2014년, 마이크로소프트는 차세대 주력 운영체제인 윈도우 10을 2015년 7월 29일 수요일에 출시할 것이라고 발표했습니다. 이에 ESET 제품을 설치하여 사용 중인 사용자의 윈도우 10으로 원활한 업그레이드를 보장하기 위해 개인 또는 기업용 제품에 대한 업그레이드 안내를 드립니다.

ESET 개인용 제품 사용자의 윈도우 10 업그레이드 방법

주의 :     윈도우 10으로의 원활한 업그레이드를 위해 ESET 제품의 최신 버전을 설치하십시오.

윈도우 10과의 호환성을 위해 최신 버전의 ESET 보안 제품을 설치 / 업데이트하는 것을 강력히 권장합니다.

ESET 개인용 제품의 최신 버전 확인하기

ESET 개인용 제품과 윈도우 10의 호환성 :

업그레이드 시나리오

1.   현재 ESET Smart Security / ESET NOD32 Antivirus 7.x 이상을 사용 중이며, 윈도우 10으로 업그레이드를 원합니다. 어떻게 해야 하나요?

ESET 제품이 설치되어 있는 상태에서도 윈도우 10으로 업그레이드 할 수 있습니다. 업그레이드 후에도 ESET 제품과 관련한 모든 설정 및 라이센스 정보는 그대로 유지됩니다.

2.   현재 사용 중인 ESET 제품이 윈도우 10과 호환되지 않습니다 (ESET Smart Security 또는 ESET NOD32 Antivirus 6.0.316 또는 이전 버전 사용). 윈도우 10으로 업그레이드를 원하는데, 어떻게 해야 하나요?

윈도우 10로 업그레이드하기 전에 사용 중인 ESET 제품을 최신 버전으로 업그레이드하고 최신 바이러스 시그니처 데이터베이스가 적용되어 있는지 확인하는 것을 강력히 권고합니다.

호환되지 않는 버전의ESET 제품이 설치된 상태에서 윈도우 10으로 업그레이드를 수행한 경우, 최신 버전의 ESET 제품으로 업그레이드 하라는 메시지가 표시됩니다. 이러한 메세지가 나타난 경우에는 [OK]를 클릭하여 ESET 설치 마법사가 최신 버전의 ESET 제품을 설치하도록 합니다. 이 때, 이전 버전의 ESET 제품에 적용되었던 모든 설정 및 라이센스 정보가 자동으로 최신 버전의 ESET 제품으로 전달됩니다. 업그레이드 과정에서 문제가 발생하면, ESTC 기술지원팀에 문의하십시오.

ESET 기업용 제품 사용자의 윈도우 10 업그레이드 방법

주의 :     윈도우 10으로의 원활한 업그레이드를 위해 ESET 제품의 최신 버전을 설치하십시오.

윈도우 10과의 호환성을 위해 최신 버전의 ESET 보안 제품을 설치 / 업데이트하는 것을 강력히 권장합니다.

ESET 개인용 제품의 최신 버전 확인하기

ESET Endpoint 제품 버전 6.x를 최신 버전으로 업그레이드

ESET Endpoint 제품 버전 5.x를 최신 버전으로 업그레이드

ESET 기업용 제품과 윈도우 10의 호환성 :

* 윈도우 10으로 업그레이드 한 후 ESET 제품을 최신 버전으로 업그레이드 하라는 메시지가 표시됩니다.

** 설정 및 라이센스 정보를 유지하기 위해서는 윈도우 10으로 업그레이드 하기 전에 최신 버전의 ESET Endpoint 솔루션으로 업그레이드 해야 합니다.

업그레이드 시나리오

1.   현재ESET Endpoint Security / ESET Endpoint Antivirus 6.1.2227.x 이상 또는ESET Endpoint Security / ESET Endpoint Antivirus 5.0.2126 이상 5.x 빌드를 사용 중이며, 윈도우 10으로 업그레이드를 원합니다. 어떻게 해야 하나요?

ESET 제품이 설치되어 있는 상태에서도 윈도우 10으로 업그레이드 할 수 있습니다. 업그레이드 후에도 ESET 제품과 관련한 모든 설정 및 라이센스 정보는 그대로 유지됩니다.

2.   현재 사용 중인 ESET 제품이 윈도우 10과 호환되지 않습니다 (버전 6.1.2222.x, 6.1.2109.x, 4.2.76.1  이하 버전 사용). 윈도우 10으로 업그레이드를 원하는데, 어떻게 해야 하나요?

