글로벌 보안 업체 (주)안랩(AhnLab)에서 개발한 MDP(Multi-Dimensional Protection) 엔진이 적용된 AhnLab Next V3 보안 제품의 화면 구성 중 "네트워크 방역 & URL 분석 보고서" 기능에 대해 살펴보도록 하겠습니다.
네트워크 방역 기능은 네트워크를 통해 외부 서버(URL/IP)와 연결이 이루어지는 과정에서 위험 사이트 또는 불필요한 사이트(PUS)가 존재할 경우 차단 기능을 통해 안전한 인터넷을 이용할 수 있도록 제공합니다.
화면에서는 "의심 사이트 관리" 목록을 통해 사용자에 의한 직접 연결 또는 설치된 프로그램(파일)에 의한 자동 연결 서버 중 미확인 주소, 최근 발견된 주소, 위험 사이트 주소를 확인할 수 있습니다.
이를 통해 목록에 제시되는 사이트 중 연결을 원치 않는 주소는 사용자의 판단에 따라 "차단"할 수 있으며, AhnLab Next V3 보안 제품에서 실시간 보호를 통해 차단된 주소 중 사용자 판단에 따라 "신뢰"로 등록하여 예외 처리를 할 수 있습니다.
하단의 "안전한 사이트 방문도" 점수는 사용자 또는 프로그램(파일)을 통해 접속한 주소(검사한 주소) 중 차단한 주소의 비율을 통해 점수로 표시하고 있습니다.(※ 개인적으로 시스템 방역의 "안전한 프로그램 사용도" 점수와는 달리 네트워크 방역의 "안전한 사이트 방문도" 점수에는 너무 민감할 필요는 없다고 생각합니다.)
1. 네트워크 방역 : 환경 설정
네트워크 방역 기능의 환경 설정 중 실시간 보호는 "유해 웹 사이트 차단(URL), 유해 서버 연결 차단(IP)"이 함께 동작하도록 되어 있으며, 이를 통해 사용자에 의한 접속 또는 프로그램(파일)에 의한 자동 접속을 실시간 모니터링하여 차단할 수 있습니다.
확장 검사에서 제공하는 "불필요한 사이트 검사(PUS)" 기능은 기본값이 OFF 상태로 설치가 이루어지며, 해당 기능을 활성화할 경우 시스템 방역에서 제공하는 불필요한 프로그램 검사(PUP)에서 진단되는 프로그램(파일)과 연관된 웹 사이트와 서버를 차단할 수 있습니다.(※ 평소 국내에서 제작된 광고 프로그램의 설치로 인해 고생하시는 분들은 반드시 "불필요한 사이트 검사(PUS)" 기능을 켜시고 사용하시기 바랍니다.)
"신뢰 및 차단한 주소"는 "의심 사이트 관리"에 등록된 주소 중 "신뢰" 또는 "차단"을 사용자가 직접 지정한 경우 목록에 등록되며, 비록 "의심 사이트 관리"에 등록되지 않은 주소일지라도 사용자의 판단에 따라 해당 목록에 "신뢰" 또는 "차단"으로 등록할 수 있습니다.
2. 네트워크 방역 : 실시간 보호 ON / OFF
네트워크 방역 메뉴의 네트워크 실시간 보호 기능을 OFF 상태로 변경한 경우 동작이 중지되는 부분은 "유해 웹 사이트 차단(URL), 유해 서버 연결 차단(IP)" 항목이며, 화면 상으로는 다음과 같은 변화가 이루어집니다.
여기에서 사용자가 "불필요한 사이트 검사(PUS)" 기능을 ON한 상태에서는 해당 슬라이드 바는 ON 상태를 유지하지만, 실시간 보호를 통해 차단은 이루어지지 않으므로 혼동하지 않도록 하시기 바랍니다.
또한 일부 사용자 중에서 네트워크 방역 기능의 실시간 보호 기능을 사용할 경우 웹 사이트 접속 속도가 저하된다는 이유로 해당 기능을 사용하지 않을 경우에는 다음과 같은 문제가 발생할 수 있습니다.
