울지않는벌새 : Security, Movie & Society

AhnLab Next V3 Beta : 환경 설정

벌새::Software
● 해당 글은 안랩(AhnLab)에서 진행하는 "AhnLab Next V3 Beta 이벤트" 참여 목적으로 작성된 글임을 밝힙니다.

 

글로벌 보안 업체 (주)안랩(AhnLab)에서 MDP(Multi-Dimensional Protection) 엔진을 적용한 AhnLab Next V3 Beta 버전의 환경 설정 메뉴에 대해 살펴보도록 하겠습니다.

 

  AhnLab Next V3 Beta : 설치 & 프로세스 정보 (2013.1.29)

AhnLab Next V3 제품에서 환경 설정에 접근하기 위해서는 메인 화면 우측 상단의 톱니 모양의 아이콘을 클릭하시거나, 시스템 트레이 알림 아이콘 메뉴를 클릭하여 "환경 설정"을 선택하시면 됩니다.

 

1. 시스템 방역

"시스템 방역" 메뉴는 실시간 보호, 시스템 검사, 확장 검사, 고급 설정 항목으로 구분되어 있습니다.

 

(1) 실시간 보호

 

실시간 보호는 PC에서 발생하는 파일 및 동작 기반에 기초하여 발생하는 다양한 악의적이고 의심스러운 행위를 감시하여 시스템을 보호해 주는 기능을 의미합니다.

 

  ■ 시스템 : 시스템 보호는 일반적으로 TS 엔진을 이용하여 진단 패턴에 포함된 악성 파일을 실시간으로 진단 및 삭제를 할 수 있습니다.

일반적으로 사용자가 인터넷 상에서 특정 악성 파일을 다운로드하는 과정 또는 PC에 존재하는 악성 파일에 접근(실행)한 경우에 "악성코드 차단 알림" 창을 통해 차단하였다는 메시지를 표시하는 것을 의미합니다.(※ 바이러스 이름 예시 : Backdoor/Win32.Graybird)

 

  ■ MDP 사전 보호 : AhnLab Next V3 제품에 새롭게 추가된 MDP(Multi-Dimensional Protection) 엔진을 일반 사용자가 가장 쉽게 이해할 수 있는 말로 표현한다면 "사전 방역" 기술이라고 말할 수 있습니다.

 

예를 들어 공격자는 보안 제품에서 진단되지 않는 새로운 취약점(제로데이(0-Day) 취약점)과 악성 파일을 이용하여 사용자 시스템을 감염시키려고 할 것이며, 이를 보안 제품에서 진단하는지 여부까지 체크를 해서 유포를 할 것입니다.

 

이에 AhnLab Next V3 보안 제품에서는 공격자가 시스템 감염을 유발하려는 최초 행위 자체를 사전에 차단하여 알려지지 않은 다양한 보안 위협으로부터 시스템을 보호할 수 있습니다.

 

예를 들어 제로데이(0-Day) 또는 기존에 알려진 보안 취약점을 이용하여 사용자가 악의적으로 조작된 웹 사이트에 방문할 경우 보안 패치 여부에 따라 자동으로 감염될 수 있다고 가정할 경우, AhnLab Next V3 보안 제품에서는 실제 감염을 유발하는 악성 스크립트, 생성 파일에 대해서는 진단을 하지 못하더라도 이러한 감염 유발 동작을 사전에 차단하는 MDP 기술을 통해 감염되지 않도록 할 수 있습니다.

대표적인 예로 Oracle Java 취약점을 이용한 온라인 게임핵 유포 행위에서 실제 사용자는 웹 사이트 방문으로 인해 감염이 발생할 수 있는 조건이더라도 Malware/MDP.JavaExploit (106) 진단 패턴을 이용하여 사전에 차단을 할 수 있습니다.

 

(2) 시스템 검사

 

시스템 검사는 "시스템 방역" 기능을 이용하여 사용자가 선택한 대상을 정밀 검사하는 기능을 의미합니다.

