국내 굴지의 보안 업체인 안철수 연구소에서 현재 국내외 보안업체에서 최신 기술로서 각광받고 있는
기술인 클라우딩 시스템을 이용한 보안 제품을 내놓았습니다.
현재 베타 버전을 제공 중이며 Ahnlab Smart Defense(이하 ASD)라는 명칭이 부여되었습니다.
다운로드 링크 : http://kr.ahnlab.com/info/event/2009/sdefenseBeta/index.jsp
세부 정보(White Paper) : http://kr.ahnlab.com/info/event/2009/sdefenseBeta/AhnLabSmartDefense_WhitePaper_V1.0.pdf
이번에 전격적으로 발표된 ASD는 안랩이 최초로 내놓은 제품은 아닙니다. 이미 맥아피의 아르테미스나
에프시큐어의 딥가드 기능처럼 비롯하여 많은 보안 업체들의 제품들이 클라우딩 시스템을 이용하고
있습니다. 비록 최초는 아니지만 아직 이를 적용하여 실제 서비스를 제공하는 업체는 손으로 꼽을 정도
적습니다.
(클라우딩 시스템과 이를 이용한 보안 제품의 구동 방식은 위 관련글과 세부정보 링크를 참고하여 주시기 바랍니다.)
현재 ASD는 베타로 적용되고 있으며 실제 제품군에 추가될 예정 등은 공개되지 않았습니다. 공개 베타
테스트를 진행함으로써 개인 사용자들의 다양한 시스템내에서의 버그 및 오진 사례 등의 정보를 통해
더 안정화를 시킬 예정으로 보입니다.
현재 ASD는 설치형 제품이 아니라 포터블 방식으로 구동되며 일부 파일을 윈도우 및 프로그램 폴더에
저장하며 임시 폴더를 이용하여 구동 파일을 저장 후 구동되고 있습니다.
위의 다운로드 링크에서 ASD.exe파일을 다운받아 실행시키면 아래와 같은 메인화면이 나옵니다.
(현재 베타버전이기에 베타 버전 사용에 대한 약관에 동의하면 ASD를 다운받아 사용할 수 있습니다.)
메인화면에서 알 수 있는 기능은 3가지입니다.
파일 실시간 감시/루트킷 진단/수동 검사 등 3가지 기능이 구현되어 있으며 추가적으로 자기 보호 기능
및 검역소 등의 기능이 포함되어 있습니다.
현재 개인적으로 확인해본 결과 맥아피의 아르테미스와는 다르게 V3 제품군에서 진단되는 악성코드들
이 진단되고 있습니다. 그러나 단순히 DB가 동일한 것이 아니라 아르테미스 기능처럼 제품 자체적인
DB외에도 안랩 서버에 위치하고 있는 아직 사용자에게 추가되지 않은 DB와 여러 위험 요소 패턴에
대한 것을 참고하여 휴리스틱(의심 진단)을 하는 것으로 예상됩니다.
환경 설정은 위와 같이 간단합니다. 눈에 띄는 건 진단시 민감도의 강도 설정을 할 수 있다는 것입니다.
압축 파일 검사는 ASD에서는 제공하지 않습니다.
검역소입니다. 복원 기능은 진단된 경로에 일괄적으로 복원 시킵니다. 이부분은 다소 아쉽습니다.
일반적인 보안 제품의 실시간 감시와 마찬가지로 파일의 생성/이동/수정/접근 등 모든 경우에 진단이 이
루어집니다. 이부분은 저의 예상과는 달라서 상당히 놀랐습니다. 바제2에 올라온 정보로는 v3 제품군의
보조적인 기능으로서(기능상) 사용되는 것으로 표현되고 있었는데 ASD에서 거의 완벽한 실시간 감시
기능을 보여주는 것은 의외였습니다.
치료 후에 실시간 진단칭아 그대로 남는 데 따로 로그기록을 볼 수 있도록 항목을 하나 만들고 진단창은
바로 비활성화되는 것이 좋아보입니다.
실시간 감시에서 파일을 체크할 때 아래와 같은 아주 작은 문제가 있는 것 같습니다.
위의 파일들은 하나를 제외하곤 모두 진단되는 객체들입니다. 그러나 악성코드가 저장된 폴더에 접근할 때 실시간 감시에서 위와 같이 소수의 파일만 읽어드려 진단하는 것을 확인하였습니다. 물론 최초 폴더
진입 시에 진단되지 않은 객체들도 마우스 클릭 등의 접근 시도가 일어날 때 진단이 이루어 집니다.
생각하기에 따라서는 버그가 아니라 시스템 퍼포먼스 감소를 줄이기 위해 v3에서 사용하는 파일 검사
방법이 아닐까도 싶습니다. 예상해 봅니다.
