(주)안랩(AhnLab) 보안 업체에서 출시한 다차원 분석 플랫폼 기반의 AhnLab V3 365 Clinic 3.0 제품의 ASD 클라우드 서비스와 연관된 기능에 대해 "AhnLab V3 365 Clinic 3.0 제품 비교 : ASD 클라우드 서비스 <1>"편에 이어 타 보안 제품에서는 찾아볼 수 없는 "Active Defense" 기능에 대해 살펴보도록 하겠습니다.
Active Defense 기능은 AhnLab V3 365 Clinic 2.9 버전 및 하위 버전에서는 포함되어 있지 않으며, 심지어 AhnLab V3 Lite 3.0 무료 백신에는 일부 기능만 포함되어 있습니다.
1. Active Defense의 기본 설정값 이해
Active Defense 기능은 기본적으로 PC 실시간 검사를 사용(ON)하는 경우 동작하며 "클라우드 평판 기반 실행 차단 사용"의 차단 수준 기본값은 "낮음"으로 설정되어 있습니다.
이 말은 사용자에 의한 파일 실행 또는 자동 실행되는 클라우드 평판 정보(최초 발견, 사용자 수, 의심 행위)가 조건에 부합될 경우 "의심 파일 실행 탐지" 창을 생성하여 실행 여부(차단<권장>, 허용)를 결정할 수 있도록 알림창을 제공합니다.
위와 같은 클라우드 평판창이 중요한 이유는 AhnLab V3 365 Clinic 3.0 제품이 진단하지 못하는 파일이 실행되는 최종 단계에서 ASD 클라우드 서비스를 통해 제공하는 클라우드 평판 정보를 통해 파일 실행 여부를 알림창으로 제공하여 최종적으로 사용자 몰래 설치되는 파일을 사전에 차단할 수 있는 기능을 제공하는 것입니다.(※ 물론 기존에 보고되지 않은 정상적인 파일로 "의심 파일 실행 탐지" 창을 통해 실행 여부를 묻는 경우가 있으므로 사용자의 현명한 판단이 중요합니다.)
위와 같은 클라우드 평판 기반 실행 차단 수준의 설정에 따라 "Active Defense → 최근 생성 파일"에 표시되는 "미확정" 파일 목록 내용이 다르게 표시될 수 있습니다.
결론적으로 Active Defense 기능은 실행되는 파일의 평판 정보를 ASD 클라우드 서버로부터 제공받아 의심스러운 파일의 실행 여부를 사용자가 결정할 수 있다는 장점과 사용자 PC에서 발생하는 프로그램 활동 정보가 모두 기록되어 사용자는 시각적으로 제공되는 Active Defense 정보를 바탕으로 악성 파일을 추적하여 능동적으로 차단할 수 있는 세계적으로 찾아볼 수 없는 기능을 제공합니다.
2. Active Defense 기능의 기본 동작
실제 사용자가 정상적인 소프트웨어를 인터넷 상에서 다운로드 및 실행하여 설치하는 일련의 과정을 Active Defense 기능이 어떻게 반응하고 사용자가 활용할 수 있는지 살펴보도록 하겠습니다.
사용자가 인터넷 상에서 파일을 다운로드하여 생성된 파일을 실행하면 "의심 파일 실행 탐지"창이 생성되어 해당 파일의 클라우드 평판 정보(다운로드 주소, 최초 보고 날짜, 사용자 수, 클라우드 평판, 최초 발견 국가, 안전도 평가)를 통해 실행 여부를 묻게 됩니다.
해당 클라우드 평판창은 환경 설정에서 지정한 차단 수준에 따라 생성 여부가 결정되며, 생성된 정보를 확인하여 사용자는 차단 또는 허용 여부를 지정하시면 됩니다.
