(주)안랩(AhnLab) 보안 업체에서 출시한 다차원 분석 플랫폼 기반의 AhnLab V3 365 Clinic 3.0 제품에서는 구버전과 비교하여 제품에서 표시하는 사이트(URL/IP)와 파일에 대한 분석 보고서 기능을 제공하고 있습니다.
분석 보고서 제공의 목적은 기본적으로 AhnLab V3 365 Clinic 3.0 제품에서 진단(차단) 및 기록하는 사이트와 파일에 대한 정보를 사용자에게 종합적으로 제공하여 능동적인 조치를 할 수 있도록 하기 위함입니다.
특히 ASD 클라우드 서비스를 이용하여 사용자 PC에서 발생하는 다양한 정보를 수집하는 것에서 그치지 않고 이를 사용자에게 분석 보고서로 제작하여 정보를 공유하는 혁신적인 서비스라고 판단됩니다.
이 글에서는 AhnLab V3 사이트 & 파일 분석 보고서에 대한 내용을 <1>, <2>편으로 나누어서 소개해 드리도록 하겠습니다.
1. 환경 설정 : 파일 분석 보고서
환경 설정에서는 기본값으로 "기타 설정 → 사용 환경 → 탐색기 메뉴 → 파일 분석 보고서" 항목이 체크되어 있으며, 사용자가 Windows 탐색기를 통해 특정 파일을 선택하여 제공되는 메뉴 중 "파일 분석 보고서" 항목을 선택하면 웹 브라우저를 통해 "AhnLab V3 파일 분석 보고서"를 열람할 수 있도록 되어 있습니다.(※ 파일 분석 보고서의 경우 파일 크기가 50MB 이상의 경우에는 ASD 클라우드 서버에서 수집되지 않는 관계로 파일에 대한 클라우드 정보는 제공되지 않습니다.)
2. 다양한 파일 분석 보고서 접근법
기본적으로 PC에 존재하는 파일을 사용자가 Windows 탐색기를 통해 찾아서 탐색기 메뉴를 통해 "파일 분석 보고서" 내용을 확인할 수 있으며, AhnLab V3 365 Clinic 3.0 제품에서 표시하는 다양한 기능에서 접근할 수도 있습니다.
(1) Active Defense 메뉴를 통한 접근
AhnLab V3 365 Clinic 3.0 제품에서 제공하는 Active Defense 메뉴(현재 프로세스, 최근 생성 파일, 프로그램 주요 행위, 클라우드 자동 분석)에서는 PC에서 동작하는 파일에 대한 감시 및 수집 기능을 담당하고 있습니다.
이를 통해 Active Defense 메뉴에서는 현재 실행 중인 파일(현재 프로세스), 최근(1주일) 생성된 파일, PC에서 발생하는 프로그램 행위, 클라우드 자동 분석(파일 수집 및 분석 결과)에 대한 정보를 시간순으로 제시하고 있습니다.
해당 메뉴에서 표시된 파일을 사용자가 클릭할 경우 웹 브라우저를 통해 "AhnLab V3 파일 분석 보고서"가 ASD 클라우드 서버에서 제공하는 정보를 표시해주며, 이를 근거로 AhnLab V3 365 Clinic 제품에서는 현재 진단되지 않는 악성 파일을 찾아 사용자가 차단(User/Gen.Block)할 수 있습니다.
(2) 빠른 검사 / 정밀 검사를 통한 접근
AhnLab V3 365 Clinic 2.9 버전에서는 진단된 파일에 대해 단순히 치료(삭제)만을 제공하는 반면, AhnLab V3 365 Clinic 3.0 버전에서는 진단된 파일에 대한 "파일 분석 보고서" 기능을 추가하여 진단된 파일이 무슨 파일인지를 확인할 수 있는 정보를 제공합니다.
이를 통해 제품에서 진단된 파일 뿐만 아니라 악성 파일을 사용자 몰래 설치한 진단되지 않는 악성 파일도 파일 분석 보고서에서 제공하는 "주요 행위" 정보를 통해 역추적하여 함께 제거할 수도 있습니다.
(3) PC 실시간 검사 기능을 통한 접근
PC 실시간 검사 기능을 통해 악성 파일이 발견될 경우 생성되는 차단창에서는 악성코드 이름 이외 "파일 경로"를 표시하여 사용자가 해당 파일을 클릭할 경우 "AhnLab V3 파일 분석 보고서" 정보를 제공합니다.
(4) 의심 파일 실행 탐지 기능을 통한 접근
파일이 실행되는 과정에서 "클라우드 평판 기반 실행 차단" 기능을 통해 "의심 파일 실행 탐지" 창이 생성될 경우 사용자는 제공되는 클라우드 평판 정보를 통해 파일 실행 여부(차단 / 허용)를 결정해야 합니다.
이 과정에서 사용자는 "파일 경로"를 클릭하여 "AhnLab V3 파일 분석 보고서"를 통해 더욱 자세한 파일에 대한 세부적인 정보를 확인하여 실행 여부를 결정할 수 있습니다.
