울지않는벌새 : Security, Movie & Society

AhnLab Smart Defense (Beta) : 진단과 치료 능력 개선

벌새::Software
안철수연구소(AhnLab)에서 베타 테스트 중인 AhnLab Smart Defense Beta 제품의 진단과 치료 능력에 대한 부분에 대해 살펴보도록 하겠습니다.

악성코드가 다양하기에 관찰된 부분에 대해서만 언급할 수 있는 점을 고려하여 주시기 바랍니다.

1. RamDisk 영역 치료 개선

이전에 제가 사용하던 V3 365 클리닉 버전에서는 악성코드가 인터넷 임시폴더 영역을 RamDisk로 할당하여 사용할 경우 그 부분에 대해 진단은 하지만 치료를 못하는 현상을 겪었습니다.


하지만 Smart Defense 제품에서는 RamDisk(Z 디스크) 영역에서 진단되는 악성코드를 치료를 시도하면 위와 같이 정상적으로 삭제 처리가 되는 것을 확인할 수 있었습니다.

2. 진단명의 차이


해당 제품이 실제 악성코드를 발견하였을 경우 진단되는 진단명을 보시면, 현재 안철수연구소에서 발표하는 정식 진단명 패턴과 다르다는 것을 확인할 수 있습니다.

일반적으로 안철수연구소의 진단명 패턴은 트로이목마의 경우 [Win-Trojan/악성코드명.숫자.변종]의 형태를 취하고 있는데, Smart Defense 제품에서는 위의 경우를 보시면 다음과 같이 단순화된 진단명을 이용하고 있습니다.

[Smart Defense 제품 진단명 예]

Trojan/Win32.LdPinch
Downloader/Win32.FraudLoad

실제 위에서 진단한 샘플이 바이러스토탈(VirusTotal)에서 어떻게 진단이 되는지 살펴보았습니다.

MD5 : aefedda6598846e93774562e7df5a51f


(AhnLab V3 정식 진단명) Win-Trojan/Fraudload.109571.D
(Smart Defense 진단명) Downloader/Win32.FraudLoad

위와 같이 실제 제품에서 정식 시그니처(Signature)를 가지고 있지만, Smart Defense에서는 진단명을 통합된 형태로 표기하는 것으로 보입니다.

이 부분에 대해서는 안철수연구소에 문의를 하여 어떤 차이가 존재하는지, 왜 이런 표기상의 차이가 있는지 확인이 필요하지만, 개인적으로는 서버를 통한 빠른 반응을 위해 진단 방식의 차이가 아닐까 생각됩니다.

3. 변종에 강한 진단의 예

그 동안 안철수연구소 보안제품의 가장 큰 문제점은 변종에 너무 약한 모습을 통해 현실적으로 해외 유명 보안제품과 비교시 이름값을 못하였다는 점입니다.


예를 들어 Smart Defense 제품에서 Droper/Win32.Agent라는 진단명으로 실시간으로 악성코드를 차단하였습니다.

MD5 : 775798091d88fb3c78eae2743795393d


해당 샘플에 대한 바이러스토탈의 진단을 살펴보시면 현재 시간 AhnLab V3 제품에서는 정식으로 진단하고 있지 않는다는 것을 확인할 수 있습니다. 또한 해외 보안제품을 보시더라도 다수의 제품에서 정식 진단명이 아닌 감염 의심 파일로 진단하고 있는 것을 확인할 수 있습니다.

위와 같이 현재 기술로는 진단할 수 없는 변종에 대해서는 분명히 일종한 성과를 거둘 수 있는 가능성을 볼 수 있습니다.

이번 진단명 역시 위에서 살펴본 것처럼 정식 진단명이 아닌 통합적인 진단명을 사용하고 있습니다. 단지 아쉽다면 이런 진단을 통해 차단이 되는 경우 나중에 업체에서 DB를 정식으로 추가를 할지 여부는 고민을 해 보아야 할 것 같습니다.