윈도우 10로 업그레이드하기 전에 사용 중인 ESET 제품을 최신 버전으로 업그레이드하고 최신 바이러스 시그니처 데이터베이스가 적용되어 있는지 확인하는 것을 강력히 권고합니다.

호환되지 않는 버전의ESET 제품이 설치된 상태에서 윈도우 10으로 업그레이드를 수행한 경우, 최신 버전의 ESET 제품으로 업그레이드 하라는 메시지가 표시됩니다. 이러한 메세지가 나타난 경우에는 [OK]를 클릭하여 ESET 설치 마법사가 최신 버전의 ESET 제품을 설치하도록 합니다. 이 때, 이전 버전의 ESET 제품에 적용되었던 모든 설정 및 라이센스 정보가 자동으로 최신 버전의 ESET 제품으로 전달됩니다. 업그레이드 과정에서 문제가 발생하면, ESTC 기술지원팀에 문의하십시오.

1.   ERA 6의 새로운 점이 무엇인가요?

ERA 6는, 이전 버전의 ERA와 비교할 때 새로운 아키텍처를 사용하고 있습니다. ESET Remote Administrator 서버는 여전히 클라이언트 컴퓨터를 관리하는데 사용되는 통신의 중앙 지점으로서 동작합니다만, ERA 6는  기업 마다의 특정 환경에 가장 적합한 솔루션을 만들어 배포할 수 있는 다수의 새로운 컴포넌트를 포함하고  있습니다.

다음은 가장 중요한 새로운 컴포넌트들을 소개하고 있습니다.

새로운 서버와 프록시 기반 구조

ESET Remote Administrator 6의 제품 아키텍처 접근 방식을 완전히 변경했습니다. 최대 1,000 클라이언트까지의 소규모 기업 환경에서는 한 대의 시스템 만으로도 충분합니다. ESET Remote Administrator   자체와 동일한 서버에 ESET Remote Administrator 데이터베이스가 설치될 수 있도록 하기 위해 세밀하게 튜닝되어 있으며, ESET Remote Administrator 서버 외에도, ESET Remote Administrator 콘솔을 사용하기 위한 웹 서버도 동일한 시스템에 설치됩니다.

·         서버 설치 – ERA 서버는 윈도우 시스템은 물론, 리눅스나 가상 어플라이언스로도 설치가 가능합니다. 단, 호환성에 따른 원활한 설치를 위해서는 윈도우 시스템을 권장합니다.

·         웹 콘솔 -  이전 버전에 익숙한 사용자들은 전통적인 ESET Remote Administrator 콘솔이 ERA 웹 콘솔로 대체된 것을 알 수 있을 것입니다. 온라인 인터페이스를 지원함으로써, ERA 6는 거의 모든 곳에서 ESET 제품을 관리할 수 있습니다. 즉, 웹 콘솔은 클라이언트를 관리하는데 사용되는 기본 인터페이스이며, 이전 버전의 ERA와 비교하여 다양한 기능들을 수행하는데 사용될 수 있습니다.

·         ERA 에이전트 – ERA 에이전트는 ERA 서버와 통신하는 모든 클라이언트 컴퓨터에 설치되어 있어야 합니다. ERA 에이전트는 서버와의 통신을 통해 새로운 위협에 가장 빠르게 대응하도록 정책과 관련한 정보를 클라이언트에 저장합니다.

·         Rogue Detection Sensor (RD 센서) - RD 센서는 ERA 서버가 실행되는 동안, 네트워크 상에 보호되지 않은 클라이언트 컴퓨터를 감지하는 있도록 ERA 서버와 동일한 컴퓨터에 설치됩니다. 이를 이용하면, ERA 웹 콘솔 상에서 보호되지 않은 클라이언트 컴퓨터를 쉽게 찾아 ERA 서버에 추가할 수 있습니다.

·         ERA 프록시 서버 – ERA 프록시 서버는, ERA 서버에 클라이언트 컴퓨터의 부하를 분산하기 위해 대규모 네트워크에서 사용할 수 있습니다.

·         ERA HTTP 프록시 – ERA HTTP 프록시는 동일 네트워크 상에서 업데이트 또는 기타 설치 파일(예를 들어, ESET 제품 설치 파일)들을 포함하는 컴퓨터입니다. 이는 이전 버전의 ERA에서 사용되던 미러 서버에 와 유사합니다.

2.   ERA 6로 업그레이드 하려면 추가 비용을 지불해야 하나요?

아니오, 유효한 기업용 제품 라이센스를 보유한 ESET 사용자는 추가 비용 없이 ERA 6로 업그레이드 할 수 있습니다.

3.   반드시 ERA 6로 업그레이드를 해야 하나요?

