울지않는벌새 : Security, Movie & Society

AhnLab V3 365 Clinic 3.0 : 환경 설정 방법

벌새::Software
● 해당 게시글은 "New V3 365 클리닉 서포터즈" 참여를 목적으로 작성된 글입니다.

 

(주)안랩(AhnLab) 보안 업체에서 출시한 다차원 분석 플랫폼 기반의 AhnLab V3 365 Clinic 3.0 제품의 환경 설정을 통하여 더욱 강력한 보안 기능을 이용할 수 있는 방법에 대해 살펴보도록 하겠습니다.

 

이 글에서는 환경 설정 기본값을 기준으로 사용자가 설정 변경이 필요한 부분을 중심으로 소개하겠습니다.

 

1. PC 보안 → PC 검사 설정 → PC 실시간 검사

 

(1) 클라우드 평판 기반 실행 차단 수준

 

AhnLab V3 365 Clinic 3.0 제품의 PC 실시간 검사에서는 "클라우드 평판 기반 실행 차단"을 통해 알려지지 않은 다양한 파일이 실행될 때 사전에 실행 여부를 사용자가 결정할 수 있는 기능을 제공하고 있습니다.

 

여기에서 중요한 점은 클라우드 평판 기반 실행 차단 기능을 통해 "의심 파일 실행 탐지" 창이 생성된 경우, 해당 파일은 최근(0일~30일)에 발견된 파일이며 사용자 수(0명~800명)가 죽으며 의심스러운 행위가 존재할 수 있다는 의미입니다.

 

즉, 사용자가 직접 실행한 경우 또는 사용자 몰래 실행되는 파일의 평판을 체크하여 사용자에게 실행 여부를 묻는 과정이므로, "클라우드 평판 기반 실행 차단" 창이 생성되는 파일이 무조건 악성 파일을 뜻하는 것이 아니므로 혼동하지 않도록 하시기 바랍니다.

  1. 차단 수준 : 낮음 (기본값) - 최초 발견(10일 이내), 사용자 수(100명 이하), 의심 행위(3건)
  2. 차단 수준 : 보통 (권장) - 최초 발견(20일 이내), 사용자 수(500명 이하), 의심 행위(1건 이상)
  3. 차단 수준 : 높음 (추천) - 최초 발견(30일 이내), 사용자 수(800명 이하), 의심 행위(0건 이상)

해당 차단 수준의 기본값은 "낮음"으로 설정되어 있으며, 업체에서 권장하는 차단 수준은 "보통"으로 설정되어 있습니다.

 

개인적으로 추천하는 클라우드 평판 기반 실행 차단 수준은 "높음"이며, 실제 어떤 차이가 있는지 살펴보도록 하겠습니다.(※ 테스트에서는 최근에 업데이트된 정상적인 프로그램을 실행하는 경우를 가정하였습니다.)

사용자가 클라우드 평판 기반 실행 차단 수준을 "낮음(기본값)" 또는 "보통(권장)"에 설정을 한 상태에서 프로그램을 실행하면 클라우드 평판창 생성없이 정상적으로 프로그램이 실행되고 있습니다.

 

실행된 파일을 살펴보면 오늘(8월 20일) 발견되어 ASD 클라우드 서버에 보고(수집)되지 않은 미확정 파일이지만, 클라우드 평판 기반 실행 차단 수준이 낮음 또는 보통으로 설정되어 의심 행위 개수(0개)가 없는 관계로 클라우드 평판창이 생성되지 않았습니다.

하지만 클라우드 평판 기반 실행 차단 수준을 "높음"으로 설정된 환경에서는 파일 실행시 "의심 파일 실행 탐지" 창을 생성하여 사용자에게 실행 여부(차단 / 허용)를 결정하도록 하는 부분을 확인할 수 있습니다.

 

위와 같은 클라우드 평판 기반 실행 차단 기능의 장점은 AhnLab V3 제품군이 진단하지 못하는 악성 파일이 실행될 경우 최종적으로 "의심 파일 실행 탐지" 창을 통해 사용자 몰래 설치되는 악성 파일을 사전에 인지하여 사용자가 클라우드 평판 정보 및 파일 분석 보고서를 참고하여 차단할 수 있다는 점입니다.

 

물론 "높음" 설정으로 인해 정상적인 프로그램 실행시에도 "의심 파일 실행 탐지" 창이 생성되는 문제가 있지만, 최근의 다양한 사이버 공격이 이루어지고 있는 환경에서 클라우드 평판 기능은 안랩(AhnLab) 외에도 유명 해외 보안 제품에서도 필수적으로 추가하는 기능이 되고 있으므로 반드시 "높음"으로 설정하여 사용하시길 권장합니다.

 

(2) 검사 대상

PC 실시간 검사에서 검사 대상 파일과 프로그램을 설정하는 방법에 대해 알아보도록 하겠습니다.

PC 실시간 검사의 검사 대상 파일과 프로그램의 기본값은 "네트워크 드라이브" 항목만 체크되어 있으므로, 반드시 "불필요한 프로그램(PUP)""평판이 낮은 프로그램"에 체크를 하시고 사용하시기 바랍니다.

