글로벌 보안 업체 (주)안랩(AhnLab)에서 새롭게 선보이는 MDP(Multi-Dimensional Protection) 엔진이 적용된 AhnLab Next V3 보안 제품의 화면 구성 중 "시스템 방역" 기능에 대해 살펴보도록 하겠습니다.
시스템 방역 메뉴는 사용자 컴퓨터의 프로세스 영역, 중요 시스템 영역, 드라이브, 특정 폴더를 정밀 검사 또는 사용자 지정 검사를 할 수 있는 시스템 검사 기능을 의미합니다.
1. 시스템 방역 : 환경 설정
AhnLab Next V3 제품의 환경 설정 소개글에서 자세하게 설명을 하였지만 다시 한 번 "시스템 방역" 메뉴와 연관된 설정 부분만 정리해 보도록 하겠습니다.
- 스마트 검사 : 스마트 검사는 프로그램 설치 후 시스템 검사 이후 생성된 파일에 대한 증분 검사(Incremental Scan)와 운영 체제(OS)의 변경 사항에 대한 검사(Fastway)를 통해 재검사 더욱 빠른 검사 속도를 보장합니다.
- 압축 파일 검사 : 기본적으로 압축 파일 검사는 OFF 상태이며, 시스템 검사시에는 ON 상태로 검사를 하시길 권장합니다.
- 불필요한 프로그램 검사(PUP) : 불필요한 프로그램 검사(PUP)는 기본값이 OFF 상태이며, 해당 기능을 ON 상태로 변경하시면 원치 않는 광고 프로그램 등이 설치되지 않도록 실시간 보호를 통한 차단 및 시스템 검사를 통한 진단 / 치료를 지원합니다.
- 유해 가능 프로그램 검사(AppCare) : 유해 가능 프로그램 검사(AppCare)는 악용되어 사용되는 프로그램에 대한 진단을 지원합니다.
- 은폐 진단 : 은폐 진단은 기본값이 OFF 상태이며, 해당 기능을 ON할 경우 루트킷(Rootkit) 악성코드를 진단할 수 있습니다.
- 휴리스틱 진단 감도 : 휴리스틱(Heuristic) 진단 감도의 권장값은 "보통"이며, "높음"으로 변경시에는 진단률 상승이 있는 반면 오진 가능성이 높아집니다.
- 클라우드 자동 분석 : 클라우드(Cloud) 자동 분석은 PC에 존재하는 파일 중 기존에 알려지지 않은 파일이 존재할 경우 AhnLab Smart Defense Center로 자동 전송되어 분석 결과를 확인할 수 있습니다.
그러므로 더욱 안전한 시스템 보호를 위해서는 환경 설정에서 OFF 설정은 모두 ON 상태로 변경하시고 이용하시기 바랍니다.
2. 시스템 방역 : 실시간 보호 ON / OFF
시스템 방역 메뉴의 시스템 실시간 보호 기능을 OFF 상태로 변경한 경우 동작이 중지되는 부분에 대해서도 다시 한 번 살펴보도록 하겠습니다.
(1) 시스템 및 MDP 사전 보호 중지
시스템 실시간 보호를 OFF 하면 메인 화면(HOME)의 시스템과 환경 설정의 시스템 방역 실시간 보호가 OFF 상태로 변경됩니다.(※ "MDP 사전 보호" 메뉴는 ON 상태로 표시되어 있지만 해당 기능은 동작하지 않습니다.)
(2) 클라우드 평판 실시간 보호 중지
시스템 실시감 보호가 중지될 경우 클라우드 평판 실시간 보호도 중지되어 평판 필터링에 부합하는 파일 실행시, 탐지 조건에 포함되는 의심 행위 파일 실행시 허용 여부를 묻지 않는 문제가 발생합니다.
3. 시스템 검사
제품 기본값에서는 시스템 검사 설정 옵션이 "로컬 디스크 (C:)" 체크 박스에만 표시되어 있는 상태로 되어 있습니다.
