울지않는벌새 : Security, Movie & Society

Norton Insight 파일 평판 이해하기 : WS.Reputation.1

벌새::Software

해외 시만텍(Symantec) 보안 업체에서 제공하는 개인용 안티바이러스(AntiVirus) 제품군은 현재 한글판의 경우 Norton AntiVirus, Norton Internet Security, Norton 360 제품군으로 구성되어 있으며, 해외 영문판의 경우 Norton Security, Norton Security with Backup 제품으로 통폐합을 하였습니다.

최근 7~8년만에 처음으로 Norton Security (Ver 22.1.0.9) 제품을 설치하여 사용을 해보고 있는데, 과거 Norton 제품과는 전혀 다르게 무게감을 느끼지 못할 정도로 잘 만들어진 것임을 알 수 있습니다.

 

Norton Security 보안 제품에 포함된 "Norton Insight" 검사 기능은 파일 평판 기반으로 알려지지 않은 보안 위협을 확인할 수 있다는 점에서 상당수 유명 보안 제품에서 도입되고 있습니다.

 

개인적으로 Norton Security, AhnLab V3 365 Clinic 제품의 클라우드 평판 기능을 가장 선호하고 있으며 서로의 장단점은 분명하게 존재합니다.

 

Norton Insight 기능을 통해 사용자 PC에 존재하는 파일의 평판 정보는 "Trusted, Good, Unproven, Bad, User Trusted"와 같은 5단계로 구성되어 있습니다.

실제 Norton Insight 검사 기능을 통해 파일을 확인해보면 파일 중에서 "Bad" 등급으로 분류된 파일 평판 정보를 간혹 확인할 수 있습니다.

 

Bad 등급으로 분류된 일반적인 파일의 경우에는 해당 파일이 악의적인 기능을 수행하여 진단 정책에 부합되어 진단이 이루어지는 악성코드일 가능성이 매우 높으며, 실제 Norton Security 보안 제품에서는 좌측 그림과 같이 파일을 자동으로 제거하는 동작을 확인할 수 있습니다.

 

하지만 Bad 등급으로 분류된 모든 파일이 자동으로 제거되는 것은 아니며 사용자에 의해 검역소로 이동 처리되거나 사용자의 판단에 따라 신뢰 파일로 분류(User Trusted)될 수 있습니다.

예시에서 보여준 Bad 등급으로 분류된 malzilla.exe 파일의 세부 정보를 확인해보면 5년 4개월 이전에 파일이 최초 보고되었으며, 사용자 수는 수백명 수준으로 적은 사용자(Few Users)만이 사용하는 것으로 표시하고 있습니다.

그런데 해당 파일을 Norton Security 보안 제품의 수동 검사 방식으로는 진단되지 않으며, 바이러스토탈(VirusTotal) 서비스에서도 WS.Reputation.1 진단명으로만 표시되는 것을 알 수 있습니다.

 

또한 Bad 등급으로 분류된 malzilla.exe 파일을 실행하여도 Norton Security 보안 제품에서는 어떠한 경고없이 정상적으로 프로그램 실행이 이루어집니다.

 

위와 같이 실제 정상적인 파일에 대하여 파일 평판 등급을 Bad로 분류한 이유는 외부에서는 알 수 없지만 해당 파일 자체가 URL 주소를 기반으로 스크립트 파일 분석을 하는 과정에서 악의적인 코드가 실행될 수 있기 때문이 아닌가 추정됩니다.

사용자가 Bad 등급으로 분류된 특정 파일에 대해 신뢰할 수 있는 충분한 정보가 있다면 "Trust Now" 버튼을 클릭하여 "User Trusted" 등급으로 파일 평판을 변경할 수 있습니다.("User Trusted" 등급은 사용자 PC에서만 유효한 파일 평판 등급입니다.)

사용자에 의해 "User Trusted" 등급으로 변경된 파일 정보는 Norton Community Watch 시스템에 전송되어 업체의 추가적인 분석을 거쳐 빠르면 2~3일 안에 Bad 등급이 Good 등급으로 수정될 수 있습니다.

 

마지막으로 Norton Insight 기능을 사용자가 효과적으로 활용하는 방법으로 PC에 존재하는 전체 파일(All Files)에 대한 검사를 통해 파일 평판 정보 중 Bad 또는 Unproven 등급으로 분류된 파일을 중심으로 추가적인 검사를 통해 악성 여부를 빠르게 검사할 수 있습니다.

 

특히 Norton Security 보안 제품에서는 진단되지 않는 악성 파일을 찾을 수 있는 좋은 검사 방식 중의 하나이며, 일부 광고 프로그램 파일의 경우에는 Good 등급으로 분류될 수 있다는 점에서 주의가 요구됩니다.

 

단지 아쉬운 점은 Good 등급 분류된 파일에 대해 사용자가 등급을 변경하거나 검역소로 이동 처리할 수 없다는 점은 AhnLab V3 365 Clinic 보안 제품에서 제공하는 ASD 클라우드 평판과의 차이가 아닐까 싶습니다.