ERA 6는 이전 버전과 비교하여 완전히 새로운 아키텍처를 사용하기 때문에 기존의 ERA 사용자는 자신의 네트워크 내 모든 클라이언트를 업그레이드 할 준비가 되어 있는지, 업그레이드 프로세스가 업무의 손실로 이어질 수 있는지 확인해야 합니다, 따라서, 업그레이드를 결정하기 전에 다음 사항을 고려하시기 바랍니다.

·         ESET Remote Administrator 6는 ESET Endpoint 버전 6 제품 사용에 최적화된 새로운 구성 레이아웃을 사용합니다. ERA 6를 사용하여 ESET Endpoint 버전 5 제품(이전 ESET 기업용 제품)을 관리 할 수도 있지만 모든 버전에 공통적으로 적용되는 일반 설정만 관리가 가능합니다. 이러한 이유로, ERA 6로의 업그레이드를 고려할 경우, 클라이언트 또한 ESET Endpoint 버전 6 제품으로 업그레이드 하시길 강력하게 권고합니다.

·         Active Directory로부터 동기화된 파라미터 그룹, 스태틱 그룹의 이전 버전의 ERA작업과 정책은, 구성 레이아웃이 변경되었기 때문에 ERA 6로 마이그레이션 할 수 없습니다. ERA 6로 업그레이드 후에 참조할 수 있도록 이전 버전의 ERA에서 사용된 정책 설정을 기록해 놓으시기를 강력하게 권고합니다.

4.   ERA 6와 함께 ESET Endpoint 버전 5 및 기타 ESET 기업용 제품을 사용할 수 있나요?

ERA 6를 이용하여 이들 제품을 관리할 수 있습니다만, 모든 버전에서 공통적인 설정만 가능합니다. 즉, 버전 6 제품에서 사용할 수 있는 새로운 설정은 이전 제품에 적용되지 않습니다. 업그레이드하기 전에 설정을 기록하고,  업그레이드한 후에 기록된 설정을 참조하여 다시 적용해야 합니다.

5.   ERA 6로 업그레이드시 기존의 정책 설정이 그대로 유지되나요?

이전 버전의 ESET Endpoint 제품을 ERA 6에서도 관리할 수 있지만, 구성 레이아웃의 많은 변화로 인해 이전 버전의 ERA 정책이 그대로 ERA 6에 반영되지는 않습니다. 따라서, ERA 6로 업그레이드 할 때는 이전 버전의 ERA에서 사용되었던 정책 설정을, 업그레이드 후에 참조하여 재설정할 수 있도록 반드시 기록해 놓아야 합니다.

6.   ERA 6를 사용하기 위한 시스템 요구 사항과 운영체제는 무엇인가요?

시스템 요구 사항 및 지원되는 운영체제에 대한 자세한 정보를 보려면 해당 링크를 클릭하십시오.

·         ESET Remote Administrator 서버 하드웨어 요구 사항

·         ESET Remote Administrator 웹 콘솔 지원 웹 브라우저

·         지원되는 윈도우 운영체제

·         지원되는 맥 운영체제

·         지원되는 리눅스 운영제체

7.   Microsoft Access Database를 ERA 6에서 사용할 수 있나요?

아니오. ERA 6는 Microsoft SQL Server 2008 R2이상 및 MySQL을 5.5 이상 만을 지원합니다. 서버 또는 프록시를 설치할 때, 상기 데이터베이스 서버 중 사용할 서버를 지정할 수 있습니다.

8.   현재 데이터베이스 시스템을 보유하고 있지 않아도 ERA 6를 사용할 수 있나요?

네, 가능합니다. – ERA 6 설치 패키지는 Microsoft SQL Server Express를 포함하고 있습니다. ERA 6 기본 설정을 사용하도록 구성될 경우 새로운 SQL Express 데이터베이스를 설치하는 옵션이 있습니다. Microsoft SQL Server Express는 10GB의 크기 제한이 있습니다.

ESET Remote Administrator를 설치하는 동안, 도메인 컨트롤러에 Microsoft SQL Server Express를 설치할 수 없습니다. 이런 경우는 Microsoft SBS를 사용할 때 발생할 가능성이 높습니다. Microsoft SBS 사용하는 경우 에는, 다른 서버에 ESET ESET Remote Administrator를 설치하거나, 설치하는 동안 SQL Server Express 구성 요소를 선택하지 않는 것을 권장합니다.(이 경우 ERA 데이터베이스를 동작시키기 위해 기존 사용 중인 SQL Server 또는 MySQL이 요구됩니다.)

