본문 바로가기

IT, Security

다음 세대 V3, AhnLab Next V3 – 위협 분석 (2)

이전 글인 다음 세대 V3, AhnLab Next V3 – 위협 분석 (1)에서 이어지는 글입니다.

1-2. 클라우드 자동 분석

클라우드 시스템의 의의는 사용자가 상시적으로 샘플의 제공자가 된다는 것입니다. 사용자는 판단되지 않는 파일을 업체에게 전송하며, 업체는 그것을 확인하여 검출 능력에 포함시킵니다. 이는 개인정보의 활용에 있어서 다소 꺼림칙할 수 있으나, 점점 더 방대해지는 악성 코드의 특성 상 이 시스템을 활용할 경우 보다 효율적으로 높은 진단률을 얻을 수 있기 때문에 현재 대부분의 업체에서 사용하고 있는 방식이라고 볼 수 있습니다.

1-2-1. 전작과의 차이점

AhnLab의 경우 V3 365 때부터 클라우드 분석 시스템이 존재 해 왔으며, 실제 V3 Lite 등을 실행하거나, V3 365 클리닉에서는 다음과 같은 설정 항목이 있음을 확인할 수 있습니다.

 

 

실제 상용 프로그램과 무료 프로그램(365 클리닉과 Lite의 차이)의 구분 중 하나는 클라우드 시스템의 개인정보 전송여부입니다. 상용 프로그램인 V3 365 클리닉은 파일을 전송하는 기능은 존재치 않으며, 단순히 ASD의 데이터를 받아오는 기능만 수행하여, 개인정보제공 의무에서 제외되었습니다.

무료 제공 프로그램인 V3 Lite에만 의심 파일을 ASD(AhnLab Smart Defense) 서버에 전송하여 분석하는 데이터를 얻습니다. 무료 프로그램이기 때문에 사용자가 많은 만큼 광범위한 데이터 수집이 가능했던 것입니다. 이러한 수집과 분석 데이터는 악성임을 확인하는 기반이 되어 진단률을 향상 시키는데 일조해 왔습니다.

그러나 기존의 V3(Lite에서)는 현재 클라우드가 의심 파일을 어떻게 전송하는지 여부와, 전송된 파일의 분석 결과는 알 수 없어서 그것이 정상인지, 악성인지를 알 수 없다는 점에서, 한계를 가졌습니다. 그러나 Next V3에서는 사용자가 '클라우드 자동 분석' 탭에서 확인해 볼 수 있습니다.

1-2-2. 분석 사용

클라우드 자동 분석은 기본적으로 활성화 되어 있으며, 환경 설정에서 설정할 수 있습니다.

 

 

전작에서는 실제 악성 의심 파일을 보낼 때 큰 알림창을 보여주면서 보냄 여부를 확인했지만, 해당 옵션을 켜 놓을 경우 분석은 자동으로 이루어지며, 사용자를 방해하지 않는 알림창으로 바뀌었습니다. 다만 이에 따라 자동 분석 알림 창을 보고 싶지 않더라도 강제적으로 볼 수 밖에 없습니다. 물론 우측 상단의 x 버튼을 눌러 바로 알림 창을 종료할 수는 있습니다.

 

 

해당 알림이 사용자에게 통지되면, ASD는 분석을 위한 작업을 실시하게 되는데, 파일을 준비하고 서버로 전송하며, 결과 값을 받아오는 것이 그것입니다.

1-2-3. 클라우드 자동 분석

 

 

클라우드 자동 분석의 경우 상태가 전송 예정과 전송 중, 그리고 분석 완료로 나누어지는 것 같으며, 분석 결과는 미확정, 정상, 악성 등으로 나누어지게 되어 있습니다. 이러한 분석 결과는 거의 대부분이 미확정(시간적 경과를 두고 지켜보아야 알 수 있는 것들)로 판별 되지만, 드물게 정상이나 악성으로 판별되는 것들도 있습니다.

클라우드 자동 분석 또한 더블 클릭으로 파일 분석 보고서를 이용할 수 있습니다.

 

 

안전도 평가가 바로 클라우드 자동 분석이나 AhnLab 네트워크에서의 분석 결과를 나타내는 곳입니다. 실제 해당 파일은 정상적인 파일은 절대로 아니며, 악성도 아니지만 불필요한 프로그램으로 분류될 수 있는 아주 성가신 프로그램입니다.

