본문 바로가기

벌새::Software

Norton Insight 파일 평판 이해하기 : WS.Reputation.1

해외 시만텍(Symantec) 보안 업체에서 제공하는 개인용 안티바이러스(AntiVirus) 제품군은 현재 한글판의 경우 Norton AntiVirus, Norton Internet Security, Norton 360 제품군으로 구성되어 있으며, 해외 영문판의 경우 Norton Security, Norton Security with Backup 제품으로 통폐합을 하였습니다.

최근 7~8년만에 처음으로 Norton Security (Ver 22.1.0.9) 제품을 설치하여 사용을 해보고 있는데, 과거 Norton 제품과는 전혀 다르게 무게감을 느끼지 못할 정도로 잘 만들어진 것임을 알 수 있습니다.

 

Norton Security 보안 제품에 포함된 "Norton Insight" 검사 기능은 파일 평판 기반으로 알려지지 않은 보안 위협을 확인할 수 있다는 점에서 상당수 유명 보안 제품에서 도입되고 있습니다.

 

개인적으로 Norton Security, AhnLab V3 365 Clinic 제품의 클라우드 평판 기능을 가장 선호하고 있으며 서로의 장단점은 분명하게 존재합니다.

 

Norton Insight 기능을 통해 사용자 PC에 존재하는 파일의 평판 정보는 "Trusted, Good, Unproven, Bad, User Trusted"와 같은 5단계로 구성되어 있습니다.

실제 Norton Insight 검사 기능을 통해 파일을 확인해보면 파일 중에서 "Bad" 등급으로 분류된 파일 평판 정보를 간혹 확인할 수 있습니다.

 

Bad 등급으로 분류된 일반적인 파일의 경우에는 해당 파일이 악의적인 기능을 수행하여 진단 정책에 부합되어 진단이 이루어지는 악성코드일 가능성이 매우 높으며, 실제 Norton Security 보안 제품에서는 좌측 그림과 같이 파일을 자동으로 제거하는 동작을 확인할 수 있습니다.

 

하지만 Bad 등급으로 분류된 모든 파일이 자동으로 제거되는 것은 아니며 사용자에 의해 검역소로 이동 처리되거나 사용자의 판단에 따라 신뢰 파일로 분류(User Trusted)될 수 있습니다.

예시에서 보여준 Bad 등급으로 분류된 malzilla.exe 파일의 세부 정보를 확인해보면 5년 4개월 이전에 파일이 최초 보고되었으며, 사용자 수는 수백명 수준으로 적은 사용자(Few Users)만이 사용하는 것으로 표시하고 있습니다.

그런데 해당 파일을 Norton Security 보안 제품의 수동 검사 방식으로는 진단되지 않으며, 바이러스토탈(VirusTotal) 서비스에서도 WS.Reputation.1 진단명으로만 표시되는 것을 알 수 있습니다.

 

또한 Bad 등급으로 분류된 malzilla.exe 파일을 실행하여도 Norton Security 보안 제품에서는 어떠한 경고없이 정상적으로 프로그램 실행이 이루어집니다.

 

위와 같이 실제 정상적인 파일에 대하여 파일 평판 등급을 Bad로 분류한 이유는 외부에서는 알 수 없지만 해당 파일 자체가 URL 주소를 기반으로 스크립트 파일 분석을 하는 과정에서 악의적인 코드가 실행될 수 있기 때문이 아닌가 추정됩니다.

사용자가 Bad 등급으로 분류된 특정 파일에 대해 신뢰할 수 있는 충분한 정보가 있다면 "Trust Now" 버튼을 클릭하여 "User Trusted" 등급으로 파일 평판을 변경할 수 있습니다.("User Trusted" 등급은 사용자 PC에서만 유효한 파일 평판 등급입니다.)

사용자에 의해 "User Trusted" 등급으로 변경된 파일 정보는 Norton Community Watch 시스템에 전송되어 업체의 추가적인 분석을 거쳐 빠르면 2~3일 안에 Bad 등급이 Good 등급으로 수정될 수 있습니다.

 

마지막으로 Norton Insight 기능을 사용자가 효과적으로 활용하는 방법으로 PC에 존재하는 전체 파일(All Files)에 대한 검사를 통해 파일 평판 정보 중 Bad 또는 Unproven 등급으로 분류된 파일을 중심으로 추가적인 검사를 통해 악성 여부를 빠르게 검사할 수 있습니다.

 

특히 Norton Security 보안 제품에서는 진단되지 않는 악성 파일을 찾을 수 있는 좋은 검사 방식 중의 하나이며, 일부 광고 프로그램 파일의 경우에는 Good 등급으로 분류될 수 있다는 점에서 주의가 요구됩니다.

 

단지 아쉬운 점은 Good 등급 분류된 파일에 대해 사용자가 등급을 변경하거나 검역소로 이동 처리할 수 없다는 점은 AhnLab V3 365 Clinic 보안 제품에서 제공하는 ASD 클라우드 평판과의 차이가 아닐까 싶습니다.

  • 비밀댓글입니다

  • 철이 2015.01.15 19:31 댓글주소 수정/삭제 댓글쓰기

    역시 벌새님 포스팅은 가려운 곳을 긁어주는 매력이 있습니다.
    노턴은 일단 설치하면 유입 단계부터 강력하게 막아주지만 그로인하여 정상 파일도 막을 가능성도 큰 것 같습니다. 인사이트 평판의 장점과 단점이 이 부분같아요.

    원래 노턴은 신제품이 나오면 거의 동시에 출시를 했었는데 이번에 제품 라인업이 새로 편성되면서 국내는 아직 결정이 안된것 같네요.

    얼마전 시만텍에 이메일 문의하던 계정도 이제 없어져서 문의할곳이 없어졌습니다. 불과 얼마전에 이메일 받았던것인데 운영 안한다고 고객센터로 가라고..ㅎㅎ (그곳엔 자동화 FAQ만..ㅡㅡ;)

    • ㅋㅋ.. 예를 들어서 Bad 등급을 가진 파일을 인터넷에서 다운로드할 때는 실시간 감시에서 진단하여 제거를 하는데 실시간을 잠시 off하고 다운로드한 후에 파일을 검사하면 진단을 안하더군요.

      매우 애매한 부분도 있는 것 같습니다. 그리고 시만텍 정도면 고객센터 운영이 그렇군요.