9.   ERA 6 설치 중, 사용할 SQL 서버 포트 번호를 알 수 있나요?

SQL 서버가 사용하는 포트 번호를 확인할 수 있는 가장 정확한 방법은, SQL 구성 관리자를 열고 SQL 서버 네트워크 구성에서 TCP/IP 속성을 검색하는 것입니다.

10. SQL 서버 설치 중 메세지를 모두 이해하기 어렵습니다. 설치에 10분 이상 걸리는데 정상인가요?

정상입니다. 시스템 구성에 따라 SQL 서버 설치는 1 시간까지 걸릴 수도 있습니다.

11. 기존 사용 중인 SQL 데이터베이스를 사용하여 설치 중, "데이터베이스의 거대 데이터 블록을 저장할 수 없습니다. 먼저 데이터베이스 서버를 구성하십시오."라는 메세지가 나타납니다.

이 문제를 해결하려면, MySQL의 설정 파일을 찾습니다(리눅스에서는 my.ini, 윈도우에서는 my.cnf). 텍스트 편집기를 사용하여 이 파일을 열고 [mysqld] 섹션을 찾습니다. 이 섹션에 max_allowed_packet=33M를 추가합니다. 성공적인 설치를 위해서는 입력값이 33M 이상이어야 합니다.

12. 설치 프로그램이 Microsoft .NET Framework 3.5가 설치되어 있어야 한다는 메세지를 출력합니다. 하지만 제공 된 링크를 사용하여Microsoft .NET Framework 3.5를 윈도우 서버 2012에 설치할 수 없습니다.

설치시 제공되는 링크는 윈도우 서버 2012의 보안 정책으로 인해 사용할 수 없습니다. 대신에, 역할 및 기능 마법사를 사용하여 .NET 3.5을 설치할 수 있습니다.

·         Microsoft Windows Server 2012에 .NET framework 설치 방법

·         Microsoft Windows Server 2008에 .NET framework 설치 방법

13. ERA 6를 운영하려는 시스템에 이미Microsoft .NET Framework 4.5가 설치되어 있습니다. Microsoft .NET Framework 3.5를 추가로 설치해야 하나요?

네, Microsoft .NET framework 4.5는 이전 버전과 호환되지 않기 때문에 .NET 3.5을 추가로 설치해야 합니다.

14. 가상 환경의 시스템에도 ERA 6 설치가 가능한가요?

네, ERA 6는 VMware, Hyper-V 및 Virtualbox 등의 버추얼 가상화 환경과 호환됩니다. 사용 중인 가상화 환경에서 ERA 서버와 ERA 프록시를 설치하기 위해 Open Virtualization Appliance (OVA) 파일을 사용할 수 있습니다.

15. ERA Agent를 수동으로 설치해야만 하나요?

아니오, ERA 6는 네트워크에 있는 컴퓨터의 위치를 탐색한 후 원격으로 ERA 에이전트를 배포할 수 있습니다.  기술 자료 문서를 참조하거나 ESET Remote Administrator 6 기본 설치 안내서를 참조하십시오.

16. ERA 프록시 서버를 배포하기 위해 ERA 에이전트를 이용할 수 있나요? 

아니오, ERA 프록시 서버는 수동으로 설치해야 합니다. 그러나, 이메일을 사용하여 대상 클라이언트로 설치 프로그램을 배포할 수 있습니다.

ESET Internet Security 설치 방법

이셋코리아 쇼핑몰에서 구입한 ESET Internet Security를 다운로드 후 설치하기 위해서는 다음의 순서에 따라 설치를 진행하십시오.

제품을 설치하는 동안 문제가 발생한 경우에는 (주)이셋코리아 기술지원팀으로 문의하여 주시기 바랍니다.

I.타사 안티바이러스 소프트웨어 삭제

ESET 제품을 설치하기 전에 이미 설치된 타사 안티바이러스 소프트웨어가 존재하면 이를 반드시 삭제해야 합니다. 

삭제 작업이 완료되면, 아래의 II장으로 이동하여 ESET 제품 설치를 계속합니다.

II.ESET Internet Security 설치 프로그램 다운로드

제품 구입 후 이셋코리아로부터 전달받은 이메일 내의 다운로드 링크를 클릭합니다. 다운로드를 시작하기 전에 다운로드된 파일이 저장될 경로를 기업하시기 바랍니다. 지정된 위치로 설치 프로그램의 다운로드가 완료되면 해당 파일을 압축 해제합니다. 

압축 해제된 폴더에서 사용 중인 윈도우 운영체제에 따라 다음의 파일을 두번 클릭하여 설치를 시작합니다.
•32비트 윈도우 운영체제용 설치 파일 : eis_nt32_kor.exe
•64비트 윈도우 운영체제용 설치 파일 : eis_nt64_kor.exe

이 후 III장으로 이동하여 설치를 계속합니다.
 

