글로벌 보안 업체 (주)안랩(AhnLab)에서 개발한 MDP(Multi-Dimensional Protection) 엔진이 추가된 AhnLab Next V3 보안 제품의 화면 구성 중 "도구" 메뉴의 이벤트 로그, 진단 로그, 검역소 기능에 대해 살펴보도록 하겠습니다.
1. 이벤트 로그
"이벤트 로그"는 AhnLab Next V3 보안 제품의 동작(MDP 사전 보호, USB 자동 검사, 검역소, 네트워크 보호, 시스템 보호, 업데이트, 은폐 진단, 제품 보호, 클라우드 자동 분석, 클라우드 평판 등)과 관련된 로그(Log)를 표시해 줍니다.
특히 수준(일반, 경고) 항목에 표시되는 붉은색의 "경고"는 "제품 보호"와 관련된 것으로, AhnLab Next V3 보안 제품의 자체 보호 영역을 침해하는 동작에 대해 풍선창을 통해 경고를 하며 이벤트 로그에서도 기록이 됩니다.
(1) 조건 검색하기
이벤트 로그는 기본값으로 1주일 기록만 표시되며, 사용자가 추가적으로 지정한 기간에 대한 이벤트 로그를 검색할 수 있도록 지원하고 있습니다. 또한 특정 검색 키워드(날짜, 수준, 구분, 내용)를 통해 필터링된 검색 결과를 확인할 수 있습니다.
(2) 파일로 저장
사용자가 표시된 이벤트 로그를 파일로 저장하기 원할 경우 "파일로 저장" 버튼을 클릭하시면 asd_event.csv 파일로 저장되며, 저장된 파일은 Excel 계열 프로그램을 통해 내용을 확인할 수 있습니다.
2. 진단 로그
"진단 로그"는 AhnLab Next V3 보안 제품이 진단한 위협 요소(네트워크 침입, 악성코드 차단, 의심 프로그램 실행) 진단 및 치료 결과를 표시합니다.
(1) 네트워크 침입
"네트워크 침입"은 사용자가 웹 브라우저를 이용하여 특정 웹 사이트를 방문할 경우 "URL 차단 알림" 창을 통해 "위험 사이트 접속을 차단 하였습니다." 또는 "불필요한 사이트 접속을 차단 하였습니다."와 같은 메시지를 표시하는 부분에 대한 기록입니다.
(2) 의심 프로그램 실행
"의심 프로그램 실행"은 사용자가 파일을 실행할 경우 "클라우드 평판 알림"창을 통해 "안정성이 확인되지 않은 파일 실행을 탐지하였습니다."라는 메시지를 통해 실행 여부를 묻는 부분에 대한 기록입니다.
(3) 조검 검색하기
"진단 로그"에는 기본적으로 1주일 기록이 표시되며 사용자가 추가적으로 날짜를 지정하여 검색할 수 있으며, 특정 검색 키워드(날짜, 진단명(위협 요소), 객체, 상태, 검사 방법)를 이용하여 필터링된 검색 결과를 확인할 수 있습니다.
(4) 파일로 저장
진단 로그에 표시된 기록을 파일로 저장하기 위해서는 "파일로 저장" 버튼을 클릭하여 asd_malware.csv 파일로 저장할 수 있으며, 저장된 파일은 Excel 계열 프로그램을 이용하여 내용을 확인할 수 있습니다.
3. 검역소
"검역소"는 사용자 PC에서 발견된 악성 파일을 치료시 원본 파일을 검역소에 격리 보관하는 기능을 수행하며, 필요에 따라서는 "복원" 또는 "내보내기" 기능을 통해 원본을 복구할 수 있습니다.
(1) 조검 검색하기
"검역소"에 표시되는 기록은 기본적으로 1주일 기간이 표시되므로 사용자가 지정한 날짜를 통해 확장 검색을 할 수 있으며, 특정 검색 키워드(날짜, 바이러스 이름, 파일 경로)를 통한 필터링된 검색 결과를 확인할 수 있습니다.
(2) 복원하기
- 복원 : 검역소에 기록된 파일 경로로 복원이 이루어집니다.
검역소에 격리 보관 중인 악성 파일 중 사용자의 필요에 따라 복원을 원할 경우, 해당 파일을 체크하여 "복원" 버튼을 클릭하시면 됩니다.
다음 단계에서는 "복원된 파일을 검사 예외 목록에 추가하시겠습니까?"라는 메시지가 출력됩니다.
