(주)안랩(AhnLab) 업체에서 다차원 분석 플랫폼 기반의 AhnLab V3 365 Clinic 3.0 제품을 출시하면서 강조한 AhnLab Smart Defense(ASD) 클라우드 서비스에 대하여 기존 버전과 비교하여 어떤 점이 달라졌는지 전반적으로 살펴보도록 하겠습니다.(※ ASD 클라우드 서비스 내용은 분량상 <1>, <2>편으로 나누어 게시될 예정입니다.)
우선 AhnLab Smart Defense(ASD)의 시작을 찾아보면 2009년 6월 1일 베타 테스트를 통해 AhnLab V3 제품군에 ASD Framework 1.x 버전이 추가되었습니다.
▷ AhnLab Smart Defense 베타 테스트 (2009.6.1)
이를 통해 AhnLab V3 365 Clinic 2.x 버전에서도 프로그램 설치 단계에서 AhnLab Smart Defense 기능의 사용 여부를 결정하여 다양한 악성코드에 대한 대응 능력을 강화하였습니다.
하지만 AhnLab V3 365 Clinic 2.9 버전까지 제공되던 Smart Defense 기능은 사용자 PC에서 확인된 파일에 대하여 Smart Defense 서버에 저장된 정보를 이용하여 악성 여부를 확인할 수 있는 제한적 기능(※ 파일 진단 및 차단)을 가지고 있었습니다.
그렇다면 이번에 출시된 AhnLab V3 365 Clinic 3.0 버전에서는 AhnLab Smart Defense 기능이 어떻게 확장되어 다차원 분석 플랫폼이라는 문구를 가지게 되는지 알아보도록 하겠습니다.
1. ASD 네트워크 참여 및 데이터 수집 동의
AhnLab V3 365 Clinic 3.0 버전을 설치하는 단계에서는 "ASD 네트워크 참여 및 데이터 수집 동의"가 추가(※ 기본값 : OFF)되어 있으며, 해당 체크 박스에 표시를 하고 설치를 진행할 경우 사용자 PC에서 발생하는 다양한 데이터 정보를 AhnLab Smart Defense(ASD) 클라우드 서버에 전송합니다.
"ASD 네트워크 참여"를 통해 사용자 PC에서 수집되는 정보에 대한 세부적인 내용은 "ASD 사용권 계약"을 통해 확인할 수 있으며, AhnLab V3 365 Clinic 2.9 버전과 비교하여 달라진 부분 중의 하나는 "데이터 수집 기능"입니다.
즉, 구버전에서는 ASD 클라우드 서버에서 제공되는 정보를 통해 악성 파일을 찾아 진단할 수 있었던 반면 사용자 PC에 존재하는 진단하지 못하는 악성 파일을 ASD 클라우드 서버에 제공하지 않는 문제가 있었습니다.(※ AhnLab V3 Lite 무료 백신에서는 사용자의 선택에 따라 보고되지 않은 파일을 수집하는 기능이 포함되어 있었습니다.)
하지만 AhnLab V3 365 Clinic 3.0 버전에서는 "클라우드 자동 분석 요청" 기능을 통해 사용자 PC에서 발견된 보고되지 않은 파일이 존재할 경우 그림과 같은 알림창을 통해 ASD 클라우드 서버에 전송할 수 있습니다.(※ 클라우드 자동 분석 요청이 이루어지는 파일은 악성 또는 정상 파일로 분류되지 않은 미확정 파일을 의미합니다.)
이렇게 전송된 파일은 빠르면 몇 분 내에 악성 여부가 확인되어 악성 파일인 경우 PC 실시간 검사 기능을 통해 진단 및 치료를 제공할 수 있으며, 세부적인 정보는 "Active Defense → 클라우드 자동 분석" 메뉴에서 확인할 수 있습니다.