예를 들어 특정 웹 사이트가 해킹되어 사용자가 해당 웹 사이트에 접속시 자동 감염이 이루어질 수 있는 상황이라고 가정해 보겠습니다.
일반적으로 AhnLab Next V3 보안 제품에서 감염에 이용되는 관련 파일(htm(l), js, swf, jar 등) 및 최종 파일(exe)을 진단하지 못할 경우에는 시스템 방역에서 제공하는 MDP 사전 보호 기능을 통해 다양한 감염 방식을 차단할 수 있으므로 1차적으로 보호를 받을 수 있습니다.
하지만 MDP 사전 보호 기능 단계에서 차단이 이루어지지 않는 경우에는 클라우드 평판 기능까지 와서 차단될 가능성이 존재하며 이 단계에서는 이미 사용자 PC에 감염을 위한 일부 파일이 다운로드(생성)된 상태입니다.
사용자가 네트워크 방역 기능을 사용하게 된다면 MDP 사전 방역 앞 또는 뒤에서 악성 파일이 배포되는 URL / IP 주소를 사전에 차단하여 AhnLab Next V3 보안 제품에서 파일 진단 여부와 상관없이 근본적으로 감염 연결이 이루어지지 않도록 보호받을 수 있습니다.
또 다른 가정을 해보면 이미 감염된 환경에서 악성 파일이 외부와 통신을 시도하여 추가적인 다운로드를 몰래 시도하는 경우 네트워크 방역 기능을 통해 연결 부분에 대한 정보 제공 또는 차단을 하여 어떤 파일이 통신을 하는지 역추적할 수 있습니다.
그러므로 웹 사이트 접속 속도가 저하된다는 문제로 네트워크 방역 기능을 사용하지 않는 경우에는 문제가 발생할 수 있으므로 반드시 네트워크 방역 실시간 보호 기능을 사용하시기 바랍니다.
3. 의심 사이트 관리
(1) 미확인 주소
사용자가 인터넷을 이용하는 과정에서 다양한 웹 사이트에 접속하다보면 연결되는 주소 중 AhnLab 네트워크를 통해 확인되지 않은 주소인 경우 "의심 사이트 관리" 목록에 회색 모양으로 등록됩니다.
- 날짜 : 사용자가 접속한 날짜(년(Y)-월(M)-일(D)-시(H)-분(M)-초(S))를 의미합니다.
- 주소 : 일반적으로 URL 도메인, IP 서버 주소 형태이며, 일부 실행 파일(exe) 주소도 포함될 수 있습니다.
- 사용자 수 : 해당 웹 사이트 접속자 수를 의미합니다.
- 최초 발견 : 안랩 클라우드(AhnLab Cloud)에 보고된 날짜를 기준으로 합니다.
- 사용자 평판 : 해당 사이트에 대한 전반적인 평판 정보를 통해 신뢰(파란색), 위험(붉은색)으로 그래프 형태로 처리가 됩니다.(※ 현재 베타(Beta) 버전에서는 네트워크 방역의 사용자 평판은 표시되지 않고 있습니다.)
- 프로그램 : 해당 주소에 접속한 파일명을 의미합니다.(※ iexplore.exe : Internet Explorer 웹 브라우저)
미확인 주소의 경우에는 알림창 등은 표시되지 않으며 사용자가 "의심 사이트 관리" 목록에서 직접 확인해야 합니다.
(2) URL 차단 알림 : 위험 사이트 / 불필요한 사이트(PUS)
인터넷 웹 사이트에 접속하는 과정에서 "URL 차단 알림"창을 생성하여 차단하거나, 사용자 PC에 설치된 특정 프로그램(파일)이 위험 사이트 또는 불필요한 사이트(PUS)에 접속할 경우 차단 알림창이 생성됩니다.
- 위험 사이트 접속을 차단 하였습니다. : 해당 메시지에서 표시하는 사이트 또는 파일은 실제 악성코드 감염을 유발할 수 있는 주소임을 의미합니다.