III.ESET Internet Security 설치

1.ESET Internet Security 설치 화면에서 [계속]을 클릭합니다.

2.최종 사용자 사용권 계약 창의 사용권 계약 내용을 잘 읽어 보신 후, 계속를 계속하시려면 [동의함]을 클릭합니다.

3.ESET LiveGrid®를 활성화 할지 선택합니다. 최고 수준의 보호 성능을 위해서는 이 기능을 활성화할 것을 권장합니다. 

사용자가 원치 않는 애플리케이션 검색을 활성화할 지 선택합니다 (사용자가 원치 않는 애플리케이션이란, 보안 상의 위협이 되지는 않지만 광고 등을 포함하고 있어 다수의 사용자들이 원치 않는 애플리케이션을 의미). 

이 후 [설치]를 클릭하여 설치를 계속합니다.

4.설치 과정이 정상적으로 수행되면 설치 성공 창을 볼 수 있습니다. [완료]를 클릭하여 설치를 완료하십시오.

5.제품 활성화 창이 자동으로 열립니다. 제품 라이선스 키를 입력하고 [활성화]를 클릭합니다.

6.이메일 주소 및 기타 정보 등을 입력하고 [활성화]를 클릭하여 제품의 활성화를 완료합니다.

7.제품 활성화 키를 비롯한 관련 정보를 제대로 입력 한 경우에는 활성화 성공 화면을 볼 수 있습니다. 

정품 인증을 완료하려면 [완료]를 클릭합니다. 

만약, 정품 인증에 실패한 경우에는 ESET으로부터 전달받은 정품 인증 키를 다시 한번 확인하시고 정확히 입력하십시오.

ESET Smart Security / ESET NOD32 Antivirus버전 8을 사용하는 일부 고객으로부터 GUI 유실 또는 "커널과 통신 오류" 메시지가 발생한다는 보고가 있습니다.

해결 방법 :

1. 운영체제를 다시 시작합니다.

    문제가 계속되면 2번으로 이동합니다.
 
2. 안전모드에서 운영체제를 시작합니다.

    아래의 폴더에 해당 파일이 존재하는 경우, 파일을 삭제 :
       C:\Program Files\ESET\ESET NOD32 Antivirus\em019_32.dat
       C:\Program Files\ESET\ESET NOD32 Antivirus\em019_64.dat

   또는 :
       C:\Program Files\ESET\ESET Smart Security\em019_32.dat
       C:\Program Files\ESET\ESET Smart Security\em019_64.dat

   일반모드로 운영체제를 다시 시작합니다.

   문제가 계속되면 3번으로 이동합니다.
 
3. 안전모드에서 운영체제를 시작한 후 ESET Uninstaller를 사용하여 ESET 제품을 수동으로 삭제합니다.

   삭제가 완료되면 일  반모드로 운영체제를 다시 시작한 후 표준 방식으로 ESET Smart Security 또는

   ESET NOD32 Antivirus를 설치합니다.

                                                    ESET Uninstaller 다운로드

이후에도 문제가 ESTC 기술지원팀으로 문의하시기 바랍니다.

제품 사용에 불편을 드려 죄송합니다.

수동 메모리 덤프 방법

ESET 제품 사용자의 원활한 기술지원을 위해 사용자 PC의 메모리 덤프가 필요한 경우가 있습니다.

ESTC 기술지원팀으로부터 메모리 덤프를 요청받은 경우, 다음과 같은 순서에 따라 메모리 덤프를 수행하고 생성된 메모리 덤프 파일을 ESTC 기술지원팀으로 보내주시기 바랍니다.

1.메모리 덤프 설정
  1) 윈도우 키     + R을 눌러 실행 창을 불러온 후 열기 필드에 Control system을 입력하고 확인을 클릭합니다.

  2) 고급 시스템 설정을 클릭합니다.

  3) 고급 탭을 선택하고 시작 및 복구 섹션에서 설정을 클릭합니다.

  4) 덤프 파일: 시작 및 복구 창 섹션에서는 새로운 메모리 덤프 파일이 저장되는 위치를 설정할 수 있습니다. %SystemRoot% 문자열은 마이크로소프트 윈도우 설치의 루트 디렉토리를 의미하는 마이크로소프트 윈도우 변수이며, 일반적으로 기본값은 C:\Windows입니다.

디버깅 정보 쓰기 섹션에서 메모리 덤프의 형식을 선택할 수 있는데,  전체 메모리 덤프를 권장합니다.

