울지않는벌새 : Security, Movie & Society

시만텍(Symantec) Suspicious.Insight 진단명에 대한 오해

벌새::Security
최근 시만텍(Symantec) 보안 제품이 바이러스토탈(VirusTotal)에 등록된 엔진에 Suspicious.Insight 진단명을 추가하면서 일부 사용자들이 자신들이 검사한 파일에 대해 타 보안 제품에서는 전혀 진단되지 않는데 유독 시만텍 진단명만이 제시되는 것을 오진 또는 악성코드로 여기는 일이 있어서 업체에서 밝히고 있는 Suspicious.Insight 진단명에 대한 사실 관계를 알아보도록 하겠습니다.

출처 : 바이러스토탈(VirusTotal)

Suspicious.Insight 진단명에 대한 설명은 시만텍 보안 대응 블로그(Symantec Security Response Blog)에서 설명한 내용을 근거로 축약한 것이므로 자세한 설명은 해당 원문을 참고하시기 바랍니다.

평판 기반 보안 엔진(Reputation-Based Security Engine)이라고 불리우는 해당 기술로 인해 사용자가 검사한 파일 중 현재 입증되지 않은 경우 - 검사한 파일이 정상(Good) 파일인지 또는 악성(Bad) 파일인지 -에 대한 평판이 결정되지 않은 경우 Suspicious.Insight 진단명으로 진단을 시작하기 시작하였습니다.

일반적인 평판 부여 방식은 특정 프로그램(파일)에 대하여 수천만명의 시만텍 커뮤니티 사용자(Symantec’s community of users)들로부터 검사한 파일에 대하여 사용자가 해당 파일의 실행 여부 등 다양한 조건(어떻게 시스템에 설치되는지 여부, Publisher 정보 등)을 통해 판단하여, 아직 입증되지 않은 파일인 경우 Suspicious.Insight 진단명을 통해 사용자들이 자신의 시스템에 해당 파일의 실행을 허용할지 여부를 알려주는 일종의 도우미 역할을 합니다. 즉, 해당 진단명을 받게 되는 파일은 사용자들로부터 강한 평판(a strong reputation)을 얻지 못한 파일을 의미합니다.

하지만 강한 평판을 얻지 못한 파일일지라도 정상 파일이 포함되어 있을 수 있으며, 검사 시점을 기준으로 1~2일 이내에 시만텍 커뮤니티 사용자들로부터 평판을 부여받을 수 있으므로 검사 시점 당시와 그 이후의 파일에 대한 진단은 달라질 수 있다는 점을 명심하시기 바랍니다.

해당 진단을 위하여 시만텍 커뮤니티 사용자들을 클라우드 기반(Cloud-Based Intelligence)으로 연결하여 해당 파일에 대한 실행 및 동작 여부를 평가하여 평판을 결정하고, 사용자들에게 파일의 평판을 제공하여 최종 결정은 사용자가 하도록 하는 방식입니다.

이런 진단 방식을 도입한 이유는 과거의 전통적인 접근 방법인 서명 기반 방식(Signature) 또는 행동 기반 방식(Behavior-Based)으로는 변종(Polymorphism), 난독(Obfuscation), 암호화(Encryption) 등 다양한 공격 방식에 대해 더 이상 안전한 방어가 어렵기 때문이라고 업체에서는 설명하고 있습니다.

이러한 내용을 통해 일반적으로 바이러스토탈을 사용하시는 분들은 자신이 검사한 파일을 시만텍 제품에서 Suspicious.Insight 진단명으로 진단을 부여하였다고 해당 파일이 전적으로 악성코드 또는 오진이라고 오해를 하기 보다는 현재 알려지지 않은 파일로 판단을 하여 해당 파일에 대한 추가적인 정보(보안 업체 문의, 프로그램 제작사 확인, 다운로드 출처, 타 사용자들의 평가 등)를 확인하여 최종적으로 사용 여부를 결정하시는 것이 올바른 해당 진단명에 대한 이해가 아닐까 생각됩니다.