글로벌 보안 업체 (주)안랩(AhnLab)에서 개발한 MDP(Multi-Dimensional Protection) 엔진이 추가된 AhnLab Next V3 보안 제품의 화면 구성 중 "클라우드 평판" 메뉴의 "최근 생성된 파일" 기능에 대해 살펴보도록 하겠습니다.
▷ AhnLab Next V3 Beta : 클라우드 평판 - 동작 중인 프로세스 (2013.2.23)
"클라우드 평판" 메뉴는 "동작 중인 프로세스"와 "최근 생성된 파일"로 구성되어 있으며, 내용 분량상 "동작 중인 프로세스" 부분은 이전에 작성된 내용을 참고하시기 바랍니다.
"최근 생성된 파일" 기능은 사용자 PC에서 생성된 파일 중 PE 파일(exe, dll, ocx, cpl, sys, tmp 등)을 목록에 제시하며, 해당 파일 목록을 통해 사용자는 AhnLab Next V3 보안 제품에서 진단하지 못하는 악성 파일을 찾아 능동적으로 대응할 수 있는 수단을 제공할 수 있습니다.
1. 모든 파일 보기 : OFF (기본값)
사용자가 PC를 이용하는 과정에서 새로운 프로그램 설치를 위한 설치 파일 다운로드 및 설치를 진행하였거나, 기존에 설치된 프로그램의 업데이트를 진행하였을 경우를 가정해 보겠습니다.
"최근 생성된 파일" 목록의 기본값(모든 파일 보기 : OFF)에서는 파일 이름 영역에 회색 또는 검정색으로 표시되는 파일을 표시하고 있습니다.
- 회색 표시 파일 이름 : 평판 필터링 기준에 따른 미확정(Unknown) 파일
- 검정색 파일 이름 : ① ASD 네트워크에 등록되지 않은 신종 파일(미확인) ② ASD 네트워크에 수집되지 않는 조건의 PE 파일(미확인)
"회색"으로 표시된 파일은 ASD 네트워크에서 수집은 되었지만 평판 필터링(최초 발견, 사용자 수, 의심 행위) 조건에 부합되는 안정성이 확인되지 않은 미확정 파일인 경우입니다.
"검은색"으로 표시된 파일은 2가지로 구분하여 볼 수 있는데, 첫 번째는 ASD 네트워크에서 수집되지 않은 새로운 파일을 의미하며 "클라우드 자동 분석"에는 등록되었지만 "전송 예정"으로 표시된 파일인 경우입니다.(※ 최초 "클라우드 자동 분석"에 등록된 파일이 "전송 예정"에서 "분석 중" 또는 "분석 완료"로 상태가 변경되면 검정색에서 안정성 여부에 따라 회색/파란색/붉은색으로 변경됩니다.)
두 번째 조건으로는 생성된 파일이 대용량 파일(※ 50MB 이상 추정)인 경우에는 "최근 생성된 파일" 목록에는 정상적으로 표시되지만 ASD 네트워크에서는 PE 파일이더라도 수집을 하지 않습니다.(※ 이런 클라우드 파일 수집의 조건으로 인해 일부 악성 파일은 비정상적으로 파일 크기를 크게 만드는 경우가 있으므로 비정상적인 파일 크기를 가진 경우에는 악성 파일로 의심해 볼 수 있습니다.)
만약 "최근 생성된 파일" 목록에 붉은색으로 표시되는 파일이 존재할 경우에는 AhnLab Next V3 보안 제품에서 "악성"으로 분류된 진단 가능한 파일을 의미합니다.(※ 해당 예를 보여주기 위해 시스템 실시간 보호를 OFF한 상태입니다.)
붉은색으로 표시된 "악성" 파일은 시스템 실시간 보호가 켜진 상태에서는 "악성코드 차단 알림" 창을 통해 자동으로 삭제(치료) 처리가 이루어집니다.
2. 모든 파일 보기 : ON
"최근 생성된 파일"의 옵션을 "모든 파일 보기 : ON" 상태로 변경한 경우에는 안전도 평가 여부와 상관없이 생성된 모든 PE 파일을 확인할 수 있습니다.
특히 기본값(모든 파일 보기 : OFF)에서 표시되지 않는 일부 미확정(Unknown) 파일도 포함되어 있으므로 최근 생성된 파일을 확인하실 때에는 "모든 파일 보기 : ON" 상태로 변경하여 확인할 필요가 있습니다.