  AhnLab V3 365 클리닉 : 불필요한 프로그램(PUP) 진단 추가 (2012.12.12)

 

특히 불필요한 프로그램(PUP)은 AhnLab V3 365 Clinic 2.9 구버전에서는 정밀 검사에서만 지원하여 실시간으로 차단할 수 없는 제약이 있었지만, AhnLab V3 365 Clinic 3.0 버전에서는 실시간 검사와 정밀 검사 모두 지원하여 국내에서 유포되는 광고 프로그램, 불량 백신 등 원치 않는 수익성 프로그램을 차단할 수 있습니다.

 

2. PC 보안 → PC 검사 설정 정밀 검사

 

(1) 검사 대상

정밀 검사 기능의 검사 대상 파일과 프로그램의 기본값은 "유해 가능 프로그램"만 체크되어 있으므로, 반드시 "불필요한 프로그램(PUP)", "평판이 낮은 프로그램", "EML 파일", "압축 파일" 항목에 체크를 하시기 바랍니다.

 

압축 파일의 "검사할 최대 다중 압축 횟수""1(기본값) → 5(최대값)"로 변경하시면 다중 압축된 파일도 검사가 가능합니다.(※ 단, 정밀 검사시마다 검사 시간이 오래 걸리는 시스템에서는 "3" 정도로 낮추어 사용해 보시기 바랍니다.)

 

(2) 감염된 압축 파일 치료 방법

정밀 검사시 압축 파일 검사 과정에서 압축 파일 내부에 악성 파일이 발견된 경우 기본값에서는 "치료 안 함"으로 설정되어 있습니다.

 

이런 경우 일부 사용자의 경우 진단된 압축 파일을 어떻게 처리할지 모르거나 압축 파일의 위치를 제대로 찾지 못하여 지식인 등에 질문하는 경우도 있었습니다.

 

그러므로 압축 파일 내부에서 악성 파일이 발견된 경우 해당 압축 파일을 치료시 "삭제" 처리하도록 변경을 하시면 이용에 불편이 없습니다.

예를 들어 ZIP 압축 파일에 대해 진단이 이루어진 경우 "치료 안 함"으로 설정된 경우에는 치료하기 버튼이 비활성화되어 사용자가 직접 압축 파일을 찾아 수동으로 삭제해야 합니다.

 

하지만 감염된 압축 파일 치료 방법을 "삭제"로 변경한 경우에는 "치료 가능"으로 표시되어 "치료하기" 버튼을 클릭하여 바로 파일 삭제를 할 수 있습니다.

 

3. PC 보안 → 고급 설정 클라우드

 

"클라우드 진단 설정"은 ASD 클라우드 서버에서 파일의 안전성 여부를 자동으로 분석하여 클라우드 진단을 할 수 있으며, 진단 수준(낮음 / 보통(권장) / 높음)에 따라 휴리스틱 진단 강도를 조정할 수 있습니다.

제품 기본값에서는 클라우드 진단 수준이 "보통(권장)" 값으로 설정되어 있으며, 개인적으로 추천하는 클라우드 진단 수준은 "높음"입니다.

 

하지만 진단 수준이 높을 경우 일부 행위 기반 진단에서 오진이 발생할 가능성도 있으며, 오진으로 판단될 경우에는 안랩(AhnLab) 고객센터를 이용하여 오진 신고를 하는 것이 가장 현명합니다.

클라우드 진단 수준에 따른 진단 여부를 예로 소개하기 위하여 2013년 5월 말경부터 악성코드를 통해 사용자 몰래 설치가 이루어지고 있는 것으로 보이는 국내 불량 백신 샘플(MD5 : a1d1690211941932700b22809d9567f6)을 통해 확인해 보았습니다.

클라우드 진단 수준을 낮음 또는 보통(권장)으로 설정된 상태에서 해당 불량 백신 설치 파일을 검사해보면 진단되지 않는 것을 확인할 수 있는 반면, 클라우드 진단 수준을 "높음"으로 설정한 상태에서는 Malware/Win32.Suspicious 진단명으로 휴리스틱 진단이 이루어지는 것을 알 수 있습니다.

또한 클라우드 진단 수준은 PC 실시간 검사의 "행위 기반 진단" 수준에도 영향을 주며, 이를 통해 DB 진단이 이루어지지 않는 의심스러운 파일이 동작시 MDP 행위 기반 차단을 할 수 있습니다.(※ 진단명 예시 : PUP/MDP.Download.M111)

 

4. 네트워크 보안 → 웹 보안

 

웹 보안은 사용자가 접속하는 웹 사이트(URL/IP) 또는 프로그램에 의해 연결되는 서버(URL/IP)가 유해 사이트인 경우 자동으로 차단하는 기능을 의미합니다.

웹 보안 기본값에서는 "유해 사이트 차단"과 함께 "피싱 사이트 차단" 기능이 체크되어 있으며, 추가적으로 "불필요한 사이트(PUS) 차단" 체크를 하시고 사용하시기 바랍니다.

