본문 바로가기

벌새::Software

AhnLab V3 클라우드 평판 기반 실행 차단 : 의심 행위 점수

반응형

AhnLab V3 보안 제품에서 제공하는 "클라우드 평판 기반 실행 차단" 기능은 알려지지 않은 파일이 실행시 "프로그램 실행 알림" 창을 생성하여 사용자가 파일 처리 방법을 선택하도록 추가된 보안 기능입니다.

물론 클라우드 평판 기반 실행 차단 방식의 문제점으로 AhnLab V3 보안 제품에서 진단되지 않는 악의적인 파일 실행시 유효한 디지털 서명이 포함되어 있는 경우 "프로그램 실행 알림" 창이 생성되지 않는점은 문제라고 언급한 적이 있습니다.

 

그런데 최근 AhnLab V3 보안 제품이 버전 업데이트를 통해 클라우드 평판 기반 실행 차단 수준에서 제시한 기준을 일부 변경한 부분이 확인되어 살펴보도록 하겠습니다.

  1. 차단 수준 "낮음" : 최초 발견(10일 이내), 사용자 수(100명 이하), 의심 행위(3건 이상) - 기본값
  2. 차단 수준 "보통(권장)" : 최초 발견(20일 이내), 사용자 수(500명 이하), 의심 행위(1건 이상)
  3. 차단 수준 "높음" : 최초 발견(30일 이내), 사용자 수(800명 이하), 의심 행위(0건 이상)

우선 기존 AhnLab V3 보안 제품의 클라우드 평판 기반 실행 차단은 최초 발견, 사용자 수, 의심 행위로 구분하고 있었습니다.

해당 화면은 편집되어 있음을 밝힙니다.

  1. 차단 수준 "낮음" : 최초 발견(10일 이내), 사용자 수(100명 이하), 의심 행위 점수(25점 이상) - 기본값
  2. 차단 수준 "보통(권장)" : 최초 발견(20일 이내), 사용자 수(500명 이하), 의심 행위 점수(10점 이상)
  3. 차단 수준 "높음" : 최초 발견(30일 이내), 사용자 수(800명 이하), 의심 행위 점수(0점 이상)

이번 AhnLab V3 제품 업데이트를 통해 변경된 클라우드 평판 기반 실행 차단 수준의 기준값이 "의심 행위 → 의심 행위 점수"라는 용어로 변경되어 있으며, 차단 수준에 따라 외부에서는 확인할 수 없는 의심 행위 점수로 구분되어 있습니다.

일반적으로 사용자 PC에 존재하는 파일에 대한 "AhnLab V3 파일 분석 보고서" 내용을 확인해보면 사용자 PC에서 발생한 행위 내역을 기반으로 "의심 행위 이력"을 표시하고 있습니다.

또한 부가적으로 클라우드 서버에 전송된 사용자 PC에서 발생한 의심 행위 내역을 종합하여 제공되는 "클라우드 발견 의심 행위" 정보를 통해 확인된 "의심 행위 개수"를 기준으로 클라우드 평판창(프로그램 실행 알림) 실행 여부를 결정하였습니다.

 

그런데 이제부터는 AhnLab V3 보안 제품은 단순 의심 행위 개수가 아닌 수집된 의심 행위를 클라우드 서버에서 점수화하여 각 차단 수준별 기준으로 하는 점수를 넘을 경우 프로그램 실행 알림창이 생성되도록 변경한 것으로 판단됩니다.

 

핵심은 ASD 클라우드 서버에서 사용자 PC에서 실행되려는 파일에 대한 평판 정보를 종합하여 의심 행위가 존재할 경우 프로그램 실행 알림창을 통해 사전에 사용자에게 실행 여부를 확인할 수 있도록 제공한다는 점이며, 현재 AhnLab V3 보안 제품의 기본 설정값은 "낮음" 수준으로 설정되어 실제적으로 진단되지 않는 악성 파일에 대한 사전 차단 능력이 떨어질 수 있다는 점입니다.

 

그러므로 AhnLab V3 보안 제품을 사용하는 사용자는 반드시 클라우드 평판 기반 실행 차단 수준을 "보통(권장)" 또는 "높음"으로 설정하시고 사용하신다면 진단되지 않는 다양한 악성 파일이 자동으로 감염되는 행위를 사전에 차단할 수 있다는 점을 명심하시기 바랍니다.

 

 
728x90
반응형