글로벌 보안 업체 (주)안랩(AhnLab)에서 개발한 MDP(Multi-Dimensional Protection) 엔진을 사용하는 AhnLab Next V3 보안 제품의 화면 구성 중 "클라우드 평판" 메뉴 중 "동작 중인 프로세스" 기능에 대해 살펴보도록 하겠습니다.
클라우드 평판 기능은 AhnLab Next V3 보안 제품에서 제공하는 MDP 사전 방역 기능과 함께 알려지지 않은 악성 프로그램으로부터 시스템을 보호할 수 있는 핵심 기능 중 하나입니다.
해당 기능은 사용자 PC에서 실행되는 파일 중 안정성이 검증되지 않은 파일이 실행될 경우 "클라우드 평판 알림" 창을 생성하여 실행 여부를 결정하도록 되어 있으며, 이를 통해 사용자 몰래 설치하려는 악성 파일에 대한 능동적 대처가 가능합니다.
이 글에서는 클라우드 평판 기능에서 제공하는 "동작 중인 프로세스"와 "최근 생성된 파일" 중 "동작 중인 프로세스" 기능을 통해 사용자가 어떻게 활용할 수 있는지 살펴보도록 하겠습니다.
1. 클라우드 평판 : 실시간 보호 ON / OFF
"클라우드 평판 실시간 보호" 기능은 기본적으로 "시스템 실시간 보호"와 연동 방식으로 사용자가 시스템 실시간 보호 기능을 OFF 상태로 변경할 경우 클라우드 평판 실시간 보호도 함께 OFF 됩니다.
즉, 클라우드 평판 실시간 보호는 파일 기반 감시를 담당하는 시스템 실시간 보호와 함께 동작하며 시스템 실시간 보호가 OFF 상태에서 클라우드 평판 실시간 보호를 ON 상태로 변경할 경우 시스템 실시간 보호도 함께 켜지도록 구성되어 있습니다.
2. 클라우드 평판 : 환경 설정
(1) 평판 필터링
"평판 필터링"은 사용자 PC에 존재하는 파일이 실행시 최초 발견(20일 이내), 사용자 수(500명 이하), 의심 행위(0건 이상)를 기준으로 조건에 부합되는 파일인 경우 클라우드 평판 알림창을 생성하여 실행 여부를 묻게 됩니다.
또한 사용자는 기본값으로 지정된 "평판 필터링" 값을 임의로 변경하여 범위를 확장 또는 축소할 수 있습니다.
(2) 탐지할 의심 행위
"탐지할 의심 행위"는 실행되는 파일의 동적 분석을 통해 프로그램에서 지정한 86가지 의심 행위가 존재할 경우 클라우드 평판 알림창을 생성하며, 이런 의심 행위는 "파일 분석 보고서"의 "의심 행위 이력"에 기록되며 추가적으로 안랩 클라우드(AhnLab Cloud)에 수집되어 다른 사용자 PC에서도 "클라우드에서 발생한 의심 행위" 정보를 통해 확인할 수 있습니다.
(3) 신뢰 및 차단한 파일
클라우드 평판 알림창을 통해 사용자가 실행하려는 파일을 허용할 때, "신뢰 및 차단 정책에 추가"를 함께 체크(기본값)하면 "신뢰 및 차단한 파일" 목록에 포함되며, 기록된 정보는 안랩 클라우드(AhnLab Cloud)로 수집되어 사용자 평판 정보에 활용됩니다.
3. 동작 중인 프로세스
"동작 중인 프로세스" 메뉴는 사용자 PC에서 실행되는 프로그램으로 인해 실행되는 PE 파일(exe, dll, ocx, cpl, sys 등)을 확인할 수 있으며, 기본값(모든 파일 보기 : OFF)으로 사용자가 신뢰한 파일 및 안정성이 검증된 파일은 표시되지 않습니다.
(1) "신뢰" 등록하는 방법
사용자가 새로운 프로그램을 PC에 설치한 후 프로그램을 실행하였을 경우를 예를 들어보면, 설치한 프로그램 실행으로 인해 동작하는 파일은 "동작 중인 프로세스" 목록에 표시될 수 있습니다.