불필요한 사이트(PUS) 차단 기능은 사용자 또는 프로그램이 불필요한 프로그램(PUP)과 같은 광고, 불량 백신, 제휴(스폰서) 프로그램 등을 받아오는 서버(URL/IP)를 차단하여 파일 다운로드가 이루어지지 않도록 할 수 있습니다.

 

특히 최근과 같이 광고 서버 등 불필요한 프로그램(PUP)과 관련된 서버가 해킹되어 다양한 악성코드를 유포하는 사례가 많이 발견되고 있으므로 반드시 불필요한 사이트(PUS) 차단 기능을 함께 사용하시기 바랍니다.

 

5. Active Defense 설정

 

AhnLab V3 365 Clinic 3.0 제품을 최초 설치하는 과정에서 "ASD 네트워크 참여 및 데이터 수집 동의" 체크 박스에 체크를 한 사용자는 기본적으로 "Active Defense" 기능이 활성화되며, 체크하지 않은 상태에서 제품 설치를 진행한 사용자는 환경 설정에서 "Active Defense" 기능을 활성화할 수 있습니다.

"ASD 네트워크 참여"에 체크를 한 PC에서는 Active Defense 기능을 통해 사용자 PC에서 발생하는 프로그램 활동 정보(파일, 네트워크 행위 정보)를 ASD 클라우드 서버를 활용하여 보안 위협을 시각적으로 제공해 줍니다.

이를 통해 Active Defense 메뉴를 통해 현재 프로세스와 최근 생성 파일에 대한 실시간 실행(생성) 및 안전도 정보, 프로그램 주요 행위, 클라우드 자동 분석 정보를 확인할 수 있습니다.

특히 "클라우드 자동 분석 사용" 기능에서는 ASD 클라우드 서버에 수집되지 않은 파일이 사용자 PC에서 확인된 경우, "클라우드 자동 분석 요청" 창을 통해 전송되는 파일에 대한 정보와 전송 여부를 묻는 창을 표시합니다.

 

일부 사용자의 경우 "클라우드 자동 분석 요청" 창 생성이 마치 악성 파일로 오해하거나 개인정보 유출 또는 사용자에게 불편을 유발한다는 이유로 기능을 사용하지 않는 경우가 있습니다.

 

하지만 개인적으로 "클라우드 자동 분석 요청"을 통해 사용자는 AhnLab V3 제품군을 사용하는 사용자 PC에서 발견되지 않은 파일이 사용자 PC에 있다는 것을 확인할 수 있다는 점과 이를 통해 전송된 파일을 통해 실제 악성 파일인 경우 빠른 대응에 도움을 줄 수 있기에 기능을 OFF 하지 마시고 반드시 사용하기를 권장합니다.

 

6. 기타 설정 → 사용 환경


(1) 사용자 설정 : 게임 모드 사용

사용자 설정 중 "게임 모드 사용"은 AhnLab V3 Lite 무료 백신에서는 제공되지 않고 있으며, 게임 모드를 활성화한 경우 게임 등과 같은 전체 화면으로 PC를 사용하는 환경에서 알림창, 예약 검사, 자동 업데이트, 예약 업데이트와 같은 작업이 일시적으로 중지되거나 화면에 표시되지 않도록 할 수 있습니다.

특히 게임 모드로 전환한 환경에서는 시스템 트레이 알림 아이콘 색깔이 푸른색에서 주황색 계열로 변경되어 게임 모드로 동작함을 알리고 있습니다.

 

(2) 알림 설정 : V3 제품 보호 알림

알림 설정 메뉴 중 "선택한 상황에 알림창 표시" 설정에서는 기본값으로 "V3 제품 보호 알림" 항목이 체크 해제된 상태입니다.

사용자가 "V3 제품 보호 알림" 항목에 체크를 한 상태에서는 AhnLab V3 365 Clinic 3.0 제품 보호 대상(파일, 레지스트리)에 접근할 경우 "V3 제품 보호 대상 접근 차단" 알림창을 생성하여 사용자가 인지하도록 하고 있습니다.

 

(3) 업데이트 설정

기본적으로 AhnLab V3 365 Clinic 3.0 제품의 업데이트는 3시간 주기로 자동 업데이트를 체크하도록 되어 있으며, 사용자의 필요에 따라서는 1시간 주기로 자동 업데이트를 변경하여 사용하시길 권장합니다.

 

현재까지 1일 5~6회 수준(약 4시간에 1회 수준)으로 DB 업데이트가 이루어지고 있지만, AhnLab V3 365 Clinic 3.0 제품은 실시간으로 ASD 클라우드 서버와 통신을 통해 DB 업데이트 없이도 새로운 악성 파일에 대한 진단이 가능합니다.

 

많은 사용자들은 유명 보안 제품을 설치하여 사용하면서도 정작 기본값으로 사용하는 실수를 통해 더욱 강력하게 제품을 사용할 수 있는 기회를 이용하지 않는 경향이 있습니다.

 

그러므로 AhnLab V3 365 Clinic 3.0 제품의 환경 설정 변경을 통해 더욱 진단력이 강한 제품으로 수정하여 제품을 사용하는 소비자가 되시기 바랍니다.