만약 사용자가 "환경 설정 → Active Defense 설정" 메뉴에서 "ASD 네트워크 참여" 체크 해제 또는 "클라우드 자동 분석 사용"을 체크 해제한 경우에는 파일 수집이 이루어지지 않으며 Active Defense에서 제공하는 클라우드 자동 분석 기능도 사용할 수 없습니다.
ASD 네트워크 참여 기능을 종합해보면 AhnLab V3 365 Clinic 3.0 버전에서는 기존 제품과는 다르게 ASD 클라우드 서버에 보고되지 않은 파일을 수집할 수 있으며, 수집된 정보를 분석하여 제품의 진단률 향상에 기여할 수 있습니다.
2. AhnLab Smart Defense(ASD) 클라우드 서비스 정보
AhnLab V3 365 Clinic 2.9 버전에서는 AhnLab Smart Defense(ASD) 기능이 포함되어 있었지만 이에 대한 정보를 시각적으로 제공되는 부분이 전혀 없었습니다.
하지만 클라우드 기능을 제공하는 Kaspersky, Symantec 제품처럼 AhnLab V3 365 Clinic 3.0 버전에서는 통계 정보를 제품에서 확인할 수 있도록 공개하고 있습니다.
HOME 화면에서는 ASD Cloud Service 창을 통해 AhnLab Smart Defense(ASD) 클라우드 서버에 보고된 파일을 분석하여 정상, 악성, 미확정으로 분류하고 있으며, 현재 약 8억개가 넘는 DB를 구축하고 있습니다.
고급 화면에서는 "ASD 클라우드 서버 현황" 정보를 통해 유해 사이트, 악성 파일, 미확정 파일 정보를 주기적으로 업데이트하고 있으며, "최근 24시간 연결 PC" 수는 AhnLab V3 제품 사용자 중 최근 24시간 기준으로 ASD 네트워크에 참여한 수를 의미합니다.(※ ASD 네트워크 참여를 OFF한 사용자는 포함되지 않습니다.)
3. AhnLab Smart Defense 개념과 제품 적용
안랩(AhnLab)에서 강조하는 다차원 분석 플랫폼의 개념을 살펴보면 AhnLab V3 365 Clinic 3.0 버전을 사용하는 사용자가 "ASD 네트워크 참여"를 통해 제공한 각종 데이터와 기존에 수집된 정보를 기반으로 "ASD 클라우드 자동 분석 시스템"에서 실시간으로 파일 정보, 평판 정보, 행위 정보, URL/IP 정보를 분석하여 악성으로 분류된 정보를 이용한 시그니처 및 DNA 룰을 추출하여 대응이 이루어지도록 되어 있습니다.
AhnLab Smart Defense(ASD) 2.0 기술이 적용된 AhnLab V3 365 Clinic 3.0 버전에서는 ASD 네트워크에서 제공하는 정보를 이용하여 다음과 같은 보안 기술이 제품에 포함되어 있습니다.
(1) 네트워크 보안
"네트워크 보안"에서는 ASD 클라우드 서버에서 수집된 정보를 바탕으로 악성 사이트 접근 차단, 불필요한 사이트(PUS) 접근 차단 기능을 제공하고 있습니다.(※ 해당 기능은 AhnLab V3 365 Clinic 2.9 버전에서는 안랩 사이트가드(AhnLab SiteGuard) 프로그램을 통해 제한적으로 제공되고 있습니다.)
악성 사이트 접근 차단 기능은 사용자가 악성 웹 사이트에 접근하는 경우, 사용자 PC에 설치된 악성 파일이 악성 웹 사이트에 연결을 시도하는 경우 웹 보안 기능을 통해 차단할 수 있습니다.
불필요한 사이트(PUS) 접근 차단 기능은 광고 프로그램과 같은 불필요한 프로그램(PUP)과 연관되는 웹 사이트 접근에 대한 차단 기능을 제공하고 있습니다.