기본값(모든 파일 보기 : OFF) 상태에서 표시되는 프로세스는 회색으로 표시된 파일명(이미지 이름)을 가지며, 이는 ASD 네트워크에서 안전 또는 악성으로 분류되지 않은 미확정(Unknown) 파일임을 의미합니다.
만약 사용자가 프로그램 설치를 한 후 실행시 "동작 중인 프로세스" 목록에 표시되지 않는다면 해당 프로그램의 파일들은 이미 안정성이 검증된 안전한 파일(파란색)이라고 말할 수 있으며, "모든 파일 보기 : ON"로 설정을 변경한 경우에는 표시가 됩니다.
사용자는 "동작 중인 프로세스" 목록(기본값 상태)에 표시된 프로세스(이미지)의 안정성 여부를 확인하여 신뢰 또는 차단을 하기 위해서는 "파일 분석 보고서"와 "사용자 평판"을 할용할 수 있습니다.
■ 파일 분석 보고서
목록에 표시된 회색(미확정, Unknown)으로 분류된 파일을 클릭하면 "파일 분석 보고서"를 통해 세부적인 정보를 판단할 수 있으며, 이를 기반으로 "클라우드 평판" 메뉴에서 제공하는 우측 하단의 "신뢰" 또는 "차단" 버튼을 클릭하여 사용자 평판 정보를 추가할 수 있습니다.
■ 사용자 평판
다른 방법으로는 "동작 중인 프로세스"에 표시되는 파일의 사용자 평판 정보를 참고하여 붉은색 그래프가 표시되는 경우에는 1차적으로 의심해 볼 필요가 있습니다.(※ 사용자 평판은 사용자의 신뢰, 차단 등록 정보에 따라 달라질 수 있으므로 절대적인 평가를 의미하는 것은 아니므로 주의하시기 바랍니다.)
파일 분석 보고서를 비롯한 다양한 정보를 종합하여 정상 프로그램이라고 판단될 경우에는 "동작 중인 프로세스" 목록(기본값)에 표시된 파일을 체크하여 "신뢰" 버튼을 클릭하시면 됩니다.
"신뢰"로 지정된 프로세스는 "동작 중인 프로세스" 목록의 기본값(모든 파일 보기 : OFF)에서는 표시되지 않으며, 사용자가 "모든 파일 보기 : ON"으로 변경한 경우에 목록에서 확인할 수 있으며 회색에서 파란색 이미지로 변경됩니다.(※ 파란색은 안전한 파일로 검증된 경우 또는 사용자가 신뢰로 지정한 경우를 의미합니다.)
"신뢰"로 등록된 파일은 "환경 설정 → 클라우드 평판 → 신뢰 및 차단한 파일" 목록에 자동으로 등록되며, 차후 해당 파일을 실행시 "클라우드 평판 알림창"이 생성되던 파일인 경우에는 알림창없이 실행이 가능합니다.(※ 해당 목록에 등록된 파일은 안랩 클라우드(AhnLab Cloud)에 전송되어 사용자 평판에 활용됩니다.)
사용자에 의해 "신뢰"로 등록된 파일일지라도 AhnLab Next V3 진단 패턴에서 악성 파일로 정식 진단이 이루어질 경우에는 클라우드 평판에 등록된 신뢰 파일로 진단이 이루어지므로 안심하시기 바랍니다.
대신 클라우드 평판은 사용자의 판단에 전적으로 의존하는 부분이 강하므로 신뢰 등록시에는 각별히 주의하시기 바랍니다.
(2) 모든 파일 보기 : ON
"동작 중인 프로세스" 목록에서 "모든 파일 보기 : ON" 상태로 전환을 할 경우에는 현재 실행 중인 프로세스 목록이 모두 표시되며, 사용자가 목록 중 체크할 수 있는 파일(이미지)은 제한을 두고 있습니다.
이런 이유는 정상적인 시스템 파일을 사용자의 실수로 인해 "차단" 값을 지정할 경우 사용자 평판의 훼손 및 시스템에 심각한 문제를 유발할 수 있다는 점과 이미 안정성이 검증된 파일을 보호할 목적으로 보입니다.
대신에 기본값(모든 파일 보기 : OFF)에서 표시되지 않았지만, 회색의 미확정(Unknown) 파일인 경우에는 체크를 통해 사용자가 신뢰 또는 차단을 지정할 수 있습니다.