  5) 계속 진행하기 전에 이 웹 페이지를 즐겨 찾기에 추가하신 후, 확인을 클릭하여 컴퓨터를 다시 시작합니다. 컴퓨터가 재시작되면 2. 수동 메모리 덤프 만들기로 이동하여 작업을 계속하십시오.

2.수동 메모리 덤프 만들기

레지스트리 편집시 주의 사항: 아래에서 지정한 시스템 레지스트리만 편집하시기 바랍니다. 불필요한 레지스트리 값 변경은 시스템 성능에 부정적인 영향을 미칠 수 있습니다.

  1) 윈도우 키   + R을 눌러 실행 창을 불러온 후 열기 필드에 regedit를 입력하고 확인을 클릭합니다.
사용자 계정 컨트롤 창이 나타날 경우에는 예를 클릭합니다.

  2) 레지스트리 편집기 창에서HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Services -> kbdhid -> Parameters를 선택합니다.

  3) 마우스 오른쪽 버튼을 클릭하고, 사용 중인 운영체제에 맞게 새로 만들기   DWORD 값 또는 DWORD (32비트) 값을 선택합니다.

  4) CrashOnCtrlScroll의 이름으로 키를 추가한 후, 추가된 CrashOnCtrlScrol 키를 더블  클릭하고 값 데이터 필드에 1을 입력한 후 확인을 클릭합니다.

  5) 레지스트리 편집기를 종료하고 컵퓨터를 다시 시작합니다.

  6) 컴퓨터가 다시 시작되면 키보드의 오른쪽 Ctrl 키를 누른 상태에서 Scroll Lock 키 (대부분의 키보드 오른쪽 상단에 위치) 를 두 번 누르십시오.
윈도우가 강제로 크래쉬 다이얼로그를 실행하고 메모리 덤프가 생성됩니다. 이 후 컴퓨터가 다시 시작될 것입니다.

  7) 컴퓨터가 시작되면, 시스템의 루트 디렉토리 (기본적으로 C:\Windows와)로 이동하여  MEMORY.DMP라는 이름의 파일을 찾습니다. 대용량 이메일 등을 이용하여 메모리 덤프 파일을ESTC 기술지원팀으로 전송하시면 분석 후 결과를 알려드립니다. 파일 전송에 어려움이 있으실 때는 ESTC 기술지원팀으로 전화를 주시기 바랍니다.

악성코드 탐지 방법과 ESET ThreatSense 엔진

 ESET 보안 제품의 핵심이 되는 ESET ThreatSense엔진은 다음 그림과 같이 4개의 엔진 모듈로 구성되며, 이들 엔진 모듈이 상호 협력하여 동작함으로써 각종 악성코드 진단과 관련한 ESET 제품의 우수한 성능과 진단의 정확성을 이끌어 내게 됩니다. 

 1.    악성코드 시그니쳐 (Malware Signatures)

악성코드 역사와 함께 해 온 전통적인 진단 방법입니다. 새로운 악성코드가 발견되면, 이에 대한 고유의 시그니쳐를 추출한 후, 추출된 악성코드 시그니쳐를 데이터베이스에 저장합니다. 이 후 악성코드 검사 대상 파일의 시그니쳐와 데이터베이스에 저장된 시그니쳐를 비교한 후 두 시그니쳐가 동일한 경우에는 악성코드로 진단하게 됩니다.

이러한 방법의 장점은, 일단 악성코드 시그니쳐 데이터베이스에 시그니쳐가 등록된 악성코드에 대해서는 매우 빠르고 정확하게 진단이 가능하다는 것입니다.

반면에, 이 방법은 오직 이미 알려진 악성코드의 시그니쳐가 확보된 경우에만 효과가 있다는 단점이 있습니다. 따라서, 안티바이러스 제작사는 새로운 악성코드 발생에 끊임없이 주목해야만 하며, 새로운 악성코드 등장시 해당 샘플을 신속하게 입수하고 분석하여 시그니쳐를 등록해야 하기 때문에 많은 시간과 노력이 필요할 뿐더러, 많은 노력을 기울여도 실시간 대응에는 한계가 있을 수 밖에 없습니다. 이러한 단점으로 인해, 새롭게 제작된 악성코드나 기존 악성코드의 변종에 대한 대응력이 매우 취약할 수 밖에 없으며, 이러한 단점을 극복하기 위해 다음에서 말씀드릴 고급 휴리스틱 방법을 함께 사용하게 됩니다.