- 불필요한 사이트 접속을 차단 하였습니다. : 해당 메시지는 "불필요한 사이트 검사(PUS)" 기능을 사용할 경우 생성되며, 불필요한 프로그램(PUP)과 연관된 사이트를 차단하는 기능을 가지고 있습니다.
위와 같은 "URL 차단 알림"창을 통해 차단된 주소는 "의심 사이트 관리" 목록에서 붉은색으로 표시되어 차단되었음을 쉽게 확인할 수 있습니다.
■ URL 차단 알림창 정보 살펴보기
다수의 URL 차단 알림창이 함께 생성될 경우에는 "URL 차단 알림 (2/2)"와 같은 방식으로 개수를 표시하며, 사용자는 우측 상단의 "이전 | 다음" 메뉴를 이용하여 창을 전환할 수 있습니다.
- URL 주소 : 차단된 URL 주소입니다.(※ 해당 주소를 클릭할 경우 "ASD URL 분석 보고서"로 연결됩니다.)
- 프로세스 : 차단된 URL 주소를 실행한 파일 이름이며, (숫자)는 PID(Process Identifier) 값입니다.(※ 해당 프로세스 이름을 클릭할 경우 "AhnLab Next V3 파일 분석 보고서"로 연결됩니다.)
- 상태 : 해당 URL 주소를 차단한 상태임을 표시합니다.
"사이트 평판 정보"에서는 차단된 URL 주소의 호스트 이름, 최초 발견 날짜, 사용자 수, 사용자 평판, 안전도 평가와 함께 "신뢰 사이트로 추가하기" 메뉴를 제공하고 있습니다.
"신뢰 사이트로 추가하기" 문구를 클릭할 경우에는 자동으로 네트워크 방역 환경 설정의 "신뢰 및 차단한 주소"에 등록되어 "신뢰"값을 가지며, 등록된 해당 정보는 사용자 평판에 활용됩니다.
반대로 AhnLab Next V3 보안 제품에서 차단하지 못한 주소를 사용자가 환경 설정의 "신뢰 및 차단한 주소 → 주소 → (주소 입력) → 신뢰 추가" 절차에 따라 등록하면 붉은색의 "차단"값을 가지며, 해당 정보는 사용자 평판에 활용됩니다.
4. 그 외의 네트워크 연결 정보 확인 방법
네트워크 방역 기능에서는 기존에 알려지지 않은 주소 또는 위험 사이트 및 불필요한 사이트로 등록된 경우에만 활용할 수 있으며, 그 외의 PC에서 발생하는 네트워크 연결 정보를 확인하기 이해서는 "위협 분석 → 프로그램 활동 내역" 기능을 활용해야 합니다.
"프로그램 활동 내역"의 하단에서는 특정 구간(날짜 기준)에서 사용자가 확인할 검색어를 입력하여 필터링할 수 있는 기능을 제공하고 있으며, 검색어로 "네트워크 연결"을 입력하시면 자동으로 네트워크 연결 정보가 출력됩니다.
해당 정보를 토대로 AhnLab Next V3 보안 제품에서는 차단되지 않고 있는 주소를 검토하여 환경 설정에서 추가로 등록할 수 있습니다.
이 기능은 사용자의 분석 능력에 따라 좌우되는 부분이므로 고급 사용자들은 악성 파일 감염 이후 어떤 경로를 통해 감염되었는지 조사하는데 많은 도움이 되리라 생각합니다.
5. URL 분석 보고서
"시스템 방역"에서 소개한 "파일 분석 보고서"와 마찬가지로 "네트워크 방역"에 등록된 주소, "URL 차단 알림"창에 표시된 주소, 프로그램 활동 내역 네트워크 연결 주소, 네트워크 방역 환경 설정에 추가된 신뢰 및 차단 주소 영역을 클릭할 경우 "URL 분석 보고서"를 웹 브라우저를 통해 확인할 수 있습니다.
