진행 할 수 없다는 이야기를 하는데 더욱이 전용 제거 프로그램인 Norton Removal Tool 사용 후에도 여전히 그런 메시지가 나올 수 있습니다.

    이유는 Norton Removal Tool를 사용해도 노턴 정보가 삭제되지 않고 레지스트리에 남아있기 때문입니다. 이 정보를 ESET이 노턴 제품이 설치 되어진 상태로 인식하기에 이런 경고 메시지가 나오는거죠. 정말 짜증나는 시만텍 입니다. 절대 깨끗하게 언인스톨을 지원하지 않는 겁니다.

    Norton Removal Tool 사용 후에 레지스트리를 검색해보니 Norton 관련 레지스트리들이 여전히 남아있더군요. 이 레지스트리 정보를 수동으로 일일히 찾아서 지워주면 ESET 설치시 더 이상 경고문이 나오지는 않습니다 다만 초보자가 레지스트리 정보를 지우는 건 그리 추천할만한 일이 아닙니다. 어차피 정상적으로 노턴 제품이 언인스톨 된 상태라면 남아있는 건 레지스트리 정보이기에 ESET 설치 시 경고를 무시하고 설치해도 괜찮습니다 단 Norton Removal Tool을 한번 실행은 해주어서 노턴 제품이 언인스톨 된 건 확인하고 ESET을 설치해서 사용하는 게 좋습니다.

    2. ESET NOD32 Antivirus 설치 시 2가지 항목을 물어 봅니다. ESET Live Grid사용자가 원치 않는 응용 프로그램 검색(PUP 진단: ESET은 Ask 툴바도 잡아주는 기특함을 보여줍니다)의 사용유무 입니다. 당연히 사용하는 게 보안을 위해 좋기에 체크를 하는 걸 추천합니다.


    Smart Scan 혹은 Scan 후 Log 파일에 Error 메시지?

    [예]

    pagefile.sys - error opening
    NTUSER.DAT  - error opening
    ...등등

    Smart Scan 후 검사 결과 로그 파일에 파일 이름들과 열지 못했다는 Error 메시지들이 있을 겁니다. 이건 걱정 할 게 없습니다. 정상적인 기록 내용 입니다. 대부분 Windows에서 OS 구동 중 사용하는 파일들이라
    검사 시 열지 못했다는 기록일 뿐입니다.


    Windows 8 지원?


    유료 백신 프로그램은 사용기간안에 소프트웨어 업그레이드가 포함되어져 있습니다. 새로운 버전(예: v5 -> v6)이 나오면 ESET도 당연히 무료 업그레이드 입니다. ESET은 기존 버전에서 각 파트별로 지속적인 모듈(module) 업데이트를 하죠.(ex: Antivirus and antispyware scanner module, Internet protection module 등등) v5에 사용되는 모듈들은 현재 Windows 8을 지원하고 있습니다.


    ESET 삭제 방법(uninstall)

    ESET 프로그램 폴더에 있는 언인스톨러를 사용하면 됩니다. Start(시작버튼) -> All Programs -> ESET -> Uninstall 선택하면 됩니다 삭제 과정이 끝나면 시스템 재시작. 밑에 폴더 확인/삭제 설명이 무슨 이야기인지 잘 모르는 분들은 앞에 언급한 과정만 끝내도 충분하고 제대로 삭제가 된 상태이기에 밑에 과정은 생략해도 됩니다.

    보통 모든 폴더를 삭제 과정에서 자동으로 삭제하지만 Windows Vista와 Windows 7 사용자는 밑에 두 폴더가 시스템 재시작 후 삭제 되었는지 확인해주면 좋습니다. 폴더(ESET)가 존재한다면 삭제. (반드시 언인스톨 과정이 성공적으로 끝나고 시스템 재시작 후) 숨긴 폴더로 지정되어져 있기에 Folder Options View 에서 Show hidden files and folders option 을 선택해야 보입니다.

    C:\Program Files\ESET
    C:\ProgramData\ESET

    * 삭제 과정에 문제가 있어 제대로 삭제가 안되는 경우 ESET에서 제공하는 전용 프로그램이 있습니다. 안전모드에서 실행해야 하고 사용하기가 조금 불편하기는 합니다 그러니 문제가 있는 경우에만 사용. Network Interface Card setting이 초기화 될 수 있기에 이 프로그램 사용전에 기존 network setting을 다른 곳에 기록하는 게 좋을 겁니다. 설명을 잘 읽고 따라해야 합니다. [영문] How do I manually uninstall my Windows ESET security product?



Designed by Tistory.