2.    고급 휴리스틱 (Advanced Heuristics)

a.    일반화된 시그니쳐 (Generic Signatures)

앞서 말씀드린 악성코드 시그니쳐를 일반화시킴으로써 변종 악성코드와 유사 악성코드를 진단할 수 있도록 한 방법입니다. 즉, 특정 악성코드와 이에 대한 다양한 변종 악성코드 및 유사 악성코드가 포함하는 공통 시그니쳐를 추출하여 데이터베이스에 추가함으로써, 하나의 하나의 악성코드 시그니쳐만으로 여러 종류의 변종 및 유사 악성코드에 대응할 수 있습니다.

b.    에뮬레이션 (Emulation) 

동적 분석 (Dynamic Analysis) 방법이라고도 불리며, 코드를 격리된 실행 공간에서  실제로 실행시킨 후  동작을 모니터링하여 악성 행위 여부를 검사하는 방법입니다. 다양한 악성 행위를 데이터베이스에 등록한 후, 등록된 악성 행위와 동일한 행위 발견시 악성코드로 판단하는 방법이 주로 사용되지만, 기업의 보안 정책에 따라, 다양한 정상 행위를 데이터베이스에 등록한 후, 등록된 정상 행위와 다른 행위 발견시 악성코드로 판단하는 방법이 사용되기도 합니다. 전자를 “오용 탐지 (Misuse Detection)”, 후자를 “비정상 행위 탐지 (Anomaly Detection)” 라 합니다.

코드 에뮬레이션의 장점은, 알려지지 않은 신종 악성코드나 악성 행위 진단에 매우 효율적이라는 것입니다. 각각의 악성코드 시그니쳐를 등록하지 않아도 되기 때문이죠. 다만, 행위를 기반으로 진단을 하기 때문에 오진율이 높고(편의점에서 칼을 구입한다고 해서 모두 범죄에 이용하지는 않으니까요), 격리된 실행 공간에서  코드를 실행해야 하기 때문에 시스템 리소스를 많이 사용하게 된다는 단점이 있습니다. 

c.    코드 분석 (Code Analysis) 

정적 분석 (Static Analysis) 방법이라고도 불리며, 코드를 역 어셈블하거나 역 분석한 후 해당 코드 실행 시 어떤 행위가 일어날지를 추측하여 악성코드 여부를 판단하는 방법입니다. 보통, 실행 코드를 역 분석하면 시스템 호출 정보나 라이브러리 호출 정보 등을 알 수 있는데, 이러한 정보를 기반으로 행위를 추측할 수 있습니다. 물론 이러한 정보를 인위적으로 숨기거나 우회하는 경우에는 악성코드 진단이 어려워질 수도 있습니다. 

코드 분석 또한 코드 에뮬레이션과 마찬가지로, 알려지지 않은 신종 악성코드 진단에 효율적으로 대응할 수 있다는 장점이 있지만, 행위를 추측하여 진단을 하기 때문에 오진율이 높고, 코드를 역 분석해야 하기 때문에 시스템 리소스를 많이 사용하게 된다는 단점이 있습니다. 

 결국, 어느 한가지 방법에만 의존해서는 정확한 악성코드 진단에 한계가 있으며, 악성코드 감염 가능성 및 진단율, 시스템의 리소스 점유율, 사용의 편의성 등 다양한 조건을 고려한 최적의 진단 방법을 선택적으로 사용하는 것이 안티바이러스 솔루션의 기술력을 나타낸다고 볼 수 있습니다. 

False Positive(오탐지율, 오진율) 

and False Negative(미탐지율)

False Positive(오탐지율)와 False Negative(미탐지율)라는 개념에 대해 알아보겠습니다. 간단히 이야기 하면, 앞에 것은 "병에 걸리지 않았는데 병에 걸렸다고 진단하는 오류"를 가리키며, 후자는 "병에 걸렸는데 병에 걸리지 않았다고 진단하는 오류"를 가리킵니다. 안티바이러스 프로그램의 경우, 악성코드인데도 정상코드라고 보고하면 False Negative가 되는 것입니다.

통계 용어로 False Positive는 "제 1종의 오류"로 False Negative는 "제 2종의 오류"라 합니다. 용어들이 말 장난하는 것 같아서 헷갈리기 딱 좋지만, 지금까지 말한 내용을 간단하게 도표로 정리하면 다음과 같습니다:

여기서 이제 실제 숫자를 가지고 이야기를 해 보기로 합니다. 어떤 악성코드가 있는데 안티바이러스 프로그램을 사용하지 않을 경우, 이 악성코드에 감염될 확률이 5/1000 = 0.5% 라고 하죠. 예를 들어, 어떤 안티바이러스 프로그램 E가 이 악성코드를 진단하는 정확도가 "악성코드일 때 정확히 진단할 확률(양성판정)이 95%", "악성코드가 아닐 때 정상코드라고 정확히 판정할 확률(음성판정)이 99%"라고 합니다. 그러나 우리가 악성코드에 감염되었는지 아직 모르므로 95%와 99%의 수치는 큰 의미를 가지지 못합니다. 대신에, "양성판정을 받았을 때, 실제 악성코드일 확률"이 결국 이 안티바이러스 프로그램의 정확도를 말해줍니다.