단, 사용자가 실행하려는 파일의 안정성(악성, 정상)이 확실한 경우에는 "신뢰 및 차단 정책에 추가" 체크 박스에 체크한 후 차단 또는 허용 버튼을 선택하시면 되며, 만약 파일 실행을 원치 않는 경우에는 우측 상단의 "닫기(X)" 버튼을 클릭하여 실행을 종료할 수 있습니다.
만약 실행하려는 파일의 안전도에 대한 확신이 없는 상태에서 실행을 원할 경우에는 "신뢰 및 차단 정책에 추가" 체크 박스에는 체크하지 않은 상태에서 "허용" 버튼을 클릭하면 1회에 한하여 파일 실행이 가능하며, 파일을 재실행할 경우에는 다시 "의심 파일 실행 탐지" 창이 생성되어 실행 여부를 묻게 됩니다.
프로그램이 설치된 후에는 "Active Defense → 최근 생성 파일" 메뉴를 통해 생성된 파일 정보를 확인할 수 있으며, 실제 기록된 정보와 Windows 탐색기를 통해 생성된 파일 정보를 확인해보면 실행 가능한 파일(PE 파일)이 정상적으로 기록된 것을 확인할 수 있습니다.
이 의미는 Active Defense 기능은 사용자 PC에 설치되는 파일 중 시스템 감염을 유발할 수 있는 파일을 모두 감시하여 시간순으로 기록되며, 이를 통해 사용자는 파일 실행을 통해 어떤 파일이 어느 위치에 생성되었는지 쉽게 찾을 수 있습니다.
위와 같은 일련의 동작은 "Active Defense → 프로그램 주요 행위" 메뉴에서 시간순으로 파일 다운로드 및 실행을 통해 생성된 파일에 대한 행위 정보를 기록하며, 이를 바탕으로 사용자는 차후 시스템에서 발견된 악성 파일이 어떤 파일 및 URL 주소를 통해 다운로드 되었는지를 역추적할 수 있는 정보로 활용할 수 있습니다.
또한 프로그램 설치 과정에서 생성된 파일 중 ASD 클라우드 서버에 보고되지 않은 파일이 존재할 경우에는 "클라우드 자동 분석 요청" 창을 통해 파일 전송을 요청할 수 있으며, 파일이 정상적으로 전송된 경우에는 "Active Defense → 클라우드 자동 분석" 메뉴에 기록되어 전송된 파일의 분석 상태 및 결과를 확인할 수 있습니다.
이를 통해 전송된 파일이 악성 파일로 분석된 경우에는 PC 실시간 검사 기능을 통해 파일을 자동으로 진단하여 치료(삭제)할 수 있습니다.
이렇게 설치된 프로그램을 실행할 경우에는 실행 파일에 대하여 "의심 파일 실행 탐지" 창이 생성되어 실행 여부를 결정하도록 할 수 있으며, 사용자가 클라우드 평판 정보를 참고하여 안전한 파일로 판단한 경우 "신뢰 및 차단 정책에 추가" 체크 박스에 체크한 후 "허용" 버튼을 클릭하면 Active Defense 목록에 신뢰 파일로 추가되며 프로그램은 실행됩니다.
또한 실행된 파일은 "Active Defense → 현재 프로세스" 메뉴를 통해 현재 동작하는 파일에 대한 정보를 확인할 수 있습니다.
사용자가 신뢰로 추가한 파일 정보는 "환경 설정 → Active Defense 설정" 목록에 등록되며, 해당 목록에 등록된 경우에는 ASD 클라우드 서버에 정보가 전송되어 다른 사용자들이 "의심 파일 실행 탐지" 창에서 제공하는 클라우드 평판 정보에 표시됩니다.
위와 같은 일련의 파일 생성 동작에 대하여 Active Defense 기능은 생성된 파일, 동작 중인 파일(현재 프로세스), 설치 과정(프로그램 주요 행위), 전송된 파일 분석 결과(클라우드 자동 분석)에 대한 정보를 시각적으로 실시간 확인하여 AhnLab V3 365 Clinic 3.0 제품이 설치된 PC 환경에서 발생하는 모든 동작을 사용자가 함께 감시할 수 있습니다.(※ AhnLab V3 Lite 무료 백신에서는 클라우드 평판(의심 파일 실행 탐지)창 생성 기능만 제공합니다.)