 

  ■ 스마트 검사 : 스마트 검사는 최초 검사 이후 새로 생성된 파일에 대한 검사(증분 검사 : Incremental Scan)와 운영 체제(OS)의 변경 사항에 대한 검사(Fastway) 기능을 통해 재검사 속도를 더욱 빠르게 할 수 있도록 지원합니다.

 

  ■ 압축 파일 검사 : AhnLab Next V3 보안 제품에서는 압축 파일 검사 옵션을 세분화하여 제공하지는 않고 있지만, 제품에서 검사 가능한 모든 압축 파일에 대한 일정 깊이까지 검사를 지원하고 있습니다.

 

특히 압축 파일 검사는 기본값으로 OFF 한 상태로 설치가 이루어지고 있으므로, 정밀 검사를 위해서는 ON 상태로 변경하시고 이용하시는 것도 좋습니다.(※ 대신 압축 파일 검사를 ON한 경우에는 검사 시간이 더 소요됩니다.)

 

  ■ USB 드라이브 자동 검사 : USB 이동식 저장 매체를 통해 전파되는 악성 파일을 차단하기 위해 사용자가 USB 포트에 추가할 경우 자동으로 검사를 하도록 설정되어 있습니다.

 

(3) 확장 검사

 

  ■ 불필요한 프로그램 검사(PUP) : PUP 검사는 기존에 AhnLab Internet Security, AhnLab 365 클리닉 제품에서만 제한적으로 제공하는 광고 프로그램에 대한 진단을 AhnLab Next V3 제품에서는 실시간 감시 기능에서도 차단이 가능하도록 추가하였습니다.

이에 따라 사용자가 블로그, 자료실 등 인터넷 상에서 다운로드하는 파일을 통해 광고 프로그램이 설치될 가능성이 존재할 경우 PUP/Win32.ADownloader 진단명과 같은 형태로 실시간 차단 및 치료가 가능하게 되었습니다.

 

불필요한 프로그램 검사(PUP) 항목은 설치시 OFF 상태로 제공되므로, 반드시 ON 상태로 변경을 하시고 사용하시길 추천해 드립니다.

 

  ■ 유해 가능 프로그램 검사(AppCare) : AppCare 검사는 정상적으로도 사용되나 사용자가 인지하지 못하는 과정에서 악용되어 피해를 끼칠 수 있는 프로그램에 대한 검사를 의미하며, Win-AppCare/WinKeyfinder.973512 진단명과 같은 패턴을 가집니다.

 

  ■ ASD 평판 검사(Reputation) : ASD 평판 검사는 ASD(AhnLab Smart Defense) 기능을 통해 수집된 파일에 대해 평판이 낮은 파일(클라우드 평판에서 차단이 높은 파일, 의심 행위를 한 파일 등)의 경우 사전에 차단할 수 있는 검사 기능을 의미하며 ASD.Reputation 진단명을 사용할 예정입니다.


(4) 고급 설정

 

  ■ 은폐 진단 : 은폐 진단 기능은 루트킷(Rootkit)과 같은 악성 파일을 진단할 수 있으며, 프로그램 설치시 기본값으로 OFF된 상태이므로 심층적인 검사를 원할 경우 ON 상태로 변경을 하시고 이용하실 수 있습니다.

 

  ■ 휴리스틱 진단 감도 : 휴리스틱(Heuristic) 진단 감도(낮음 - 보통(권장) - 높음)은 다양한 변종 파일에 대한 진단 수준을 사용자가 결정할 수 있으며, 기본값(보통)에서 "높음"으로 변경할 경우에는 진단은 높아질 수 있지만 일부 오진의 문제가 발생할 수도 있습니다.

 

  ■ 클라우드 자동 분석 : 클라우드(Cloud) 자동 분석 기능은 사용자 PC에 알려지지 않은 새로운 파일이 생성될 경우 자동으로 수집하여 AhnLab Smart Defense Center로 전송되며, 관련 정보는 "위협 분석 → 클라우드 자동 분석"에서 분석 상태 및 결과를 확인할 수 있습니다.