참고로 미확정 파일인지만 기본값에서 표시되지 않는 파일들도 존재하므로, 의심스러운 프로세스를 찾으실 때에는 "모든 파일 보기 : ON" 상태로 전환하여 확인하실 필요가 있습니다.
(3) "차단" 등록하는 방법 : User/Gen.Block
사용자가 "동작 중인 프로세스" 목록에서 사용자 평판이 좋지 않거나(붉은색) "파일 분석 보고서" 정보 등을 종합하여 악성 파일로 판단되는 경우에는 해당 프로세스(이미지) 이름을 체크하여 "차단"으로 지정할 수 있습니다.
예를 들어 특정 프로그램이 설치 및 실행되어 "동작 중인 프로세스" 목록에 표시되었을 경우 사용자는 사용자 수, 최초 발견, 사용자 평판, 파일 분석 보고서 등의 정보를 종합하여 악성 파일로 판단될 경우 "차단" 버튼을 클릭할 수 있습니다.
"차단" 버튼을 클릭할 경우 "파일이 차단되면 실시간 보호에 의해 삭제됩니다."라는 안내창이 생성됩니다.
차단이 이루어지면 "동작 중인 프로세스" 목록에 등록된 파일은 회색(검정색)에서 붉은색으로 변경이 되어, 사용자에게 시각적으로 해당 파일은 악성 파일로 분류되고 있음을 표시합니다.
그 후 시스템 실시간 보호 기능 또는 사용자에 의한 수동 검사(시스템 방역)를 통해 "악성코드 차단 알림" 창이 생성되어 사용자가 "차단"으로 지정한 파일은 User/Gen.Block 진단명으로 삭제 처리가 이루어집니다.
또한 "차단"으로 지정된 파일은 "환경 설정 → 클라우드 평판 → 신뢰 및 차단한 파일" 목록에 추가되어 AhnLab Next V3 보안 제품에서 정식으로 진단되지 않더라도 사용자에 의해 User/Gen.Block 진단명으로 항상 진단됩니다. (※ 차단된 정보는 안랩 클라우드(AhnLab Cloud)에 전송되어 사용자 평판 정보로 활용됩니다.)
(4) 루트킷(Rootkit) 기반 프로세스 표시 여부
윈도우 탐색기에서는 확인되지 않는 루트킷(Rootkit) 방식으로 설치되는 프로그램을 이용하여 AhnLab Next V3 보안 제품에서 정상적으로 표시되는지 여부를 추가적으로 살펴보았습니다.
예를 들어 특정 프로그램을 설치한 경우 생성된 파일이 GMER 툴을 통해 확인해보면 루트킷(Rootkit) 방식으로 동작하는 것을 확인할 수 있습니다.(※ 윈도우 탐색기, Windows 작업 관리자, 일반적인 프로세스 확인 프로그램을 통해서는 표시되지 않습니다.)
설치된 환경에서 "동작 중인 프로세스" 목록을 확인해보면 루트킷(Rootkit) 기반의 파일(ProcLauncher.exe, ProcessClean.exe)도 정상적으로 표시되는 것을 확인할 수 있습니다.
4. 클라우드 평판 알림
클라우드 평판 실시간 보호 기능이 활성화된 환경에서 사용자가 프로그램 설치 또는 설치된 프로그램을 실행할 경우 "클라우드 평판 알림" 창이 생성되는 경우가 있습니다.
해당 "클라우드 평판 알림" 창에서는 사용자가 실행하려는 파일이 "안정성이 확인되지 않은 파일 실행을 탐지하였습니다."라는 이유로 파일 경로와 파일 평판 정보를 제시하면서 차단(권장), 허용 여부를 묻습니다.
우선 해당 "클라우드 평판 알림" 창이 생성되는 조건은 환경 설정에서도 언급한 것처럼 "평판 필터링" 조건에 포함될 경우이며, 조건 내에서도 유효한 디지털 서명을 포함한 파일인 경우에는 클라우드 평판 알림창이 생성되지 않습니다.
그렇다면 사용자 입장에서 "클라우드 평판 알림" 창이 생성되었을 경우 어떻게 해야 할지를 살펴보겠습니다.