또한 "네트워크 보안 → 의심 사이트" 메뉴를 통해 사용자가 접속한 사이트 중 안전하지 않을 가능성이 있는 사이트 목록이 자동으로 등록되어 사용자 판단에 따라 차단 또는 신뢰 사이트로 등록할 수 있습니다.(※ 사용자에 의해 차단 또는 신뢰로 등록된 정보는 ASD 클라우드 서버에 전송되어 평판에 활용됩니다.)
특히 AhnLab V3 365 Clinic 2.9 버전에서 부가적으로 설치되는 안랩 사이트가드(AhnLab SiteGuard) 프로그램 설치없이 AhnLab V3 365 Clinic 3.0 버전에서는 더욱 강력한 기능으로 보호받을 수 있습니다.
네트워크 보안 기능은 변조된 웹 사이트에 접근하는 경우 또는 악성 서버로부터 파일을 다운로드하여 시스템 감염을 유발하는 감염 방식으로부터 다운로드되는 악성 파일을 진단하지 못하더라도 악성 URL/IP 주소를 차단하여 근본적인 예방이 가능하므로 항상 PC 실시간 검사와 함께 웹 보안 기능을 ON 상태로 유지하시고 사용하시기 바랍니다.
(2) 행위 기반 진단과 클라우드 평판 기반 실행 차단
AhnLab V3 365 Clinic 3.0 버전에서는 ASD 클라우드 서버에서 전송되는 정보를 바탕으로 PC 실시간 검사 기능에 행위 기반 진단과 클라우드 평판 기반 실행 차단 기능이 포함되어 있습니다.(※ 해당 기능은 AhnLab V3 365 Clinic 2.9 버전에는 존재하지 않습니다.)
■ 행위 기반 진단
행위 기반 진단은 시그니처 진단 방식으로 탐지되는 파일 중 프로그램에서 정한 의심 행위 규칙에 부합될 경우 진단이 이루어지는 진단 방식을 의미합니다.
가장 대표적인 예를 들어 사이버 범죄자들이 온라인 게임핵(OnlineGameHack), 인터넷 뱅킹, 백도어(Backdoor) 등의 악성 파일을 유포하는 방식으로 활발하게 이용되는 Drive-By Download의 경우, 사용자가 보안 패치를 제대로 하지 않은 PC 환경에서 악성 스크립트가 포함된 웹 사이트에 방문하는 경우 자동으로 시스템 감염이 발생하게 됩니다.
이 과정에서 AhnLab V3 365 Clinic 3.0 버전은 Malware/MDP.JavaExploit.M106 진단명과 같은 방식으로 취약점을 이용한 이상 행위 수행에 따른 동작을 탐지하여 다운로드되는 악성 파일 및 연관 파일을 삭제 및 종료 처리하여 시스템을 보호합니다.
반대로 AhnLab V3 365 Clinic 2.9 버전의 경우에는 위와 같은 행위 기반 진단 기능 자체가 존재하지 않는 문제로 인하여 취약점을 이용한 다운로드를 통해 생성되는 파일을 진단하지 못할 경우에는 시스템 감염으로 연결이 되었습니다.
하지만 이제는 Adobe Flash Player, Adobe PDF, Oracle Java, 한글(HWP) 문서, Microsoft Office, Microsoft Windows 등 다양한 보안 취약점을 이용한 시스템 감염 방식으로부터 더욱 안전한 보호를 받을 수 있습니다.
또한 위와 같은 웹 사이트 접속 과정에서 발생하는 취약점 이외에도 악성(정상) 프로그램을 사용자가 실행하는 과정에서 사용자 몰래 악성 파일이 동작하는 과정에서 행위 기반 진단 규칙에 부합할 경우, 실제 AhnLab V3 제품군에서 정식으로 진단되지 않는 파일도 차단이 가능합니다.