 

이 기능은 AhnLab Next V3 제품을 설치하는 과정에서도 언급하였지만, 최초 설치시에는 반드시 수집에 대한 동의를 얻어 제품이 설치되며 설치 이후에는 추가적인 동의없이 자동으로 수집이 이루어집니다.

 

그러므로 자동 수집을 원치 않는 사용자는 해당 기능을 OFF 하시면 되지만, 진단률 향상을 위해서는 기본값 그대로 사용하시는 것이 업체와 사용자 모두에게 도움이 됩니다.

 

2. 네트워크 방역

"네트워크 방역" 메뉴는 실시간 보호, 확장 검사, 신뢰 및 차단한 주소로 구성되어 있습니다.

 

(1) 실시간 보호

 

  ■ 유해 웹 사이트 차단(URL), 유해 서버 연결 차단(IP) : 네트워크를 통해 위험한 외부 서버(URL, IP)와 연결시 실시간 감시를 통해 차단을 하여 안전한 인터넷을 이용할 수 있도록 지원합니다.

이를 통해 사용자가 악성 파일을 유포하는 웹 사이트 접속시 사이트 전체를 차단하거나 또는 특정 연결 URL(IP) 주소만을 차단하여 악성 파일이 생성되지 않도록 사전 방역을 지원하고 있습니다.

 

(2) 확장 검사

 

  ■ 불필요한 사이트 검사(PUS) : PUS 검사 기능은 일반적으로 광고 프로그램의 설치 및 동작과 관련된 네트워크 연결을 실시간 감시 기능으로 차단하는 기능을 의미합니다.

예를 들어 사용자가 KMPlayer를 설치하는 과정에서 추가적으로 등록된 광고 프로그램의 체크를 제대로 해제하지 않고 설치가 이루어지는 경우, AhnLab Next V3 제품에서는 설치 과정에서 "URL 차단 알림 - 불필요한 사이트 접속을 차단 하였습니다." 창을 통해 진단 정책에 포함된 광고 프로그램의 설치 및 동작에 관련된 URL 값을 차단하여 설치가 이루어지지 않도록 할 수 있습니다.

 

참고로 불필요한 사이트 검사(PUS)는 설치 기본값이 OFF 상태로 설치가 이루어지므로, 광고 프로그램이 설치되지 않도록 예방하기 위해서는 ON 상태로 설정을 변경하시고 이용하시기 바랍니다.

 

(3) 신뢰 및 차단한 주소

 

"신뢰 및 차단한 주소"는 사용자의 판단에 따라 특정 URL, IP 주소를 입력하여 해당 네트워크 연결이 이루어지지 않도록 차단할 수 있으며, 반대로 AhnLab Next V3 제품에서 차단한 주소 중 사용자의 필요에 따라 "신뢰 사이트로 추가하기" 기능을 통해 신뢰에 포함하여 연결을 할 수도 있습니다.

특히 "네트워크 방역" 기능에서 제공하는 사용자가 접속한 웹 사이트 중 "의심 사이트 관리" 목록에 표시된 주소 중 차단을 원하는 주소를 선택하여 추가할 수 있습니다.

 

3. 클라우드 평판

클라우드(Cloud) 평판 기능은 AhnLab Next V3 사용자들의 판단을 매우 요구하는 기능이며, 활용도에 따라 제품에서 진단되지 않는 악성 파일로부터 시스템을 보호할 수 있는 훌륭한 보안 기능이라고 평가할 수 있습니다.

 

(1) 실시간 보호

 

  ■ 클라우드 평판 : 클라우드 평판 실시간 보호 기능은 "시스템 방역 → 시스템" 실시간 보호 기능을 ON한 상태에서만 동작합니다.

 

(2) 평판 필터링

  • 최초 발견 (20)일 이내
  • 사용자 수 (500)명 이하
  • 의심 행위 (0)건 이상

평판 필터링 기능은 AhnLab Next V3 제품에서 기본값으로 설정한 파일의 최초 발견 날짜, 파일 사용자 수, 의심 행위 내역을 기반으로 파일의 허용 여부를 체크합니다.