그러므로 시스템 검사시 "프로세스 영역, 중요 시스템 영역"도 검사에 포함시키고 싶은 분들은 체크를 추가적으로 하시고 검사를 진행하시기 바라며, 이럴 경우 검사 시간은 더 소요됩니다.
(1) 시스템 검사 속도 변화
해당 내용은 사용자 PC 하드웨어 사양, 설치된 응용 프로그램 용량, 검사시 기타 변수 등에 따라 다르므로 참고용으로만 이해하시기 바랍니다.
AhnLab Next V3 보안 제품을 최초 설치한 상태에서 최초 시스템 검사를 진행하였을 경우 139,759개의 검사 객체에 대해 8분 56초가 소요되었습니다.(※ 모든 환경 설정은 ON 상태입니다.)
최초 시스템 검사가 완료된 이후 3회에 걸친 반복적인 검사를 추가적으로 진행하였을 경우 스마트 검사로 인한 속도(시간) 변화를 측정해 보았습니다.
- 검사 수 : 108,709, 감염 수 : 0, 치료 수 : 0, 검사 시간 : 00:00:45
- 검사 수 : 108,710, 감염 수 : 0, 치료 수 : 0, 검사 시간 : 00:00:20
- 검사 수 : 108,711, 감염 수 : 0, 치료 수 : 0, 검사 시간 : 00:00:16
반복적인 재검사를 보면 최초 검사와 비교하여 스마트 검사 기능으로 인하여 검사 객체 수는 감소하면서 검사 시간이 획기적으로 줄어드는 것을 확인할 수 있습니다.
그 후 제품의 DB 업데이트, 사용자의 추가적인 프로그램 설치(업데이트), PC 사용 등 1주일이 경과한 시점에서 재검사를 해보았을 경우, 검사 객체 수는 161,284개로 증가하였지만 검사 시간은 5분 51초로 프로그램 설치 후 최초 검사에 비해 여전히 줄어드는 효과를 볼 수 있습니다.
4. 클라우드 분석 요청 수
시스템 검사를 진행하다보면 "클라우드 분석 요청 수"에 카운터(Counter) 되는 부분이 포함될 수 있습니다.
해당 부분은 정확하게 공개된 정보는 없으며, 예상할 수 있는 조건은 다음과 같습니다.
- 시스템 검사 중 AhnLab Smart Defense Center에서 수집되지 않은 파일이 발견되어 전송할 경우
- 클라우드 분석 요청 정책에 부합되는 파일의 경우(※ 기존에 수집된 파일도 포함될 것으로 추정됩니다.)
일반적으로 "클라우드 분석 요청 수"에 대한 정보를 확인하기 위해서는 시스템 검사가 완료된 후 "위협 분석 → 클라우드 자동 분석" 항목에서 AhnLab Smart Defense Center로 전송된 파일 정보와 분석 진행 상태, 분석 결과를 실시간으로 확인할 수 있습니다.
하지만 시스템 검사에서 표시된 "클라우드 분석 요청 수" 모두가 여기에 포함된 것은 아닌 것으로 확인되고 있으며, 이는 "클라우드 자동 분석"에는 수집되지 않아 전송된 파일에 대한 정보만 표시하며 그 외의 시스템 검사 중 클라우드 분석 요청 조건에 부합되는 파일에 대해서는 표시하지 않고 있습니다.
5. 안전한 프로그램 사용도
시스템 방역 하단에 표시되는 "안전한 프로그램 사용도" 점수는 AhnLab Next V3 보안 제품을 설치한 시점에서 사용자 PC에 존재한 파일을 검사하여 안전성이 검증된 프로그램(안전 프로그램)과 안전성이 검증되지 않은 프로그램(미확정 프로그램)을 점수화하여 표시한 것을 의미합니다.