또 한가지를 언급하자면, v3에서 진단하는 대부분의 악성코드를 진단하지만 바이럿 등의 일부 감염형
특정 변종 또는 바이러스에 감염된 2차 파일의 경우 진단하지 못하는 것을 발견하였습니다. 이는 수동
검사에서도 마찬가지인데 클라우딩 시스템의 특성으로 검사하려는 파일의 특정 부분만을 서버에 보내
검사하는 방식이기 때문에 진단이 회피되는 것은 아닌가 예상해봅니다. 물론, 제가 사용한 일부 바이럿
샘플들이 ASD의 진단 요소가 아닐 수도 있습니다.
개인적으로 ASD에서 진단되는 객체를 찾지 못해서 실시간 감시에 대한 부분은 어떻게 동작하는지를
알아볼 수 없었습니다만, 예상하기로는 역시 아르테미스와 유사하게 작동하리라 보여집니다. 파일의
생성시(다운로드/압축 해제 시)에만 진단하리라 생각됩니다.
수동 검사는 아래와 같이 이루어집니다. 정밀 검사를 이용하도록 하겠습니다.
아래는 검사 화면입니다.
치료하기 버튼을 클릭하면 모두 삭제가 되며 삭제된 파일은 검역소에 저장이 됩니다.
국내 굴지의 보안 업체임에도 불구하고 국내 유저들 사이에서 끊임없이 진단율을 비롯한 신기술의 도입
여부로 인해 혹평을 받아왔던 v3가 전세계적으로도 사용하는 보안 업체가 손으로 꼽을 만큼 이제 겨우
도입 초기인 클라우딩 시스템을 도입하였다는 것은 상당히 고무적인 일이라 생각됩니다.
아쉽게도 저의 개인적인 시스템에서는 ASD의 클라우딩으로 인해 진단되는 휴리스틱 진단(의심진단)
결과는 찾지를 못하였으나 단순히 DB 업데이트 등의 단축효과가 아닌 휴리스틱 진단 기법의 하나로
구동되는 제품이라 하는 만큼 앞으로 이 기능으로 인해 진단되는 결과값들이 궁금해지기 시작합니다.
다만, 개인적으로 실시간 감시나 수동 검사시에 구동되는 프로세스나 드라이버 모듈을 살펴본 결과
타사의 제품과 충돌 문제가 나타나지는 않을까 우려가 됩니다. 물론, ASD가 아르테미스와 유사하게
실제 제품에 포함될 부가적인 기능이기에 지금의 모습과 실제 구현의 모습과는 차이가 있겠습니다만
ASD가 구동될때에는 프로세스는 ASD.EXE 하나 뿐입니다만 ahawkent.sys나 ahnrghnt.sys, tffregnt.sys
등의 드라이버 모듈이 구동됩니다.
지식이 짧아서 깊은 지식을 말하기는 어렵습니다만 ASD는 커널 모드에서 구동되지 않을까 예상해봅니
다. 예상이 맞다면 가급적 타사의 제품과는 같이 사용하지 말고 일단 테스트용으로만 사용하는 것이 좋
을 듯 싶습니다.
참고로 사용자의 네트워크 대역폭을 갉아 먹는 클라우딩 시스템에 보안 업체들이 관심을 갖게되는 이유
에 대해 보안 업체들이 언급하는 것은 아래와 같습니다..
① 현재 악성코드의 유포의 절대수는 보안 업체가 이를 수집하여 DB화하고 사용자에게 배포하는 현재
시스템으로는 감당하기 어려울 정도로 늘어난 상태입니다.
② 시그니처 휴리스틱 및 행동 기반 휴리스틱 등의 대체 기법이 있으나 완벽하지는 않다.
③ 분석 시스템의 최적화와 자동화로 악성코드 수집과 분석에 있어 상당한 진전이 있다고 해도 이를 사
용자에게 배포하는 데에 문제가 발생합니다.
ⓐ 보통 사용자 PC에 DB 평균 3-4시간의 간격으로 다운되는데, 이 시간적인 간격도 현재에는 위험
요소가 될 수 있습니다.
② DB가 늘어난다는 것은 결국 보안 제품의 검사 엔진에 더 많은 비교 패턴이 증가한다는 것이고
이는 필연적으로 해당 보안 제품이 시스템의 퍼포먼스를 점점 더 많이 떨어뜨리게 되는 원인이
됩니다.
ⓒ 오래되어 위험요소가 사라진 DB 등의 삭제와 패턴화를 통한 DB 최적화로 인한 DB감소보다 점점
그 절대량을 늘려나가고 있는 악성코드의 증가폭이 더 크기 때문에 효율적이지 못하다고 합니다.
위와 같은 이유 때문에 근미래의 보안 제품들은 거의 다 클라우딩 시스템을 이용하거나 유사한 기술을
이용하여 구동되리라 예상되고 있습니다.