▷ 알약(ALYac) 아이콘으로 위장한 Win-Trojan/Urelas 악성코드 유포 주의 (2013.7.3)
대표적인 사례로 최근 소개한 불필요한 프로그램(PUP)을 통해 사용자 몰래 설치된 악성 파일을 통해 추가적으로 다운로드되는 알약(ALYac) 아이콘으로 위장한 파일이 실행시 Malware/MDP.Behavior.23 진단명으로 차단되는 동작을 소개한 적이 있습니다.
위와 같은 행위 기반 진단 방식은 사전에 정해진 규칙(Rule)에 의해 진단이 이루어지면 진단 정보가 ASD 클라우드 서버에서 수집되어 더욱 빠른 대응(URL/IP 차단, 생성 파일 DB 진단, 클라우드 평판 진단 등)에 활용되어 AhnLab V3 365 Clinic 2.9 버전에서는 경험할 수 없었던 대응 수준을 볼 수 있습니다.
■ 클라우드 평판 기반 실행 차단
클라우드 평판 기반 실행 차단은 사용자 PC에서 실행하려는 파일에 대하여 ASD 클라우드 서버에서 제공하는 정보(최초 발견, 사용자 수, 의심 행위)를 바탕으로 차단 수준에 부합할 경우 "의심 파일 실행 탐지" 창을 생성합니다.
생성된 클라우드 평판창에서 제공되는 정보를 바탕으로 차단 또는 허용을 클릭하여 실행 여부를 결정할 수 있으며, 생성되는 평판창은 악성 파일에서만 생성되는 것이 아니라 사용자가 지정한 차단 수준에 따른 정상 파일에서도 생성될 수 있습니다.(※ 사용자가 "차단"을 클릭할 경우 User/Gen.Block 진단명으로 PC 실시간 검사를 통해 진단 및 삭제 처리됩니다.)
해당 클라우드 평판 기반 실행 차단은 AhnLab V3 365 Clinic 3.0 제품의 자동화된 최후의 방어벽으로 제품에서 진단되지 않는 악성 파일의 실행을 사전에 감지하여 차단할 수 있으므로 사용자의 현명한 판단이 매우 중요합니다.(※ 차후 클라우드 평판 기반 실행 차단과 관련하여 사용자의 현명한 이용 방법에 대해 소개해 드리도록 하겠습니다.)
위와 같은 클라우드 평판의 기초 정보는 ASD 네트워크에 참여하여 사용자 PC에서 수집된 데이터의 다양한 정보를 바탕으로 하고 있습니다.
특히 "파일 분석 보고서"를 통해 제공되는 정보 중 "클라우드 발견 의심 행위"의 경우에는 사용자 PC에서 동작한 행위(의심 행위 이력)가 ASD 클라우드 서버에 전송되어 많은 사용자 PC 환경에서 발생한 의심 행위 정보를 서로 공유할 수 있다는 장점이 있습니다.
조금 더 쉽게 설명하면 사용자 PC에서 확인된 파일의 분석 보고서를 통해 사용자는 실제 사용자 PC에서는 발생하지 않은 의심 동작(다른 사용자 PC에서 발생한 의심 행위)을 실시간으로 확인하여 파일의 안전도에 대한 평가가 가능하며, 이를 통해 클라우드 평판창(의심 파일 실행 탐지) 또는 Active Defense를 통해 문제의 파일을 사전에 차단할 수 있습니다.
클라우드 평판 기반 실행 차단을 종합해보면 AhnLab V3 제품에서는 실제 진단되지 않는 파일에 대해 ASD 클라우드 서버를 통해 수집된 정보를 바탕으로 사전에 차단하여 악의적 행위를 예방할 수 있다는 장점이 있으며, 이런 기능은 AhnLab V3 365 Clinic 3.0 버전부터 제공되는 알려지지 않은 변종 악성 파일에 대한 강력한 차단 효과를 가져올 수 있으리라 판단됩니다.
ASD 클라우드 서비스 내용의 분량이 많은 관계로 추가적인 내용은 "AhnLab V3 365 Clinic 3.0 제품 비교 : ASD 클라우드 서비스 <2>" 게시글에서 이어집니다.