울지않는벌새 : Security, Movie & Society

AhnLab Next V3 Beta : 위협 분석 - 클라우드 자동 분석

벌새::Software
● 해당 글은 안랩(AhnLab)에서 진행하는 "AhnLab Next V3 Beta 이벤트" 참여 목적으로 작성된 글임을 밝힙니다.

 

글로벌 보안 업체 (주)안랩(AhnLab)에서 개발한 MDP(Multi-Dimensional Protection) 엔진이 추가된 AhnLab Next V3 보안 제품의 화면 구성 중 "위협 분석" 메뉴의 "클라우드 자동 분석" 기능에 대해 살펴보도록 하겠습니다.

 

  AhnLab Next V3 Beta : 위협 분석 - 프로그램 활동 내역 (2013.3.2)

"클라우드 자동 분석" 기능은 AhnLab Next V3 보안 제품이 설치된 환경에서 생성되는 파일 중 ASD 네트워크에 등록되지 않은 파일이 발견되었을 경우, 그림과 같은 풍선창을 생성하여 "새로운 파일이 발견되어 클라우드 자동 분석을 요청 하였습니다."라는 메시지가 나타납니다.(※ 대용량 파일의 경우에는 "클라우드 자동 분석" 기능을 통해 파일 수집이 이루어지지 않습니다.)

 

이렇게 수집된 파일은 "클라우드 자동 분석" 목록에 파일 경로, 분석 상태, 분석 결과를 공개하여, 다른 클라우드 보안 제품에서의 비공개적인 파일 수집과 비교하여 투명하게 운영되고 있습니다.

 

1. 환경 설정

"클라우드 자동 분석"과 관련된 환경 설정은 "시스템 방역 → 고급 설정 → 클라우드 자동 분석" 항목을 통해 사용 여부를 결정할 수 있습니다.

 

만약 사용자가 AhnLab Next V3 보안 제품을 통해 파일 수집이 이루어지는 것을 원치 않는다면 해당 옵션을 OFF 하시고 사용하시면 파일 수집 및 "클라우드 자동 분석" 기능이 중지됩니다.(※ 실시간 보호 기능을 일시적으로 OFF 하여도 "클라우드 자동 분석" 기능은 동작합니다.)

 

2. 클라우드 자동 분석 : 상태

  • 전송 예정 : ASD 네트워크에서 수집되지 않은 파일임을 확인했지만, 현재 전송이 이루어지지 않은 상태
  • 분석 중 : ASD 네트워크에 전송이 이루어졌으며, 자동 분석 중인 상태
  • 분석 완료 : ASD 네트워크에 전송이 이루어졌으며, 자동 분석이 완료된 상태

수집된 파일은 "클라우드 자동 분석" 목록에 파일 경로와 함께 표시되며, 해당 파일의 전송 및 분석 상태를 자세하게 표시하고 있습니다.

 

3. 클라우드 자동 분석 : 분석 결과

"클라우드 자동 분석" 목록에서는 수집된 파일의 상태가 분석 완료된 경우 안전도 평가가 확정될 경우 정상 또는 악성으로 표시되며, 미확정(Unknown) 파일은 평판 필터링 기준에 따라 20일이 지날 때까지 악성으로 분류되지 않을 경우 정상 파일로 표시됩니다.(※ 일부 검증 절차가 완료된 파일은 분석 완료 후 정상으로 분류될 수 있습니다.)

 

4. 날짜로 검색하기

"클라우드 자동 분석" 목록은 기본적으로 1주일 기록만을 표시하며, 사용자가 날짜 범위를 선택하여 그 이전에 수집된 파일 정보를 확인할 수 있습니다.(※ 해당 기록은 일정 용량이 넘을 경우 순차적으로 삭제 처리되는 것으로 알고 있습니다.)

 

5. 조건 검색하기

사용자는 클라우드 자동 분석에 기록된 특정 검색 키워드(날짜, 파일 경로, 상태, 분석 결과)를 입력하여 필터링을 통한 조건 검색을 할 수 있습니다.

 

6. 파일로 저장

클라우드 자동 분석에 기록된 로그(Log)는 "파일로 저장" 버튼을 클릭하여 asd_cloud.csv 파일로 저장할 수 있으며, 저장된 파일은 Excel 계열 프로그램을 이용하여 내용을 확인할 수 있습니다.

 

7. 파일 분석 보고서 이용하기

클라우드 자동 분석 기능을 통해 수집되어 목록에 표시된 파일 경로를 클릭하면 "파일 분석 보고서"로 연결되어 해당 파일에 대한 상세한 정보를 추가적으로 확인할 수 있습니다.

 

또한 수집된 파일은 기본적으로 미확정(Unknown) 파일이므로 "클라우드 평판 → 최근 생성된 파일" 목록에 표시됩니다.

 

결론적으로 "클라우드 자동 분석" 기능은 AhnLab Next V3 보안 제품을 통해 알려지지 않은 다양한 파일을 수집할 수 있는 기능이며, 이를 통해 새로운 악성 파일에 대한 대응력이 강화되므로 일반 사용자의 경우에는 반드시 옵션을 끄지 마시고 이용하시기 바랍니다.

 

다음 시간에는 AhnLab Next V3 보안 제품의 "도구" 메뉴에 등록된 이벤트 로그, 진단 로그, 검역소 기능에 대해 살펴보도록 하겠습니다.