본문 바로가기

IT, Security

다음 세대 V3, AhnLab Next V3 – 네트워크 기반 탐지

이전 글인 다음 세대 V3, AhnLab Next V3 – 개관에서 이어지는 글입니다.

1. 개요

개관에서 소개한 대로, 기존 V3와는 검열 체계가 몇 가지 더 추가된 점이 있습니다. 이러한 신기술은 제로데이 및 탐지 되지 않는 악성 위협에 효과적으로 대응할 수 있도록 도움을 준다는 점에서, 주목해서 지켜봐야 할 부분입니다. 네트워크 기반 탐지 편에서는 네트워크 기반 탐지에 대하여 살펴보도록 하겠습니다.

2. 사이트가드와의 차이와 장점

2-1. 사이트가드의 한계

기존의 V3에서는 네트워크 기반 탐지 기술이 적용되지 않았습니다. 비슷하게 나마 가능했던 기반 시스템은 사이트가드(SiteGuard) 프로그램이었는데, 이는 옛날 V3 시리즈의 스마트 업데이트(Smart Update)처럼 프로그램 내 탑재가 아닌 별도 설치 방식이었습니다.

또한 브라우저의 확장기능 형식으로 제공되었기 때문에, 프로그램이 해당 브라우저를 지원하지 않을 경우, 악성 위협으로부터 보호할 수 없다는 점이 문제로 제기됩니다. 또한 사이트 기반이기 때문에 말 그대로 '브라우저 자체'의 악성 스크립트나 파일만을 검출할 수만 있습니다.

2-2. 네트워크 기반 탐지의 장점

네트워크 기반 탐지는 이보다 한 단계 더 나아간 기능으로, OS 내의 모든 프로그램의 네트워크 연결 전반을 감시하며 악의적인 위협에 대응하게 됩니다. 이는 V3 제품군으로는 최초이지만, 사실 V3의 지원이 늦었던 것이지 거의 대부분의 보안 프로그램에는 이미 탑재되어 있는 기능입니다.

이 기능을 활용하게 되면, 브라우저에 관계 없이 사용자의 악성 위협을 감시할 수 있으며, URL 기반 차단의 경우 URL에서 다운로드 되는 파일을 검출하지 못하더라도 URL 접근을 차단함으로써 변종의 위협을 사전에 차단하는 기능을 담당하게 되므로, 예방이라는 점에서 매우 중요한 부분입니다.

예를 들어, A 사이트에 B 파일이 유포된다고 할 때, 파일 감시만 있을 경우 B 파일을 검출하겠지만, 나중에 B 파일이 C 파일로 바뀌면 C 파일에는 대응할 수 없게 되는 단점이 있습니다. 네트워크 기반 탐지의 경우 A 사이트에 어떠한 파일이 유포된다는 정보만을 갖고 차단함으로써, B파일과 C파일을 검출할 수 있는지, 없는지 여부는 크게 상관 없이 악성 위협을 사전에 차단할 수 있게 됩니다.

3. 프로그램 설정

네트워크 기반 탐지 기술은 실시간 검사 제어에서 끄고 켤 수 있는데, 프로그램 내에서는 '네트워크 방역'으로 접근할 수 있습니다.

 

 

네트워크 방역 탭에서는 다음과 같은 내용을 확인할 수 있는데, 주소, 사용자 수, 발견 일자, 평판, 접근 프로그램 명목을 차례대로 확인할 수 있습니다. 실제로 iexplore.exe의 경우 Internet Explorer의 프로세스 이름으로, IE로 접근했을 때를 차단했다는 것과, opera.exe의 경우 Opera 브라우저의 프로세스 이름으로, Opera로 접근했을 때 차단했음을 나타냅니다.

흥미로운 것은 차단과 신뢰의 접근성을 매우 용이하게 해 놓았다는 것인데, '신뢰(예외)' 설정 한번 하려면 번거롭게 설정까지 들어가야 하는 타 프로그램에 비해 설정 접근하기가 굉장히 편리합니다. 또한 의심 사이트 관리 리스트에 오른 목록을 더블 클릭할 경우, 보고서를 통해 더 자세한 내용을 확인할 수 있게 됩니다. 이는 뒤에 기술하겠습니다.

3-1. 환경 설정

 

네트워크 기반 탐지의 환경 설정은 별도로 존재합니다.

유해 웹사이트 차단과 유해 서버 연결 차단(URL, IP)은 기본적으로 활성화 되어 있지만, 확장 검사의 불필요한 사이트 검사(PUS)의 경우 기본적으로 활성화 되어 있지 않습니다. 불필요한 사이트 검사는 수동으로 활성화하는 것을 추천합니다.

신뢰 및 차단 주소 또한 이 곳에서 확인하고 설정할 수 있습니다. 신뢰의 경우 그냥, 차단의 경우 붉은색으로 표시되어 있음을 확인할 수 있습니다. 중요한 것은 앞에 www가 있음과 없음을 구분하니, 차단하고 싶은 사이트가 www가 있는지, 없는지 확인하는 것이 좋습니다.

또한 사용자가 신뢰 또는 차단할 경우 이는 사이트 평판에 기록됩니다.

3-2. 실시간 감시

 


[악성 사이트를 차단한 모습]

 

악성 사이트에 접근하게 되었을 때 뜨는 알림은 다음과 같습니다. URL과 접근 프로세스, 그리고 현재 상태 부분이 나오게 되어 있으며, 사이트 평판 정보를 볼 수 있습니다. 중요한 것은 안전도 평가와 사용자 수, 사용자 평판 부분인데, 사용자 수가 많거나 적다고 해서 반드시 나쁜 것은 아니라는 점을 분명히 알고 있어야 합니다.