(1) "클라우드 평판 알림" 창은 30초간 유지된 후 사용자가 선택을 하지 않는다면 파일 실행을 중지합니다.
사용자는 30초 이내에 파일을 차단할 것인지 허용할 것인지 "파일 평판 정보"를 참고하여 결정해야 하며, 만약 판단할 수 없는 경우에는 "파일 경로" 영역을 클릭하여 "파일 분석 보고서"를 참고하시기 바랍니다.
단, 파일 분석 보고서를 30초 이내에 확인할 수 없으므로 최초 파일 실행시 "클라우드 평판 알림" 창이 생성된 경우에는 ① 30초간 창을 그대로 유지하거나 ② "클라우드 평판 알림" 창의 우측 상단의 "닫기(X)" 버튼을 클릭하여 파일 실행을 종료한 후 파일 평판 정보 및 파일 분석 보고서 내용을 확인한 후 파일을 재실행하여 차단 또는 허용을 클릭합니다.
참고로 클라우드 평판 알림창이 뜬 파일의 허용 또는 차단을 결정하지 않은 경우, 파일 실행이 되지 않기 때문에 "지정한 장치, 경로 또는 파일을 액세스할 수 없습니다. 이 항목을 액세스하는 데 필요한 권한을 가지고 있지 않습니다."라는 메시지 창이 뜨며 파일이 삭제된 것이 아니므로 안심하시기 바랍니다.)
(2) 신뢰 및 차단 정책에 추가
"클라우드 평판 알림" 창은 기본값으로 "신뢰 및 차단 정책에 추가" 항목에 체크된 상태이므로, 사용자가 차단 또는 허용을 선택한 경우 해당 파일은 "환경 설정 → 클라우드 평판 → 신뢰 및 차단한 파일" 목록에 추가됩니다.
이를 통해 추가된 목록은 안랩 클라우드(AhnLab Cloud)에 전송되어 사용자 평판 정보로 활용됩니다.
그러므로 사용자가 비록 "허용"을 선택하더라도 "신뢰 및 차단 정책에 추가" 체크 박스를 해제한 상태로 허용을 할 경우에는 해당 파일이 재실행될 때에 "클라우드 평판 알림" 창이 재생성되어 다시 결정을 할 수 있습니다.
(3) "차단(권장)" 선택을 통한 User/Gen.Block 진단 추가
"클라우드 평판 알림" 창이 뜬 파일은 "안정성이 확인되지 않은 파일"의 자동 실행을 예방하기 위한 보안 수단이므로 악성 여부는 확정된 것이 아닙니다.
그런데 일부 사용자의 경우 "클라우드 평판 알림" 창이 생성될 경우 "차단"이 권장값으로 지정되어 있는 정책에 의해 무조건 "차단"을 클릭하는 일이 있을 수 있습니다.
이런 경우 차단된 파일은 시스템 실시간 보호 기능을 통해 User/Gen.Block 진단명으로 진단되어 삭제 처리가 이루어지므로, "차단"을 선택한다는 것은 파일을 진단에 추가하여 삭제를 한다는 것임을 명심하시기 바랍니다.
반대로 현재 AhnLab Next V3 보안 제품에서는 사용자가 실행하려는 파일에 대해 진단하지 않지만, 파일 평판 정보, 파일 분석 보고서 등을 종합해 볼 때 실제 악성 파일인 경우도 있으므로 "차단"을 통해 User/Gen.Block 진단명으로 사전 대응을 할 수 있다는 장점을 가지고 있습니다.
다음 시간에는 "클라우드 평판" 메뉴의 "최근 생성된 파일" 기능을 통해 사용자 PC에 생성되는 파일 정보를 활용할 수 있는 방법을 살펴보도록 하겠습니다.
☞ AhnLab Next V3 Beta : 설치 & 프로세스 정보 (2013.1.29)
☞ AhnLab Next V3 Beta : 환경 설정 (2013.1.30)
☞ AhnLab Next V3 Beta : 화면 구성 - HOME (2013.2.1)
☞ AhnLab Next V3 Beta : 화면 구성 - 시스템 방역 (2013.2.5)
☞ AhnLab Next V3 Beta : 파일 분석 보고서 (2013.2.11)