(1) "신뢰" 등록하는 방법
등록된 파일 중에서 회색으로 표시된 파일에 대한 사용자 평판을 추가할 필요가 있는 경우에는 "신뢰" 버튼을 클릭하실 수 있습니다.
회색의 미확정(Unknown) 파일을 "신뢰"로 추가를 한 후, "Refresh" 버튼을 클릭해보면 회색에서 파란색으로 변경이 되었으며, 신뢰로 등록된 파일에 대해서는 체크를 할 수 없도록 변경이 이루어집니다.
또한 사용자에 의해 "신뢰"로 사용자 평판이 기록된 파일은 "환경 설정 → 클라우드 평판 → 신뢰 및 차단한 파일" 목록에 등록된 것을 확인할 수 있습니다.(※ 최초 사용자가 신뢰로 등록한 파일도 AhnLab Next V3 보안 제품의 진단에 추가된 경우에는 사용자 평판 여부와 상관없이 진단이 이루어집니다.)
(2) "차단" 등록하는 방법
"최근 생성된 파일" 목록 중 AhnLab Next V3 보안 제품에서는 진단되지 않지만, 사용자가 사용자 평판, 파일 분석 보고서 등의 정보를 종합해 본 결과 "악성" 파일로 판단되어 "차단"이 필요한 경우를 가정해 보겠습니다.
특히 이번 예와 같이 appis.exe 파일이 정상 파일로 분류되어 체크를 통한 "차단" 버튼을 클릭할 수 없는 경우에는 다음과 같은 방법으로 사용자 평판을 지정하여 차단할 수 있습니다.
우선 해당 파일(appis.exe)을 클릭하여 "파일 분석 보고서"를 통해 "파일 경로"를 확인합니다.
그 후 "환경 설정 → 클라우드 평판 → 신뢰 및 차단한 파일" 메뉴에서 "차단 추가" 버튼을 클릭하여 차단을 원하는 파일 경로를 입력하여 "차단"에 등록하시기 바랍니다.
클라우드 평판의 "차단"에 등록된 파일(appis.exe)은 파란색(정상)에서 붉은색(악성)으로 변경이 이루어지며, "최근 생성된 파일"의 기본값(모든 파일 보기 : OFF)에 노출되게 됩니다.
등록된 파일은 "악성코드 차단 알림" 창을 통해 User/Gen.Block 진단명으로 삭제(치료)가 이루어지며, 시스템 방역 검사를 통한 수동 검사에서도 진단될 수 있습니다.
다시 한 번 강조하는 말이지만 "클라우드 평판" 기능은 사용자 PC에서 생성된 파일 및 실행되는 파일(동작 중인 프로세스)을 목록을 통해 사용자 몰래 숨겨진 파일을 확인할 수 있다는 장점을 제공하고 있습니다.
하지만 이런 정보 확인을 통해 AhnLab Next V3 보안 제품에서 진단하지 못하는 악성 파일에 대한 사용자의 능동적인 대응은 현명한 사용자 판단을 많이 요구하게 됩니다.
그러므로 제시된 각종 정보(사용자 수, 최초 발견, 사용자 평판, 드로퍼(Dropper : 파일 생성을 하게 만든 파일), 파일 분석 보고서 등)를 확인하여 수상한 파일은 "차단"에 등록하여 User/Gen.Block 진단명으로 대응할 수 있도록 고급 사용자가 될 필요가 있습니다.
비록 정확한 판단을 할 수 없는 경우에는 이들 정보를 통해 의심스러운 파일을 안랩(AhnLab) 보안 업체에 샘플 신고를 통해 정확한 분석을 요청하는 방법도 사용자의 대응 방법이라고 생각합니다.
다음 시간에는 AhnLab Next V3 보안 제품의 화면 구성 중 "위협 분석" 메뉴에 대해 살펴보도록 하겠습니다.
☞ AhnLab Next V3 Beta : 설치 & 프로세스 정보 (2013.1.29)
☞ AhnLab Next V3 Beta : 환경 설정 (2013.1.30)
☞ AhnLab Next V3 Beta : 화면 구성 - HOME (2013.2.1)
☞ AhnLab Next V3 Beta : 화면 구성 - 시스템 방역 (2013.2.5)
☞ AhnLab Next V3 Beta : 파일 분석 보고서 (2013.2.11)