실제 안랩 제품 성능에 대해 편견이 있었던 것은 사실이나 외국 업체들에 비해 신기술의 도입에 너무
미지근하였던 것도 사실인데, 이러한 신기술 등을 빠르게 도입하여 변화를 주려는 모습을 보니 개인적
으로는 박수를 쳐주고 싶습니다.
이제 중요한 것은 이러한 신기술이 실제로 안랩의 사전방역 기능으로서 자리잡아 진단율이나 안정성에
크게 도움이 되느냐 일 것입니다. 특히 실제 사용하는 사용자들이 성능이 개선됨을 체감할 정도가 되어
야 성공한 것이라 볼 수 있을 듯 합니다.
앞으로의 V3 제품이 결과들이 기대가 됩니다.
- 이상입니다.
'▶ 보안 제품 리뷰 > :: ETC' 카테고리의 다른 글
| Nod32 2.7 네이버 오진 제외하기 (10) | 2009/06/05 |
|---|---|
| Eset Nod32의 제외 설정 문제 <재수정> - 네이버 오진 (12) | 2009/06/04 |
| 안랩의 클라우딩 백신 Ahnlab Smart Defense (beta) (10) | 2009/06/01 |
| DriveSentry 3.3 약식 리뷰 (7) | 2009/03/21 |
| Norman security sute ScreenShot (6) | 2009/01/27 |
| 행동기반 탐지방식 보안 제품 Pctools Threatfire 4.0 리뷰 (4) | 2008/11/15 |
트랙백 주소 :: http://arrestlove.tistory.com/trackback/150
-
Subject: [Cloud Computing] 클라우드 Anti-Virus 와 보안
Tracked from Virus Lab 2009/06/01 16:21 삭제오늘 안철수 연구소에서 클라우드 컴퓨팅 개념의 보안 제품을 출시하였습니다. [정보] http://viruslab.tistory.com/767 이와 관련하여 개인적으로 생각해 왔었던 몇 가지 정리를 해보았습니다. 생각나는대로 몇 가지 필요 충분 조건을 나열해 보겠지만..혹시 누락되거나 보충하고자 하는 부분이 있다면 서슴치 마시고 댓글 부탁합니다. - 온라인 상태 필수 기존 Anti-Virus 제품은 오프라인 상태일지라도 패턴을 수동으로 업데이트하거나..
-
Subject: AhnLab Smart Defense 베타 테스트
Tracked from 울지않는벌새 2009/06/01 16:39 삭제안철수연구소(AhnLab)에서 차세대 보안기술로 최근 주목을 받고 있는 클라우드 컴퓨팅(Cloud Computing)을 이용한 AhnLab Smart Defense Beta 버전 공개 테스트를 오늘부터 시작을 하였습니다. 출처 : 안철수연구소 개인적으로 국내 보안업체에서 이렇게나 빨리 신기술에 대해 대응하는 모습은 처음이며 V3 365 버전에서 추구하는 가벼움 그리고 현재 진행 중인 것으로 알고 있는 신종 악성코드에 대한 빠른 대응에 초점을 두는 것..
-
Subject: 안랩, 클라우드 기법을 사용하는 AhnLab Smart Defense 베타 테스트
Tracked from 쿨캣의 블로그 놀이 2009/06/01 17:35 삭제안철수연구소에서 클라우드 컴퓨터팅 개념의 새로운 제품을 발표했다. - 아마 주요 백신 업체 중 7번째 AhnLab Smart Defense(프로젝트명 MeD)는 현재 베타 테스트 중이다. (2009년 6월 1일 - 6월 30일) - AhnLab Smart Defense 베타 테스트 공지 http://kr.ahnlab.com/info/noticeView.ahn?num=50095995 - AhnLab Smart Defense 베타 테스트 http://k..
-
Subject: AhnLab Smart Defense 베타 테스트 진행
Tracked from ASEC Threat Research 2009/07/04 00:57 삭제안철수연구소에서 클라우드 컴퓨팅을 기반으로한 Cloud Anti-Virus 솔루션인 AhnLab Smart Defense 베타 를 오픈 하였다.현재 AhnLab Smart Defense는 베타 테스트가 진행 중에 있으며 아래 링크에서 베타 제품 및 서비스와 관련한사항들을 참고 할 수 있다AhnLab Smart Defense 베타 사이트크리에이티브 커먼즈 라이센스이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센...
-
Subject: 안철수연구소 보안 서비스 'ACCESS' 공개
Tracked from ASEC Threat Research 2009/07/13 21:09 삭제안철수연구소에서는 차세대 클라우드 보안 서비스인 ACCESS(AhnLab Cloud Computing E-Security Service)를 공개 했다.금일 오전 서울 프레스센터에서 발표한 차세대 클라우드 보안 서비스는 기존 ASEC의 악성코드 수집 및 분석 능력과 CERT의 위협 모니터링 및 인지 능력을 극대화 시켜 줄 수 있는 플랫폼이다.자세한 사항은 아래 안철수연구소 보도자료와 언론 기사를 참고 하기 바란다.클라우드 보안 서비스(ACCESS)...