실제 PC를 사용하면서 프로그램 추가 설치 등의 다양한 환경 변화에 따라 미확정 프로그램은 증가할 수 밖에 없는 구조일 수 있으며, 이에 따라 안전한 프로그램 사용도 점수는 점차적으로 하락하게 됩니다.
하지만 점수가 하락한다는 것은 감염된 PC를 의미하는 것이 아니며, 사용자가 안전성이 검증된 프로그램을 적게 사용한다는 의미입니다.
또한 다른 사용자들보다 기존에 사용하던 프로그램(안전 프로그램 포함)의 새로운 업데이트를 빠르게 설치하여 미확정 프로그램의 수가 증가하여 점수가 하락할 수도 있습니다. 즉, 현재는 안전 프로그램이었지만 업데이트를 통해 미확정 프로그램으로 변경될 수도 있다는 의미입니다.
결론적으로 안전한 프로그램 사용도 점수가 사용자에게 전달하려는 메시지는 되도록 미확정 프로그램의 수를 줄여서 안전성이 검증된 파일만을 이용하는 것이 잠재적인 보안 위협으로부터 시스템을 보호할 수 있다는 의미입니다.(※ 물론 안전성이 검증된 프로그램도 외부의 해킹에 의해 업데이트 서버를 통해 악성 파일을 전파할 수도 있습니다. )
6. 시스템 검사 : 진단 정보 확인하기
실제 테스트를 통해 AhnLab Next V3 보안 제품에서 시스템 검사를 통해 진단된 모습을 살펴보도록 하겠습니다.
기존의 AhnLab V3 보안 제품 또는 국내외 다른 보안 제품의 경우 위와 같이 시스템 검사를 통해 진단된 항목에는 바이러스 이름, 파일 경로 이외의 정보를 쉽게 확인할 수 없는 구조입니다.
일부 제품의 경우 바이러스 이름을 클릭할 경우 보안 업체에서 제공하는 진단명에 대한 개략적인 설명을 확인할 수 있었을 뿐, 실제 진단된 사실을 적시하지는 못하고 있는 것이 현실입니다.
하지만 AhnLab Next V3 보안 제품에서는 진단된 항목을 마우스로 클릭할 경우 "AhnLab Next V3 파일 분석 보고서"를 통해 진단된 파일에 대한 상세한 정보를 확인할 수 있는 장점을 지니고 있습니다.
해당 "AhnLab Next V3 파일 분석 보고서"는 사용자 PC에서 지정된 기본 웹 브라우저를 통해 파일에 대한 정보, 행위, 파일 사용자 수, 바이러스토탈(VirusTotal) 진단 정보 등 많은 정보를 실시간으로 확인할 수 있습니다.(※ AhnLab Next V3 보고서 기능에 대해서는 따로 소개를 하겠습니다.)
이를 통해 사용자는 제품에서 진단된 파일에 대한 상세 분석 보고서를 통해 오진 여부 뿐만 아니라 감염의 원인을 역추적할 수 있으며, 제품에서 진단되지 않은 숨어있는 악성 파일도 조사가 가능하다는 장점을 가지고 있습니다.(※ 분석 보고서의 활용은 사용자의 능력에 좌우될 수도 있습니다.)
7. 악성코드 치료와 검역소
시스템 검사를 통해 진단된 악성코드를 치료하면 그림과 같이 치료가 완료되었음을 표시하며, 악성코드의 종류에 따라 삭제(검역소 이동) 또는 치료(파일 감염형 바이러스의 경우)가 이루어집니다.
치료되어 삭제 처리된 악성코드는 "도구 → 검역소"에 보관되며, 차후 오진 또는 사용자의 필요에 따라 원래 파일 위치로 "복원" 또는 특정 폴더 위치로 "내보내기"를 할 수 있습니다.(※ 자세한 내용은 "도구" 메뉴 설명에서 다루도록 하겠습니다.)
다음 시간에는 "AhnLab Next V3 파일 분석 보고서"의 구성과 활용 방법에 대해 소개해 드리겠습니다.