(주)안랩(AhnLab)에서 출시한 AhnLab V3 365 Clinic 3.0 버전은 클라우드 평판 기능을 통하여 알려지지 않은 파일에 대한 수집 및 사용자에 의한 파일 실행 여부를 결정할 수 있는 "Active Defense" 기능을 제공하고 있습니다.

 

  AhnLab V3 365 Clinic 3.0 제품 비교 : ASD 클라우드 서비스 <1> (2013.8.2)

 

  AhnLab V3 365 Clinic 3.0 제품 비교 : ASD 클라우드 서비스 <2> (2013.8.5)

 

그런데 최근 제품을 사용하는 과정에서 사용자가 신뢰로 등록한 파일에 대한 클라우드 평판 적용이 정상적으로 이루어지지 않는 문제와 프로그램 배포자가 사전에 파일에 대한 평판을 조작한 듯한 정황을 가지고 있는 파일이 확인되어 간단하게 살펴보도록 하겠습니다.

 

AhnLab V3 365 Clinic 3.0 제품이 설치된 환경에서 사용자가 다운로드 파일 또는 설치된 프로그램을 실행하는 과정에서 "프로그램 실행 알림" 창이 생성되는 경우가 있습니다.

생성된 "프로그램 실행 알림" 창은 초기 AhnLab V3 365 Clinic 3.0 버전에서 제공하던 파일 처리 방법(차단, 허용)에서 "한 번만 차단, 한 번만 실행, 실행 후 다음부터 묻지 않음"으로 옵션이 변경되었습니다.

 

개인적으로 해당 파일 처리 방법은 사용자가 클라우드 평판 정보를 바탕으로 결정하는 구조인데, 실행하려는 파일에 대한 지속적인 차단과 관련된 옵션을 제공하지 않는다는 점에서 안랩(AhnLab)은 생각이 너무 많거나 매우 소심한 업체라고 생각됩니다.(※ 실행 파일에 대한 영구적인 차단을 위해서는 ["한 번만 차단"을 선택한다. 환경 설정의 "Active Defense 설정"에서 차단한 파일을 "차단 추가"에 등록한다.]와 같은 불편한 단계를 요구한다는 점에서 편의성이 떨어지고 있습니다.)

 

아무튼 "프로그램 실행 알림" 창이 뜨는 경우에는 실행되려는 파일의 평판이 확인되지 않은 경우라는 의미이며, 사용자가 현명한 판단을 통해 "실행 후 다음부터 묻지 않음"으로 선택한 후 파일을 실행할 경우 신뢰 파일로 등록됩니다.

신뢰 파일로 등록된 경우에는 환경 설정의 "Active Defense 설정" 항목에서 사용자가 지정한 파일의 신뢰 여부를 확인할 수 있습니다.

신뢰로 등록된 파일은 "Active Defense → 최근 생성 파일(전체)" 목록에서 확인해보면 안전도가 "정상" 파일로 표시되어 있는 것을 확인할 수 있습니다.

그런데 신뢰로 등록된 파일 분석 보고서를 확인해보면 2014년 1월 18일 오후 4시경에 최초 보고(파일 수집)이 이루어진 상태에서 현재(2014년 1월 20일 오후 1시경)까지 사용자 수 및 클라우드 평판 정보가 전혀 갱신되지 않는 문제를 확인할 수 있습니다.

 

사용자가 특정 파일을 신뢰 또는 차단에 등록할 경우 해당 파일에 대한 클라우드 평판 정보가 전송되어 적용이 이루어지는 원리로 알고 있지만, 실제로는 40시간이 지나도록 전혀 적용이 되지 않는 부분은 문제가 있다고 판단됩니다.

 

반대로 최근 소개한 "사용자 몰래 설치되는 WindowAdvertisement 프로그램 유포 사례"에서 확인된 파일을 살펴보던 중 발견한 흥미로운 파일 평판에 대한 부분이 있어서 소개해 드립니다.

 

"Windows Network Manager" 검색 도우미 프로그램이 자체 업데이트를 통해 WindowAdvertisement라는 광고 프로그램으로 사용자 동의없이 변신을 하는 과정을 소개하고 있는데, 설치된 WindowAdvertisement 검색 도우미 프로그램의 실행 파일(C:\Program Files\WindowAdvertisement\windowadvertisement.exe)은 특정 서버로부터 다운로드되는 방식으로 업데이트 되는 것으로 확인되고 있습니다.

그런데 다운로드되는 "C:\Program Files\WindowAdvertisement\windowadvertisement.exe" 파일<SHA-1 : 5569403c23f256aed33b32916e3b967b81a9a1a2 - AhnLab V3 : ASD.Prevention (VT : 9/48)>의 클라우드 평판 정보를 살펴보면 2014년 1월 18일 오전 10시경에 최초 보고(파일 수집)되었으며, 위에서 소개한 신뢰에 등록된 파일과 유사한 시간임을 알 수 있습니다.

 

하지만 클라우드 평판에서는 "신뢰(40) | 차단(0)"이라는 냄새가 풍기는 파일 평판 정보가 등록되어 있다는 점에서는 누군가 악의적으로 파일 배포 시점에서 AhnLab V3 보안 제품의 클라우드 평판을 우회하려고 했을 가능성이 매우 높습니다.(※ 위와 같은 인위적인 조작 때문인지 현재 AhnLab V3에서는 "ASD.Prevention" 진단명으로 사전 차단이 이루어지고 있습니다. 물론 현재 사용자 동의없이 자동 설치되기 때문일 가능성이 더 높지만...)

 

물론 클라우드 평판에서 지정한 사용자 수가 일정 수준 이상 충족되는 경우에만 클라우드 평판(신뢰, 차단) 정보를 표시하는 것일 수도 있겠지만, 현재의 위와 같은 파일 평판 정보의 비정상적인 동기화 문제는 빠른 시간내에 해결이 되어야 하지 않을까 생각됩니다.

 

실질적으로 AhnLab V3 365 Clinic 3.0 제품의 핵심적인 기술인 클라우드 평판이 적용된 "프로그램 실행 알림" 창은 제시되는 클라우드 평판 정보를 바탕으로 사용자가 판단하도록 하였는데, 40시간 이상 동기화가 되지 않는 문제는 "프로그램 실행 알림" 창이 복불복 같은 애물단지가 될 수 있습니다.

블로그 이미지

울지않는 벌새

울지않는벌새가 되고 싶은 나..