다음 세대 V3, AhnLab Next V3 - 개관

 

 

1. 새로운 V3

금년 초, 매우 흥미로운 소식이 들려왔습니다. 사실 귀띔(!)으로 몇 번 소식은 들었으나.. 직접 제 자신이 체험해 볼 수 없었기에, 그렇게 와 닿지는 않았던 소식이었는데. 새로운 V3의 개인용 제품이 출시된다는 이야기였다. V3 365 클리닉 2.0의 혁신 이후, 대체 몇 년 만의 신제품 소식인지..!!

그 동안 V3 365 클리닉 2.0과 V3 Lite는 내부적으로는 변화가 있었다고는 하나, 타 사(社)가 빠르게는 매 년, 느려도 격 년에 걸쳐 새로운 버전의 개인용 제품을 출시하는데 반해 현재의 V3 제품군은 2008년 이후 특정한 라인업 없이 계속해서 이어져 왔으니 가히 그 공백이 엄청나다고 할 수 있으며, 사실 정상적인 주기는 아니라고 봅니다.

그리고 2개월 정도 사용해본 바, 5년 만의 신제품은 생각보다 훨씬 잘 빠졌다고 생각됩니다.

 

[전체적인 개요]

 

2. 기존 V3와의 차별점

이번 차세대 V3(공식 제품이 아닌 만큼 그냥 Next V3로 통일한다.)는 기존 V3와는 검열 체계가 다르다고 볼 수 있습니다. Ahnlab에서는 MDP, Multi-Dimensional Protection이라는 신기술(!필살기!)로 명명하고 있는데.. 기존의 지문 탐지 기술과, 클라우드 기반 탐지 기술을 제외한 추가된 것만 나열해보도록 하겠습니다. 세세하게 나누자면 끝이 없지만, 이번 글의 목표는 최대한 간결하게!! 쓰는 것이니까, 크게 분류하는 것으로만 합니다.

2-1. 네트워크 탐지

기존 버전에는 이 기능이 없었지만, Next V3에는 드!디!어! 네트워크 기반(URL이나, IP접근)에 의한 탐지를 실시간으로 검출할 수 있게 되었습니다. 이와 유사했던 기능은 사이트가드였으나, 부가 프로그램이었다는 점에서 옛날의 스마트 업데이트와 비슷한 맥락으로 볼 수 있었습니다. 별도의 프로그램이었죠. 그러나 이번에는 네트워크 탐지라는 더 발전된 형태로 V3에도 탑재되었습니다. 이 보호 기술은 브라우저나 타 네트워크로 접근하는 악성 URL이나 파일의 접근을 제어할 수 있게 됩니다.

2-2. 평판 기반 탐지

일부 보안업체(Symantec 등)에서 적용되었던 평판 기반 탐지 기술은, ASD 기반 네트워크와 연계되어 다수의 사람이 이 파일을 어떻게 생각하고, 이용하고 있는지 확인할 수 있게 해주었습니다. 이를 통해 잠재적인 위협이나, 지문 검색으로 탐지할 수 없는 파일의 위협에 사용자 개별적으로 대응할 수 있게 되었습니다. 후에 자세히 살펴보도록 하겠습니다.

2-3. 행위 기반 탐지

기존의 지문 검색 등으로 검출할 수 없는 파일이지만, 파일의 행동을 보고 탐지하는 이 기술은 MDP라는 이름 아래 검출하게 되며, 이는 공식 진단명은 아니지만 새로운 취약점을 악용한 공격(0-day)이나 실시간 위협에 대응할 수 있게 해주는 매우 중요하며, Next V3의 핵심 신기술이라고 볼 수 있습니다.

기존 제품이 클라우드 기반 탐지와 지문 기반 탐지에 의존했던 것과는 크게 다르다고 볼 수 있는데, 다양한 필터(검출 체계)가 많아짐으로 인하여 다양한 실시간 위협에 대응할 수 있게 되었습니다.

3. 프로그램 확장

탐지 기술의 향상은 양날의 검입니다. 필터가 많으면 많을수록 경량화에 초점을 두어야 할 때가 많은데, V3의 경우 이 문제를 제품 자체적으로도 훨씬 더 경량화하는데 성공했다고 볼 수 있습니다. 또한 프로그램 자체 보호나 기타 시스템 기반 위협(MBR 등)에 대한 보호 수준도 향상 되었는데, 전작(V3 365 클리닉)에 비하여 향상된 점을 기술하자면 다음과 같습니다.