사용자가 복원된 파일을 검사 예외 목록에 추가를 한 경우에는 "환경 설정 → 기타 → 검사 예외 설정" 목록에 복원된 파일을 자동으로 등록하여 "시스템 실시간 보호" 및 "시스템 검사"시 진단되지 않도록 할 수 있습니다.
만약 검사 예외 목록에 추가를 하지 않은 상태로 복원을 할 경우에는 복원 즉시 "악성코드 차단 알림"창이 생성되어 복원된 파일이 삭제(치료) 처리가 이루어집니다.
그러므로 파일 복원시에는 예외 처리를 하거나 임시로 시스템 실시간 보호 기능을 OFF 하시기 바랍니다.
정상적으로 복원이 완료된 경우에는 "파일 복원이 완료되었습니다."라는 안내 메시지가 생성됩니다.
하지만 다음과 같은 조건에서는 정상적인 파일 복원이 완료된 상태에서 "복원 실패"로 표시되는 문제를 발견하였습니다.
2013-03-03 13:58:12,에러,검역소,파일 복원에 실패하였습니다.(C:\Users\(사용자 계정)\Desktop\0026780.tmp, 에러코드:1006)
만약 사용자가 시스템 실시간 보호 기능을 ON 상태에서 검역소에서 복원 파일을 검사 예외 목록에 추가하지 않은 상태로 복원을 시도할 경우 복원과 함께 "악성코드 차단 알림"창을 통해 파일을 삭제 처리합니다.
그 이후 시스템 실시간 보호 기능을 OFF 상태로 변경하고 검역소에서 다시 복원을 시도할 경우에는 정상적으로 파일 복원이 완료되어도 "복원 실패"로 표시되는 것으로 파악되고 있습니다.
(3) 내보내기
- 내보내기 : 사용자가 지정하는 특정 위치로 파일을 복원할 수 있습니다.
사용자가 검역소에 격리 보관된 파일 중 복원을 원하는 파일을 체크하여 "내보내기" 버튼을 통해 "파일 경로" 위치가 아닌 사용자가 지정한 특정 위치로 파일을 복원할 수 있습니다.
"내보내기" 버튼을 클릭하면 "폴더 찾아보기" 창을 통해 사용자가 원하는 특정 위치를 지정할 수 있습니다.
정상적으로 파일 복원이 이루어진 경우에는 "파일 내보내기가 완료되었습니다." 메시지가 생성됩니다.
(4) 파일로 저장
"검역소"에 표시된 목록을 파일로 저장하기 위해서는 "파일로 저장" 버튼을 클릭하여 특정 위치에 asd_quarantine.csv 파일로 저장할 수 있으며, 저장된 파일은 Excel 계열 프로그램을 통해 내용을 확인할 수 있습니다.
이상으로 (주)안랩(AhnLab)에서 새롭게 선보일 MDP(Multi-Dimensional Protection) 기술을 이용한 다차원적 방어가 가능한 AhnLab Next V3 보안 제품의 모습을 살펴보았습니다.
해당 제품은 차후 정식 버전은 존재하지 않으며, 현재의 AhnLab V3 Lite 무료 백신과 AhnLab 365 Clinic, AhnLab Internet Security 9.0 유료 제품에 적용될 예정으로 알고 있습니다.
다음 시간부터는 AhnLab Next V3 보안 제품을 통해 실제로 다양한 보안 위협 환경에서 대응하는 모습과 타 보안 제품과의 대응력 차이에 대해 소개할 예정입니다.
☞ AhnLab Next V3 Beta : 설치 & 프로세스 정보 (2013.1.29)
☞ AhnLab Next V3 Beta : 환경 설정 (2013.1.30)
☞ AhnLab Next V3 Beta : 화면 구성 - HOME (2013.2.1)
☞ AhnLab Next V3 Beta : 화면 구성 - 시스템 방역 (2013.2.5)
☞ AhnLab Next V3 Beta : 파일 분석 보고서 (2013.2.11)
☞ AhnLab Next V3 Beta : 네트워크 방역 & URL 분석 보고서 (2013.2.17)
☞ AhnLab Next V3 Beta : 클라우드 평판 - 동작 중인 프로세스 (2013.2.23)
☞ AhnLab Next V3 Beta : 클라우드 평판 - 최근 생성된 파일 (2013.2.24)
☞ AhnLab Next V3 Beta : 위협 분석 - 프로그램 활동 내역 (2013.3.2)