다음 세대 V3, AhnLab Next V3 – 평판 기반 탐지 (2)

이전 글인 다음 세대 V3, AhnLab Next V3 – 평판 기반 탐지에서 이어지는 글입니다.

4. 클라우드 평판 알림

단순히 사용자가 신뢰/차단한 것만 그치지 않고, 평판 필터링에 의하여 실시간으로 검사한 프로그램을 V3가 실행을 물어볼 때가 있습니다. 악성인지 확인되지는 않았지만, 안정성이 의심되는 파일을 다음과 같이 차단하게 됩니다. 이는 매우 중요한 기능입니다.

 

 

'안정성이 확인되지 않은 파일 실행을 탐지하였습니다.'라는 문구와 함께 파일 경로, 평판 정보를 같이 보여줍니다. 해당 파일은 악성인지 확인은 되지 않았지만, 평판 필터링(후술)에 부합하지 못해 V3가 알림을 내놓는 것입니다. 주의 깊게 보아야 할 것은

• 신뢰 및 차단 정책에 추가

인데, 자동으로 체크 되어 있기 때문에 한번만 할 경우 체크 해제하는 것이 좋습니다. 만약 차단을 하게 되면

라는 문구와 함께 실제로 해당 파일을 삭제해 버리게 됩니다. 그러니 평판에서의 차단이 단순히 실행을 차단하는 것이 아니라는 점을 정확하게 알고 있어야 합니다. 일단 판단하기 전에 파일 경로 부분을 클릭하여 '파일 분석 보고서'를 참고하거나, 파일 평판 정보를 보고 실행할 것인지, 삭제할 것인지 정해야 합니다.

클라우드 평판 알림의 경우 일정 시간이 지나면 자동으로 파일의 실행을 중지 해 버립니다. 이 경우 삭제한 것은 아니고, 단순한 위의 이미지만을 띄우며 파일 실행 자체만 막은 것이 됩니다.

급하지 않다면 VirusTotal이나 파일 분석 보고서를 조금 더 살펴본 뒤 판단하는 게 오진을 줄일 수 있는 지름길일 것입니다. X 아이콘을 누르는 것만으로도 그냥 중지가 됩니다.

이 기능은 사용자가 클라우드 평판 부분에서 수동으로 검출하여 사용하는 것이 아닌, V3 자체적으로 실시간으로 검사하여 탐지합니다. 따라서 별도의 설정이 전혀 필요 없습니다. 일단 '경고를 띄우는 것만으로도' 내키지 않는 어떠한 행동을 하고 있다고 봐도 무방합니다.

따라서 이 기능을 잘 활용하기 위해서는 파일 분석 보고서와 전후 상황을 잘 판단하여 결정하는 것이 좋습니다.

5. 환경 설정

 

프로그램 설정 부분에서도 알 수 있었지만, 클라우드 평판은 사용하지 않을 수 있습니다. 단, 사진에도 써 있듯 실시간 보호 기능을 사용 해야 동작합니다. 실시간 보호 기능을 사용하지 않으면 자동으로 클라우드 평판도 비활성화 되며, 실시간 보호 중지 상태에서 클라우드 기능을 활성화 할 경우 실시간 보호도 자동으로 활성화 됩니다.

평판 기반 탐지라는 게 기준이 없으면 동작할 수 없음은 조금만 생각해도 알 수 있습니다. 30만 명이 사용해도 위험할 수 있고, 10명이 사용해도 안전할 수 있는 만큼, 단순한 사용자 수만으로 판단할 수 없기 때문에, V3는 '의심 행위'라는 규칙을 정해 놓았습니다.

• 최초 발견
• 사용자 수
• 의심 행위
• 탐지할 의심 행위

다음 기준에 부합할 경우, 사용자에게 실행 또는 차단을 물어보게 됩니다. 여기에서 가장 판단에 직접적인 영향을 줄 수 있는 것은 '의심 행위' 부분입니다. 최초 발견과 사용자 수는 크게 중요하지 않습니다.

탐지할 의심 행위는 기본적으로 전부 체크 되어 있고 굉장히 목록이 많습니다. 모두 다 진짜 의심할 만한 항목을 기준으로 되어 있기 때문에, 혹시 리스트를 수정하고 싶다면 모두 체크 한 상태에서 불필요한 것을 체크 해제 하는 형식으로 하는 것을 추천합니다. 필터링에 의해 부합한 결과는 4번과 같이 알림을 띄울 것입니다.

 

 

실시간 감시에서 신뢰 및 차단한 결과는 이 곳에도 동일하게 반영됩니다.

6. 평판 기반 탐지

지금까지 평판 기반 탐지 항목에 대하여 알아 보았습니다. 평판 기반이라고 하여도 2가지 방식으로, 첫째는 V3 를 이용해 자신이 직접 의심 가는 파일과 프로세스 등을 차단하거나 신뢰 설정하는 점과, 둘째 V3이 평판 기반 필터링을 통해 자동으로 실행되는 파일의 실행 여부를 묻는 방식이 있습니다.

모두 근본적으로 아이콘 색깔에 따른(회색, 청색, 적색) 안전도 분류와 사용자 평판 여부, 사용자 수, 최초 발견 등의 '사용자 평판 정보'가 기반되어 있으므로, 이 부분을 잘 살펴본 뒤 판단하는 것이 좋습니다. 또한 2차적으로 '파일 분석 보고서'를 통한 더 정밀한 파일 분석이 가능하오니, 이 기능을 잘 활용하여 불필요한 프로그램의 접근이나 악성 프로그램을 차단하는데 활용하시기 바랍니다.

단 평판 기반 탐지의 경우 사용자가 아는 만큼 뽑아 먹을 게 많기 때문에 사용자를 가린다는 단점은 분명히 존재합니다. 아는 만큼 보인다는 거죠. ^^;; 일종의 확장 탐지 기반입니다. 몰라도 괜찮지만, 알면 알수록 좋은 기능입니다.

 

다음 글인 다음 세대 V3, AhnLab Next V3 – 파일 분석 보고서에서 이어집니다.