3-1. 스마트 검사

지금은 기술 이름이 정확하게 기억이 나지 않는데, Kaspersky나 Symantec 등은 초창기에 평판 기반 시스템이 나오기 전, '한번 검사한 파일은 검사하지 않는다'라는 기술로 검사 시간을 획기적으로 줄였던 전례가 있습니다. 스마트 검사의 경우 단적으로 볼 때 비슷한 역할을 하게 됩니다. 검사를 하면 할수록 변경 되거나 추가되지 않는 시스템에 대하여 검사하지 않기 때문에, 검사 속도가 비약적으로 향상된다고 볼 수 있습니다.

3-2. 고급 검사의 세분화

기존 V3와는 다르게, 불필요한 프로그램, 유해 가능 프로그램(PUP, AppCare) 진단이 실시간 검사에서도 활성화됩니다. 기존 V3의 경우 정밀 검사에서만 검출할 수 있었습니다. 또한 ASD 평판 검사(Reputation)가 추가 되어, 클라우드 평판 검사가 추가되었습니다.

3-3. 평판 기반 필터링

평판 기반의 기준을 설정하여, 악성이 아니더라도 발견 일 수, 사용 자수, 의심 행위 등을 사용자가 설정하여 V3가 제어할 수 있게 도와주는 기능입니다. 이를 통해 단순히 악성 확인 되지 않는 파일이라 하더라도, 사용자가 판단할 수 있는 기회를 한번 더 제공하게 됩니다.

3-4. 자체 보호 강화

제품 보호는 이제 프로세스와 파일 보호, 레지스트리 보호까지 전반적인 보호가 가능하며, MBR(Master Boot Record) 보호까지 시스템의 근본까지 접근을 제어하여, 악성 프로그램의 속칭 '하드 날리기'까지 대응할 수 있게 되었습니다.

3-5. 클라우드 분석 보고서

V3 365 클리닉 2.0의 경우 ASD로 파일을 보낸 것까지만 알 수 있었으나, 이제 사용자가 전송된 파일의 목록과 어떻게 되었는지(악성,정상,보류) 확인할 수 있게 되었으며, 목록으로 연결됩니다.

3-6. 제품 경량화

빛자루와 V3 365를 초창기에 써 왔던 사람은, V3 Lite와 2.0의 신선한 충격을 잊을 수 없을 것입니다. 마치 Symantec의 Norton AV 2009를 보는 듯한.. Next V3는 이보다 훨씬 더 경량화 되었습니다. 심지어 설치 초기의 업데이트 딜레이도 최소화 되었습니다. (클리닉과 Lite의 경우 껍데기만 설치한 후 DB를 맨 처음에 초기화하는 상태였습니다.)

3-7. 시스템 모니터링 강화

이제 방어 시스템으로써의 모니터링 기능이 훨씬 더 강화되었습니다. 분석 결과와 현재 프로세스가 무슨 행위를 하고 어떠한 연결을 했으며, 이 파일을 누가 생성하였는지(Dropper)가 무엇인지 까지도 사용자가 확인하고 판별할 수 있게 되었습니다.

4. 이후

5년 만에 찾아오는 신제품인 만큼 매우 흥미롭게 살펴보았습니다. 후술할 글에서 모두 자세히 설명하도록 하겠습니다. 확실한 것은 다음 세대의 V3는 지금까지와는 다른 V3라는 점을 미리 말씀 드리고 싶습니다.

추가된 기술의 검역체계만 본다면 생각보다 훨씬 향상되었음을 직접적으로 느낄 수 있습니다. 예전을 생각해보자면 이 정도의 발전을 했다는 것이 놀랍습니다. 진짜로 감명 깊을 정도입니다. Next V3가 개인용 제품의 Endpoint가 되길 진심으로 기대하면서.. 위에 열거했던 기능들을 참고하여 글을 이어나가 보겠습니다.

보안 분야에서 2년 정도 손을 떼니까 이제 샘플 구하기도 힘들고 어떻게 상세한 사용 후기를 적기에는 한계가 있을지도 모르겠습니다. 일단 최선을 다해보겠지만 실제로 Next V3를 만지는 2개월 동안 막막했다는 걸 생각하면 앞으로 쓸 글이 좀 암울 합니다. ( __);

프로그램의 검출 체계는 나날이 발전해 가고 있으며, 이것은 비단 V3뿐이 아닙니다. 제 개인적인 사용 후기에 있어서는, 5년 만의 새로운 개인용 제품군이 기존과 어떻게 달라졌는지를 보겠습니다.

 

다음 글인 다음 세대 V3, AhnLab Next V3 – 네트워크 기반 탐지로 이어집니다.