예를 들어 사용자가 인터넷 상에서 특정 파일을 다운로드하여 설치를 위해 실행할 하거나, 설치 완료 후 프로그램을 실행할 경우 "클라우드 평판 알림 - 안정성이 확인되지 않은 파일 실행을 탐지하였습니다." 창이 생성되는 동작을 확인할 수 있습니다.

 

이 과정에서 제공되는 파일 평판 정보(최초 발견 날짜, 사용자 수, 사용자 평판 등)를 보시면 환경 설정의 "평판 필터링" 조건에 부합되어, 파일의 안정성이 확인되지 않은 상태임을 표시하여 사용자에게 실행 여부를 묻게 됩니다.

위와 같은 방식으로 클라우드 평판 기능을 통해 제공되는 정보를 바탕으로 사용자가 차단을 할 경우, 실제 AhnLab Next V3 제품에서는 진단에 포함되지 않는 파일이라도 사용자의 진단 추가 방식(User/Gen.Block)으로 진단 및 삭제를 할 수 있습니다.

 

(3) 탐지할 의심 행위

 

클라우드 평판에서는 제품에서 사전에 등록한 86가지 의심 행위를 하는 파일이 실행될 경우 클라우드 평판 창이 생성되어 사용자에게 허용 여부를 묻게 됩니다.

(4) 신뢰 및 차단한 파일

 

사용자가 "클라우드 평판 알림" 창 또는 환경 설정에서 직접 파일을 등록하여 신뢰 또는 차단할 경우 해당 파일에 대한 평판이 작성되며, 신뢰한 파일은 차후 재실행시 허용 여부를 묻지 않으며, 차단에 등록된 파일은 진단(User/Gen.Block)에 추가됩니다.

 

참고로 사용자가 신뢰로 등록하여 실행한 파일 중 차후 보안 업체의 분석에 의해 악성 파일로 판명이 된 경우에는 신뢰값에 상관없이 진단이 이루어집니다.

 

4. 기타

(1) 기타

 

  ■ 제품 보호 : 제품 보호 기능은 AhnLab Next V3 자체 보호 기능이므로 항상 ON 상태로 이용하시기 바랍니다.

기존의 AhnLab V3 Lite, AhnLab 365 클리닉의 경우에는 자체 보호 기능을 손쉽게 사용자가 해지를 할 수 있도록 경고창에 표시되는 문제가 있었는데 이번에는 시스템 트레이 알림 아이콘에 풍선창 방식으로 경고창만 표시하고 있습니다.

 

  ■ MBR 보호 : MBR(Master Boot Record) 기능은 악성코드 중 MBR 영역을 변조하는 부트킷(Bootkit)과 같은 운영 체제(OS) 실행 이전에 자신을 실행하여 동작하는 방식을 차단하는 기능입니다.

 

  ■ 자동 업데이트 : AhnLab Next V3 제품의 자동 업데이트 주기는 1시간으로 고정되어 있으며, 필요에 따라서는 긴급 업데이트를 진행할 수 있습니다.

  ■ 알림창 보기 : 알림창 보기 기능은 특정 동작(진단, 차단 등)으로 인해 표시되는 알림창의 표시 여부를 선택할 수 있습니다.

 

  ■ 작업 표시줄 알림 : 작업 표시줄 알림 기능은 업데이트 알림, 파일 수집 등과 같은 내용을 시스템 트레이 알림 아이콘에서 풍선창 방식으로 표시하는 것을 의미합니다.

(2) 검사 예외 설정

 

AhnLab Next V3 제품에서 실시간 감시 및 수동 검사를 통해 진단되지 않도록 특정 폴더 및 파일을 검사 예외 설정 목록에 등록할 수 있습니다.

 

또한 해당 목록에는 사용자가 진단된 파일을 복원할 경우 질문을 통해 검사 예외 설정을 할 것인지 결정하여 예외 처리를 할 수 있습니다.

 

이상으로 AhnLab Next V3 제품의 환경 설정을 전반적으로 살펴보았으며, 다음 시간에는 제품의 화면 구성을 소개해 드리겠습니다.