(1) 기본 정보
- 호스트 이름 : 사용자가 선택한 주소(URL / IP) 이름
- 최초 발견일(클라우드) : 사용자가 선택한 주소가 안랩 클라우드(AhnLab Cloud)에 등록된 날짜
- 사용자 수 : 해당 주소에 접속한 사용자 수
- 사용자 평판 : 사용자가 등록된 신뢰/차단 정보
- 최초 발견 국가 : 최초 발견일 당시 접속한 사용자 위치 기준(※ 현재 베타(Beta) 버전에서는 국가 정보를 제공하지 않습니다.)
- 안전도 평가 : 안랩(AhnLab) 평가를 기준으로 "안전한 사이트 / 위험 사이트 / 불필요한 사이트(PUS) / Unknown"로 구분
- 안전도 평가(Safe Browsing) : 구글(Google)에서 제공하는 사이트 안전도 평가 기준으로 "안전한 사이트 / 위험 사이트"로 구분
"기본 정보"에서 제공하는 내용 중 안전도 평가 항목이 2개로 구분되어 있는 이유는 안랩(AhnLab)에서 제공하는 사이트 안전도 평가와 구글(Google)에서 제공하는 안전도 평가를 함께 제공하여 사용자에게 더 많은 정보를 제공하기 위함입니다.
예시에서 보여준 사이트의 경우 안랩(AhnLab) 안전도 평가에서는 "Unknown(미확정)" 상태이며, 구글(Google) 검색을 통해 확인해보면 "이 사이트는 컴퓨터에 문제를 야기할 수 있습니다."라는 경고문을 통해 접속을 차단하고 있는 것을 확인할 수 있습니다.
이로 인해 "안전도 평가(Safe Browsing)" 항목은 "위험 사이트"로 표시되고 있으며, 실제 사이트에 접속한 시점에서는 사용자에게 감염을 유발하는 행위는 발견하지 못하였습니다.
하지만 구글 정보에 의하면 현재 시점이 아닌 과거 시점에서는 해당 사이트에서는 악성 파일이 존재하여 접속자 또는 다른 웹 사이트 유포에 활용되었던 것으로 보입니다.
(2) URL 차단 이력
"URL 차단 이력"은 "파일 분석 보고서"에서의 "클라우드에서 발생한 의심 행위"와 마찬가지로 사용자 PC를 포함하여 안랩 클라우드(AhnLab Cloud)에 수집된 해당 주소(URL / IP)의 차단 행위에 대한 정보를 제공할 것으로 추정됩니다.(※ 현재 베타(Beta) 버전에서는 "URL 차단 이력" 정보를 제공하지 않고 있습니다.)
이런 정보가 정상적으로 제공된다면 주소(URL / IP)를 통해 어떤 문제를 유발하는 파일을 배포하는지에 대한 정보를 쉽게 확인하여 연결을 차단하여 추가적인 피해를 예방할 수 있으리라 판단됩니다.
(3) 주요 행위
"주요 행위" 항목은 사용자 PC에서 해당 주소(URL / IP)를 통해 이루어지는 네트워크 연결, PE 파일 다운로드 등과 관련된 정보를 시간순으로 제공해 주는 기능을 합니다.
이를 통해 특정 주소에서 어떤 프로그램(프로세스)이 어떤 파일을 다운로드(대상)하여 동작이 이루어지는지 한 번에 확인할 수 있으며, 행위에 표시된 파일의 경우에는 붉은색의 Blacklist(악성), 파란색의 Whitelist(정상), 회색의 Unknown(미확정)을 쉽게 구분할 수 있도록 제공하고 있습니다.
결론적으로 "URL 분석 보고서"는 "파일 분석 보고서"와 서로 연동되어 보고서에 제시된 파일 및 주소(URL / IP) 값을 클릭하여 상세한 보고서 내용을 확인할 수 있다는 장점이 있으므로 잘 활용하시기 바랍니다.
다음 시간에는 "클라우드 평판" 기능 소개와 해당 기능을 이용하여 진단되지 않는 파일을 진단할 수 있는 방법에 대해 소개해 드리겠습니다.