3. Active Defense 기능을 이용한 대응 방법
위와 같은 클라우드 평판 차단 실행 기능은 모든 파일에서 동작하는 것이 아니라 차단 수준을 "높음"으로 설정한 상태에서도 일부 의심스러운 파일은 "의심 파일 실행 탐지" 창이 생성되지 않고 실행될 수 있습니다.
이런 경우에는 기존의 AhnLab V3 365 Clinic 2.9 버전 또는 국내외 보안 제품에서는 제공하지 않는 독창적인 Active Defense 기능을 통해 사용자가 직접 악성 파일을 찾아 능동적으로 대응할 수 있다는 점이 매력적이라고 할 수 있습니다.
예를 들어 Windows 운영 체제의 기본 파일 중 하나인 콘솔 창 호스트 파일(C:\Windows\System32\conhost.exe)과 동일한 파일명으로 제작된 국내 악성 프로그램이 설치된 환경을 살펴보도록 하겠습니다.
해당 파일은 실행되는 과정에서는 클라우드 평판 실행 차단이 동작하지 않으며, 이로 인하여 AhnLab V3 365 Clinic 3.0 제품 사용자도 자신도 모르게 프로그램이 설치되었을 가능성이 매우 높습니다.
이런 설치 환경에서 "Active Defense → 최근 생성 파일" 메뉴를 확인해보면 conhost.exe 파일이 기록되어 있으며, 안전도가 붉은색으로 표시되어 의심스러운 파일임을 쉽게 발견할 수 있습니다.
문제의 파일에 대한 세부적인 정보를 확인하기 위해 파일을 클릭하면 "AhnLab V3 파일 분석 보고서"가 실행되어 ASD 클라우드 서버에서 제공하는 파일 정보를 바탕으로 사용자는 파일 차단 여부를 판단할 수 있습니다.(※ 실제 클라우드 평판에서는 "신뢰(3) / 차단(14)"으로 많은 사용자들이 파일 차단을 선택하였습니다.)
이러한 정보를 근거로 사용자가 conhost.exe 파일을 체크하여 "차단" 버튼을 클릭하면 conhost.exe 파일의 색깔이 회색(미확정)에서 붉은색(악성, 사용자에 의한 차단)으로 변경되는 것을 확인할 수 있습니다.
또한 Active Defense 메뉴에서 사용자가 특정 파일을 차단한 경우에는 무조건 환경 설정의 Active Defense 설정에 기록되며, 차후 해당 파일이 재생성시마다 자동으로 차단(삭제)됩니다.
사용자가 차단한 파일은 PC 실시간 검사 또는 수동 검사를 통해 삭제(Active Defense 차단) 처리가 이루어지며, 진단 로그에서는 User/Gen.Block 진단명으로 기록됩니다.
위와 같은 Active Defense 기능은 기존에는 보안 제품에서 진단되지 못한 파일에 대해 사용자가 어떤 파일이 생성되었는지 찾을 수 없는 문제를 근본적으로 해결해 줄 수 있으며, Active Defense 기능을 활용할 줄 아는 고급 사용자에게는 능동적으로 악성 파일을 대응할 수 있는 방법을 제시하고 있습니다.
또한 사용자에 의해 차단 및 허용된 정보는 ASD 클라우드 서비스를 통해 수집되어 다른 사용자들에게 클라우드 평판 정보를 공유하여 파일에 대한 정보를 더욱 풍부하게 제공할 수 있다는 장점이 있습니다.
☞ AhnLab V3 365 Clinic 3.0 제품 비교 : 제품 설치와 시작 화면 (2013.8.1)
☞ AhnLab V3 365 Clinic 3.0 제품 비교 : ASD 클라우드 서비스 <1> (2013.8.2)