간단하게 조건부 확률 표기법으로 표현하면:

이며, A가 일어났다는 조건하에 B가 일어날 확률을 뜻합니다.

이것을 바탕으로 문제에 주어진 값들을 수식으로 표현해 보겠습니다. 먼저, 사건 D는 악성코드에 감염되는 사건을, P는 양성 판정, N는 음성 판정을 가리킵니다.

즉, "악성코드에 감염되었다는 조건하에 양성 판정을 받을 확률"은 95%로, "악성코드에 감염되지 않았다는 조건하에 음성 판정 받을 확률" 99%로 해석할 수 있다. 그러면, 이제 우리가 구하고 싶은 것은 "양성 판정이 있다는 조건하에 실제 악성코드에 감염되었을 확률"입니다. 이것을 수식으로 표현하면:

앞뒤만 바뀐 셈이네요. 자세히 계산해 보겠습니다. 

놀랍게도 불과 32% 밖에 되지 않습니다. 한 마디로, 앞서 언급한 안티바이러스 프로그램 E가 악성코드에 감염되었다고 판정을 내려도 실제 악성코드에 감염되었을 확률은32% 밖에 되지 않는다는 것입니다.

왜 이럴까요? 일단, 악성코드에 감염되는게 상대적으로 흔하지 않다는 점을 들 수 있다. 안티바이러스 프로그램을 사용하지 않는다고 모두가 악성코드에 감염되는 것은 아니니까요. 그리고, False Positive, 즉, 악성코드에 감염되지 않았을 때 감염되었다라고 판정하는 비율이 상대적으로 크기 때문입니다. 정말? 불과 1%인데? 라고 반문할 수 있을 것입니다. 그러나 이 1%가 정확도에 아주 큰 악영향을 미칩니다. 만약, 이것을 1%에서 0.1%로 10배 개선하면 정확도는32%에서 83%로 급증합니다.

반면, False Negative, 즉, 악성코드에 감염되었는데 정상이라고 할 확률은 큰 영향을 주지 않습니다. 지금 5%인데, 이것을 0.05%로, 즉 100배 개선을 하여도 정확도는 32%에서 33.43%로 거의 오르지 않습니다. 그렇기 때문에 이 경우에는 False Positive를 줄이는 것이 매우 중요합니다.

마지막으로, 악성코드에 감염될 확률 자체가 줄어들면 이 영향은 더욱 커집니다. 악성코드에 감염될 확률이 5/1000에서 1/1000 즉, 0.5%에서 0.1%로 줄면 위에서 언급한 안티바이러스 프로그램 E의 정확도는 고작 8.6%로 줄어들기 때문에, 안티바이러스 프로그램 E가 악성코드에 감염되었다고 판정을 내려도 실제 감염되었을 확률은 8.6% 밖에 되지 않습니다.

위 글을 요약해 보겠습니다:

1.      악성코드에 감염될 확률 자체를 줄이기 위해 안티바이러스 프로그램을 반드시 사용하세요.

2.     당연히 일정 수준 이하의 False Negative(미탐지율)을 갖는 안티바이러스 프로그램을 선택하는 것이 중요합니다.

3.     하지만, False Negative(미탐지율)은 일정 수준 이하만 되면 정확도에 크게 영향을 미치지 않습니다. 오히려 False Positive(오탐지율)가 정확도에 미치는 영향이 매우 크므로 False Positive(오탐지율)가 낮은 안티바이러스 프로그램을 선택하는 것 또한 중요하다고 볼 수 있습니다.

False Negative(미탐지율)이 일정 수준 이하로 신뢰할만 하지만 False Positive(오탐지율)이 높은 경우, 정상코드에 대한 잦은 악성코드 진단으로 인해 보안 솔루션 자체에 대한 신뢰도가 떨어지는 것은 물론, 악성코드 감염의 원인 규명와 해결 노력 등으로 인해 정상적인 업무를 하기가 어려워집니다. 이는 마치 정상인에게 암 판정을 내림으로 인해 받는 고통과 유사하다고 보시면 됩니다.