실제로 사이트가드와는 달리 (사이트가드는 Opera 브라우저를 지원하지 않음) 프로세스 범위로 차단하기 때문에 Opera 브라우저에서도 다음과 같이 차단이 가능합니다. 또한 호스트 이름 또는 URL 주소를 클릭할 경우 V3 Next 보고서 기능을 이용한 사이트 평판 정보가 나오게 됩니다. (이는 3-2-1.에도 동일 적용)

불필요한 사이트에 접근할 경우에는 안내 문구가 '위험 사이트 접속을 차단 하였습니다'가 아닌 '불필요한 사이트 접속을 차단하였습니다'로 바뀌며, 그 외에는 상기 이미지와 동일하게 표시됩니다.

3-2-1. 개별 차단

 

개별 차단한 주소를 다음과 같이 입력하게 되면 V3 Next가 접근을 차단합니다. 차단 여부는 사용자 평판에 악영향을 미칩니다만, 이것은 제 경우와 같이 꼭 해당 사이트가 악성은 아니더라도, 자녀의 시스템 통제 등의 이유로 차단할 가능성도 적지 않으므로 사용자 평판을 기반하여 판단하는 것은 자제하는 것이 좋습니다.

4. 보고서 및 분석

V3 Next의 큰 기능 중 하나인 보고서 기능의 네트워크 기반 탐지에 대하여 알아봅니다. 이번 V3 Next는 프로그램 전체적으로 보고서 기능이 매우 주요하게 작동하게 되는데, 이 보고서에 접근하는 방법은 다음과 같습니다.

  • 프로그램 네트워크 방역 – 의심 사이트 관리에서 사이트 URL 부분을 더블클릭
  • URL 차단 알림에서 URL 주소 또는 호스트 이름을 더블클릭
  • 프로그램 위협 분석 – 프로그램 활동 내역 – 대상 URL 더블클릭

이렇게 URL 보고서로 접근하게 된다면, 다음과 같은 페이지가 나옵니다.

 

확인할 수 있는 주요 정보는 다음과 같습니다.

  • 호스트 이름 : 최상위 주소에 관한 내용
  • 최초 발견일 : 사이트의 제작 일자가 아닌 클라우드 시스템이 이 주소를 발견했을 때의 날짜
  • 사용자 수 : 클라우드에 의한 접근 내역
  • 사용자 평판 : 신뢰, 차단으로 인한 누적 횟수
  • 최초 발견국가 : IP 국가를 추적하여 보여줍니다.
  • 안전도 평가 : AhnLab이 분석한 위험 결과입니다.
  • 안전도 평가(Safe Browsing) : 정확하게는 모르겠는데 Safe Browsing을 보아하니 Google의 기능인 것 같습니다.
  • URL 차단 이력 : 현재 버전에서는 해당 기능이 지원되지 않는 것인지, 나오지 않지만 포트와 프로그램 결과를 한꺼번에 알 수 있는 유용한 기능입니다.
  • 주요 행위 : 사이트에 접근한 주체, 행동 모니터링

URL 보고서를 사용하면 URL을 어떻게 실시간으로 차단했고, 해당 호스트가 어떠한 평가를 받고 있는지 직접적으로 살펴볼 수 있습니다. 이러한 보고서 기능은 사용자가 어떻게 보고서를 잘 활용하느냐에 따라서, 차단과 신뢰 기능을 통하여 더 부가적인 효과를 낼 수 있습니다.

사실 사용하면서 보고서 기능을 한번도 쓰지 않아도 크게 지장은 없지만, 일단은 고급 사용자 용의 기능이라고 보아야 할 것입니다. 단순한 URL 보고서 뿐만 아니라, 프로그램 전체적으로 V3 Next의 보고서 기능이 깔려 있는 만큼, 프로그램을 잘 사용하면 할수록 배가 되는 효과를 얻을 수 있습니다.

컴퓨터에 별로 관심이 없는 사용자는 판별하기가 쉽지 않을 텐데, 사용자 수나 사용자 평판 보다는, URL 차단 이력이나, 국가와 안전도 평가가 해당 사이트를 판단하는데 큰 도움이 됩니다. 특히 구글의 결과까지 사용하는 것을 보면 AhnLab이 단순히 자사 분석 결과에만 의존하지 않음을 알 수 있게 해줍니다.

이는 파일 분석 보고서에도 같이 나타나게 되는데, 이는 후에 기술하도록 하겠습니다.

5. 이하

지금까지 네트워크 기반 탐지를 살펴보았습니다. URL 차단 성능은 매우 만족스러운 수준으로, 실제로 클라우드 시스템과의 연동, 보고서 기능, 손 쉬운 사용자 개별 설정 등에 높은 점수를 주고 싶습니다. 실제로 개설된 지 얼마 지나지 않아 바로 블랙리스트에 오르는 것을 확인할 수 있었으며, 매우 발전했음을 보여줍니다.

사실 네트워크 탐지 기반은 타 업체에 비하여 굉장히 늦은 감이 있지만, 손쉬운 신뢰 사이트 추가, 원한다면 보고서 기능으로 자세하게 모니터링도 가능한 만큼, 매우 높은 점수를 주고 싶습니다.

 

다음 글인 다음 세대 V3, AhnLab Next V3 – 평판 기반 탐지로 이어집니다.