본문 바로가기

IT, Security

다음 세대 V3, AhnLab Next V3 - 도구

이전 글인 다음 세대 V3, AhnLab Next V3 – 위협 분석 (2)에서 이어지는 글입니다.

1. 개요

AhnLab의 새로운 Next V3의 도구에 관해 알아봅니다. 도구는 이벤트 로그, 진단 로그, 검역소 등으로 이루어져 있으며, 이는 V3 시스템 전반에 대한 기록입니다. 따라서 V3의 기능에 대한 행동 로그가 아닌, V3 제품 자체에 대한 행동 로그가 기록되며, 이는 V3가 정상적으로 동작하는지 알아볼 수 있는 중요 요소로 볼 수 있습니다.

2. 이벤트 로그

 

 

V3 프로그램에 전반적으로 일어난 일을 확인할 수 있습니다. 실제 이러한 업데이트나 제품 보호의 경우, 알림 창으로 V3가 알려주기도 하는데, (알림 설정은 환경 설정에서 제어 가능)

 

 

실제 이벤트 로그는 딱히 확인할 필요가 별로 없지만, 비 정상적으로 제품보호 기능에 대한 로그가 발견 되거나 할 경우 프로그램이나 현재 시스템에 문제가 있다는 것이므로, 상태를 잘 관찰해볼 필요가 있습니다. 실제로 해당 시스템은 현재 비정상적인 자체 보호 알람이 나오는 관계로, 현재 시스템이 정상 수준이 아님을 알 수 있습니다.

3. 진단 로그

 

 

진단 로그는 검역소와는 그 기능을 달리합니다. 검역소는 말 그대로 악성 코드를 보관하고 있는 장소라면, 진단 로그는 진단한 모든 로그에 대한 기록을 저장하게 됩니다. 네트워크 침입, 의심 프로그램 실행, MDP 사전 보호 등의 위협 요소 등이나, 시스템 보호, URL 실시간 검사, 클라우드 평판에 의한 검사 방법 등을 모두 기술하여, V3가 차단한 파일은 무엇인지, 어떻게 차단 되었는지, 어떤 방법인지를 한 눈에 파악할 수 있습니다.

이 기능을 이용해서 V3가 어떤 기능으로 무엇을 차단했는지 확인할 수 있습니다. 또한 파일 경로를 더블 클릭할 경우 파일 분석 보고서나 URL 분석 보고서가 표시됩니다.

4. 검역소

 

 

검역소는 진단 로그와 다르게 실제 악성 코드를 보관하고 있는 곳입니다. 만약 V3가 오진이나, 위험함을 알면서도 해당 파일을 다시금 사용해야 할 때가 된다면 검역소에서 복구할 수 있습니다. 기본적인 MDP 등은 사용자에게 물어보는 옵션이 없으며, 따라서 자동으로 삭제하고 차단합니다. 하지만 그만큼 검역소에 자동으로 저장되니 이 곳에서 복구하면 됩니다.

또한 파일 경로를 클릭할 경우 해당 파일에 대한 파일 분석 보고서를 볼 수 있습니다.

4-1. 복원

 

검역소에서의 선택은 기존의 클릭 방식이 아닌 (클릭은 됩니다.) 날짜 왼쪽의 체크 박스에서 체크를 한 항목에 한해 복원할 수 있습니다. 우측 하단의 복원 버튼을 누르면, 파일 경로에 있는 그 장소로 바로 복원이 됩니다.

 

 

복원을 누를 경우 검사 예외 목록에 추가하겠냐고 물어보는데, 이 곳에서 추가를 누를 경우 자동으로

 

 

검사 예외 설정에 추가되는 것을 확인할 수 있습니다.

 

 

실제 복원을 하면 성공할 경우도 있고, 실패하는 경우도 있습니다. 문제점을 확인하기 위해서는 도구 – 이벤트 로그에서 현재 행동에 대한 로그를 확인해 보아야 합니다.

 

 

실제 이벤트 로그에 보면 경로 뒤에 에러 코드가 나오게 되어 있는데, 이 에러 코드를 대입하여 볼 장소가 베타라서 그런지 없습니다. 정식 버전에서는 에러 코드에 대입하여 어떠한 문제로 복원이 실패 되었는지 확인할 수 있을 것으로 보입니다.

4-2. 내보내기

내보내기 기능은 복원 기능과는 다르게, 원래 위치에 대한 자동 복원이 아닌 다른 위치에 대한 복원을 제공합니다. 이 기능은 해당 파일을 따로 살펴보고 싶을 때 유용합니다.

 

 

다음과 같이 원하는 위치를 지정하여 주면 자동으로 해당 장소로 복원을 해주는데, 재미있는 점은 이렇게 복원할 경우 검사 예외 처리할 것인지 묻지 않는다는 점입니다. 따라서, V3 실시간 보호가 활성화 되어 있을 경우 '바로' 다음과 같이 경고 알람이 나옵니다.

 

 

따라서 내보내기 기능을 정상적으로 사용하기 위해선 반드시 실시간 보호를 잠시 비활성화 해야 합니다. 자동으로 삭제해버리기 때문에 다시 한번 같은 행동을 해야 한다는 점이 불편하지요.

예외 처리를 물어보지 않는 이유는 예외 처리 자체가 경로 기준으로 되어 있는데, 임의의 장소에 예외처리를 한다면 테스트 파일에서나 유용할지 모르지만 실제 시스템에서는 별 효과가 없기 때문에 물어보지 않는 것 같습니다.

5. 공통 기능

세 가지 모든 기능은 날짜 모아 보기, 색인 기능, 또한 내용 저장 기능이 있습니다. 이는 전에서 이미 한번씩 설명했기 때문에, 단순하게 사진으로만 처리하겠습니다.

 

 

역시 기본 날짜 주기는 7일로 설정 되어 있습니다.

 

 

검색은 역시 마찬 가지로 가장 광범위 하게 적용되는 기능일 것입니다. 단순하게 진단 로그에서 high 라고 검색하면 객체에 high가 들어간 것은 모두 색인되며, 네트워크 침입, 차단, 탐지 등의 단어 등을 통해 색인 할 수 있습니다. 한 마디로 보고서 부분의 모든 단어는 다 색인이 가능합니다.

 

 

파일 저장 또한 가능하며, 이벤트 로그는 asd_event.csv, 진단 로그는 asd_malware.csv, 검역소는 asd_quarantine.csv 형식으로 저장이 가능합니다. 주의할 것은 검역소의 경우 또한 csv 파일로 저장된다는 것이지, 검역소에 있는 파일 전부를 내보내기 하는 것은 아닙니다.

6. 이하

지금까지 도구 기능에서의 이벤트 로그, 진단 로그, 검역소에 대해서 알아 보았습니다. 검역소를 제외하면 따로 챙겨볼 만한 기능은 아니지만, 프로그램 자체 상태를 알 수 있다는 점에서 언젠가는 한번씩 들르게 될 기능이고, 그렇기 때문에 거의 모든 안티 바이러스 프로그램이 이 기능을 지원하고 있습니다.

다음으로는 기타에 해당하는 마지막 글을 작성해 보도록 하겠습니다. ( __) 다음 세대 V3, AhnLab Next V3 – 기타 로 이어집니다. ^^