(5) 클라우드 자동 분석 요청 기능을 통한 접근
사용자 PC에 생성된 파일 중 ASD 클라우드 서버에 수집되지 않은 파일이 발견될 경우 "클라우드 자동 분석 요청" 창을 생성하여 전송 여부를 물을 수 있습니다.
이 과정에서 사용자는 어떤 파일을 전송하는지, 어떤 과정을 통해 생성되었는지의 정보를 "파일 이름"을 클릭하여 "AhnLab V3 파일 분석 보고서"를 통해 자세하게 확인할 수 있습니다.
(6) 진단 로그 / 검역소 기능을 통한 접근
AhnLab V3 365 Clinic 3.0 제품의 도구 메뉴에 포함된 진단 로그 및 검역소 메뉴에 기록된 파일 경로를 클릭할 경우 "AhnLab V3 파일 분석 보고서"로 연결되어 진단된 파일에 대한 정보를 확인할 수 있습니다.
3. 다양한 사이트 분석 보고서 접근법
AhnLab V3 365 Clinic 3.0 제품에서는 파일에 대한 감시 기능 이외에 네트워크 보안 기능을 강화하여 유해 사이트를 감시하여 차단 및 기록하는 기능이 포함되어 있으며, 사용자가 접속한 서버(URL/IP)에 대한 정보를 ASD 클라우드 서버를 통해 제공되는 "AhnLab V3 사이트 분석 보고서"에서 자세하게 확인할 수 있습니다.
(1) Active Defense 메뉴를 통한 접근
Active Defense 메뉴의 "프로그램 주요 행위"에서는 시간순으로 사용자 PC에서 발생하는 파일 행위 및 접속 사이트(URL/IP)에 대한 모든 정보가 실시간으로 기록되고 있습니다.
프로그램 주요 행위에서 기록되는 URL/IP 링크를 클릭할 경우 ASD 클라우드 서버에서 제공하는 정보를 통해 웹 브라우저를 실행하여 "AhnLab V3 사이트 분석 보고서"가 만들어집니다.
(2) 의심 사이트 메뉴를 통한 접근
"네트워크 보안 → 의심 사이트" 메뉴는 사용자가 접속하는 웹 사이트 중에서 안전하지 않을 가능성이 있는 의심 사이트가 확인될 경우 자동으로 URL 주소값이 기록되며, 이를 바탕으로 사용자는 주소(URL)를 클릭하여 "AhnLab V3 사이트 분석 보고서" 정보를 통해 차단 여부를 결정할 수 있습니다.
특히 AhnLab V3 365 Clinic 3.0 보안 제품에서 차단하지 못하는 악성 파일(프로세스 이름)을 통해 연결되는 웹 사이트 주소가 기록될 경우 관련 파일(프로세스)은 "AhnLab V3 파일 분석 보고서"를 통해 자세한 정보를 확인할 수 있으며, 연결된 주소(URL)는 "AhnLab V3 사이트 분석 보고서"를 통해 확인하여 차단 여부를 능동적으로 판단하여 사용자가 대응할 수 있다는 강점이 있습니다.
또한 "의심 사이트"에서는 AhnLab V3 365 Clinic 3.0 제품이 차단한 주소는 기본적으로 "의심 사이트" 목록에 기록이 되므로 차단된 주소에 대한 정보를 "AhnLab V3 사이트 분석 보고서"를 통해 확인할 수 있습니다.
(3) PC 실시간 검사 기능을 통한 접근
사용자가 웹 사이트에 접속하는 과정 또는 악성 파일이 특정 서버로 연결하는 과정에서 PC 실시간 검사를 통해 "악성 사이트 접근 차단" 창을 생성하여 자동으로 차단이 이루어지며, 차단창에 표시된 "분석 대상" 링크를 클릭할 경우 "AhnLab V3 사이트 분석 보고서"로 연결됩니다.
위와 같이 AhnLab V3 365 Clinic 3.0 제품에서는 파일 및 사이트(URL/IP)에 대한 자세한 분석 보고서를 ASD 클라우드 서버에서 제공하는 정보를 통해 제공 받을 수 있으며, 구버전(AhnLab V3 365 Clinic 2.9 버전) 및 국내외 어떤 보안 제품에서도 볼 수 없는 독창적인 기능이라고 할 수 있습니다.
다음 글(AhnLab V3 365 Clinic 3.0 제품 비교 : 사이트 & 파일 분석 보고서 <2>)에서는 AhnLab V3 사이트 & 파일 분석 보고서에서 제공하는 내용을 이해하는 방법에 대해 살펴보도록 하겠습니다.
☞ AhnLab V3 365 Clinic 3.0 제품 비교 : 제품 설치와 시작 화면 (2013.8.1)
☞ AhnLab V3 365 Clinic 3.0 제품 비교 : ASD 클라우드 서비스 <1> (2013.8.2)
☞ AhnLab V3 365 Clinic 3.0 제품 비교 : ASD 클라우드 서비스 <2> (2013.8.5)