댓글을 달아 주세요
짧은 시간에 자세히 살펴보셨군요.
역시 제품 리뷰의 노하우가 필요합니다.ㅠ.ㅠ^
사실 정작 할 일은 안하고 이걸 붙잡고 있었으니 큰일입니다. ^^;;
그나저나 토탈의 v3나 lite 제품군 aos에서 진단하는 일부 바이럿이나 베이글 진단명을 갖고 있는 것들은 ASD에서 진단을 못하네요. 특정 바이럿 종류는 진단하는 걸 봐서 샘플 문제일 것 같기도 하고요. 바이럿이 감염될 때 코드가 제대로 추가가 안되는 경우도 있는 것인지 ㅡ.ㅡ;;;
간단하지만 멋진 방법이네요.
클라우드가 구름을 말하는 건가? 왜 구름이지? 의구심이 들어 찾아보니 정말 구름이네요. 누가 처음 생각한 것인지 몰라도 작명센스가 멋지네요.
그런데 덩치 큰 파일을 분석한답시고 전송하는 그런 사태는 없겠죠? 여기저기서 쏴 버리면....
그러게 말입니다. 딱딱하기 쉬운 보안업체가 아니라 다른 부류에서 만들어서일까요? 이름을 잘 지은 듯 합니다.
클라우딩 시스템을 실용화해서 사용하는 건 맥아피와 에프시큐어 정도로 압니다. 몇몇 제품들도 있지만 아직 실험적이더군요. 개념은 간단한데 실제 저걸 구동시키려면 상당한 기술과 경험이 있어야할 것 같습니다.
클라우딩 방식을 사용하는 제품들은 ADS에서는 DNS라고 불리는 파일의 특정 정보만을 전송합니다. 그래서 네트워크 대역폭의 사용을 최소한으로 줄이는 것이지요.
최근 테스트 결과들을 보고 v3도 쓸만한 수준 까지는 올라왔구나 싶었는데, 이런 신기술 도입을 발 빠르게 하는 걸 보니 고무적이네요.
가정용 보다는 기업용에서의 중요성이 크긴 합니다만, 백신 자체의 성능 뿐 아니라 a/s도 무시 못 할 만큼, 성능과 a/s 둘 다 잡을 수 있는 국내 백신이 되기를 바랍니다.
저도 깜짝 놀랐네요.
완제품(실시간 감시, 수동검사, 검역소 등)과 유사하 형태로 내놓은 건 최근에 판다에서 내놓은 클라우드 안티바이러스 이후에 처음인 것 같습니다.
추가되는 기능에 따라 다르긴 합니다만 각 사용자마다 매우 다양한 시스템 환경을 갖고 있는 개인 사용자보다 특정 프로그램만을 주로 구동시키는 기업체가 상대하기가 더 쉬울 수도 있을 것 같습니다. 분석해야할 프로그램의 수가 그만큼 줄어드니까요. 그런 이유 때문인지 ASD와 유사한 맥아피의 아르테미스도 기업용부터 적용되었습니다. 기업용에만 적용되었을 당시에는 불만보다 칭찬이 많았는데 개인용 제품에 적용되면서 오진 문제가 상당히 많이 불거졌었죠.
요즘 보안 제품에 소홀했는데 재미있는게 나왔네요...
버그 발견 선수로 출격하려 했으나,,, 안랩 회원만 베타 테스트를 할 수 있나 봅니다..
그냥 구경만 해야겠습니다.
어쨌든 정식 출시되어야 냉정하게 평가할 수 있을 것 같습니다.^^
정식 출시되는 모습은 아르테미스와 유사할 것 같습니다. 벌새님의 포스팅을 보니 실제로 의심진단으로 악성코드를 진단하고 있더군요. 오진과 진단율 이 두마리 토끼를 어떻게 잡냐가 가장 관건이겠네요
오~이런것이 나왔군요..점점 발전하는 모습을 보여주고 있는것같습니다.약간은 맥아피사의 아르테미스 하고 조금은 비슷한 부분이 있는것 같습니다.
아르테미스랑 상당히 유사합니다만 최근에 나온 판다의 클라우드 백신과 더 가까워 보입니다. 아르테미스는 패커나 특정 코드가 존재하는 파일만 서버에 보내서 검사를 받지만 ADS는 대부분의 파일을 서버에 보내서 검사하는 것 같습니다.
그렇지만 현실적으로 모든 파일을 검사하는 것이 가능할지는 모르겠습니다. 아르테미스처럼 특정 조건이 되는 파일만 보내는 것일 지도 모르죠~