실제 클라우드로 전송되는 파일은 매우 단편적입니다. 'A 프로그램 중 생성된 B파일'을 가져가는 것이지 A와 B를 반드시 둘 다 가져가는 것도 아니고, 유기적으로 분석하는 것도 아닙니다. 그래서 아주 노골적으로 악성 행위를 하는 파일이 아니라면 정상과 악성 여부를 판단하기 껄끄러운 점이 존재합니다.

1-2-4. 날짜 검색과 색인

이미 차세대 V3, AhnLab Next V3 – 위협 분석 (1)에서도 언급한 바와 같이, 날짜 검색과 색인 기능을 모두 제공합니다. 이는 위협 분석 부분의 공통적인 특징이라고 볼 수 있습니다.

 

 

실제 날짜 검색은 기본 1주일 단위로 이루어져 있습니다. 로그가 기록되는 양은 프로그램 활동 내역보다는 적기 때문에, 범위를 설정한다는 내용을 제외하면 크게 어려운 부분이 없습니다.

 

 

마찬가지로 색인 기능을 지원하며, 여기에는 파일 경로와 상태, 분석 결과를 모두 포함합니다. 위의 사진에서는 '악성'을 분류로 검색하였지만, 실제 wd.exe라고 검색한다 하더라도, 정상적으로 색인이 가능합니다. 이와 같은 원리라 dll 파일만 따로 검색하거나, exe파일만 따로 검색하여 원하는 결과를 찾을 수 있습니다.

 

1-2-5. 내용 저장

 

 

클라우드 자동 분석의 내용 또한 파일로 저장하는 것이 가능하며, 저장하기를 누를 경우

 

 

asd_cloud라는 파일로 저장되는 것을 확인할 수 있습니다. 이미 색인이 되어 있는 경우, 색인된 부분만 저장됩니다. 예를 들어 위에서처럼 dll 파일로 색인된 2가지의 목록이

 

 

다음과 같이 저장되는 것을 확인할 수 있습니다. 프로그램 활동 내역과 동일한 만큼, 클릭이나 Shift 등으로의 다중 선택을 통해서도 선택하여 Ctrl+C 등으로 복사하여 다른 곳에 붙여넣기 할 수 있다는 점도 똑같습니다.

1-2-6. 의의

클라우드 자동 분석의 의의는 간단합니다. 기존 버전에서는 ASD에서 무엇을 보내고 무엇을 어떻게 판단하였는지 사용자에게 보여주지 않았습니다. 물론 처음에는 알림창 형식으로 어떠한 파일을 보낼 것인데, 어떻게 할 것인가를 질의하는 부분은 있었지만, 이는 V3 Lite에만 적용되는 부분이었으며, 알림창이 매우 번거로운 형식으로 업로드 되기 때문에 대부분의 사용자가 더 이상 알림 창을 띄우지 않음 옵션에 체크하고 사용했을 것입니다.

그러나 이번 버전에서는 아예 위협 분석이라는 이름으로 무슨 파일을 보냈으며, 분석 결과까지 체계적으로 보여준다는 점이 매우 흥미롭습니다. 다른 업체에서도 이렇게 자세하게 알려주는 경우는 매우 드문 것으로 생각되며, 사용자가 보내진 파일의 분석 결과를 직접적으로나마 확인할 수 있다는 점이 긍정적으로 판단됩니다.

신경 쓰지 않으면 크게 상관은 없으나, 실시간 분석 결과를 볼 수 있기 때문에 V3가 어떻게 활동하는지 더 자세하게 알 수 있겠지요.

2. 위협 분석

위협 분석은 V3의 강화된 소프트웨어 모니터링의 향상이라고 볼 수 있습니다. 보다 개방적인 분석 시스템을 통해 사용자가 판단할 수 있는 것이 매우 많아졌습니다. 기존의 버전이 단순히 V3가 검출하고, 차단하는 매우 단편적인 모습만 보여주었다면, 위협 분석이나 클라우드 자동 분석의 개방성 등을 통해 볼 때 많은 것을 공개하고 있음을 보여주기도 합니다.

또한 이런 시스템이 있음으로써 '우리는 이렇게 움직이고 있다, V3가 모니터링 해주고 있다'라는 신뢰감을 주기도 합니다. 이제 이 후기 시리즈의 끝이 보여갑니다. ( __) 다음 글에서는 도구에 관해 알아 보겠습니다.

다음 세대 V3, AhnLab Next V3 - 도구 로 이어집니다.