코모도의 클라우스 진단 시스템 정리

코모도의 안티 바이러스를 비롯한 다양한 보안 제품에 포함된 클라우드 진단 기능을 살펴보도록 하겠습니다.

▶ 관련글

- 코모도의 가상 환경 분석 서비스 - Comodo Instant Malware Analysis
- [포터블] Comodo Cleaning Essentials - 무설치 시스템 검사 도구

---

이전에 코모도의 가상 환경 분석 서비스인 CAMAS를 살펴봤습니다. 그런데 CAMAS는 웹 서비스로 제공되기도 하지만 코모도 인터넷 시큐리티 제품군의 Defense+기능에서 클라우드 방식으로 위험 프로세스를 판단하는데에도 사용되고 있습니다. 

흥미롭게도 코모도 인터넷 시큐리티 내에는 FLS라는 또 다른 클라우드 진단 기능이 존재하며, CCE(Comodo Instant Malware Analysis)에 잠시 추가 되었던 DACS라는 또 다른 클라우드 진단 기능이 있습니다. 클라우드 진단 관련 기능만 3 가지로 종류가 상당히 많은데, 한 번 정리해 보도록 하겠습니다.

1. FLS - 시그니처 클라우드 진단

FLS는 'File Look-Up Server'의 약자입니다. FLS는 전형적인 클라우드 진단 기능으로 시그니처를 이용한 진단 기능입니다. 

FLS는 코모도 안티 바이러스와 COMODO Cloud Scanner 제품에 추가되어 있습니다. 안티 바이러스 제품의 경우 실시간 감시에서는 사용을 못하고 수동 검사에만 적용됩니다.

FLS에 의한 진단에 특별한 진단명을 주어진 것 같지는 않습니다. 아래는 동일한 파일을 휴리스틱 진단을 비활성화한 상태에서 클라우드 진단으로 진단한 내역(위)과 휴리스틱 진단으로 진단된 내역(아래)을 보여주고 있습니다. 뒤에 숫자로 구별을 해야할 듯 한데, 정확한 것은 아닙니다. (아래 샘플 바이러스 토탈 결과)

참고로 로컬 진단이 클라우드 진단보다 진단 우선 순위가 높습니다.

FLS에 대한 코모도의 포럼에는 재밌는 내용이 있는데, FVS라는 웹 분석 서비스가 FLS에 이미 포함되어 있다고 합니다. (포럼 링크)  FVS는 무엇인지 다음 챕터에서 알아보도록 하겠습니다.

2. FVS - 파일 분석 서비스

FVS는 'File Verdict Service'의 약자로 직역하면 파일 평가 서비스라고 할 수 있습니다. CAMAS와 마찬가지로 웹사이트에서 서비스되는 웹 서비스 형태로 바이러스 토탈과 유사하게 파일을 업로드하여 악성코드 여부를 판정받는 서비스입니다. FVS는 주로 'Valkyrie'라는 이름으로 불리고 있습니다.

▶ FVS 웹페이지 : http://valkyrie.comodo.com

발키리 서비스는 Static Detecion(정적 진단), Dynamic Dection(동적 진단) 등 두 가지 진단 항목으로 구성되어 있습니다. 

일반적으로 안티 바이러스에서 정적 진단은 AV 엔진을 통한 일반적인 시그니처 진단을 의미합니다. 그러나 발키리에서의 정적 진단은 15가지의 서로 다른 코드 분석 알고리즘을 통한 진단을 의미합니다.

또한 동적 진단은 HIPS나 Behavioral Blocker등의 행동 기반 진단 기능의 진단을 의미하지만 발키리에서의 동적 진단은 코모도의 안티 바이러스 진단과 CAMAS의 분석 내역을 통한 진단을 의미합니다.

실제 발키리에 악성코드를 업로드해서 살펴보도록 하겠습니다.

먼저 위 링크에 접속하면 발키리 서비스의 웹페이지 화면을 볼 수 있습니다.

CAMAS와 달리 20MB 업로드 용량 제한이 있습니다. 파일을 업로드하면 비교적 빨리 분석이 됩니다.

먼저 정적 진단을 살펴보면 아래와 같습니다. 15개의 분석 알고리즘에서 진단한 내역과 그것을 바탕으로한 파일 평가가 하단 부분에 존재합니다.

AI_Detector는 겨우 2개에서 악성코드 판정을 내렸지만 하단부의 파일 종합 평가에서는 98%의 확률로 악성코드라 명하고 있습니다. 즉, 악성코드 여부를 판단하려면 진단한 AI들의 수는 중요하지 않으며, 하단부의 종합 평가를 봐야합니다.


동적 진단은 아래와 같습니다. 안티 바이러스의 진단 내역과 CAMAS의 분석 내역이 나타납니다.

그런데 사실 위 샘플은 악성코드는 아닙니다. 모 유명 프로그램의 키젠을 구해다가 실험한 것인데, 키젠이긴하나 특정한 악성 행위가 없는 정상 파일(굳이 분류하자면 Not a virus류)로 판정받은 파일입니다. 키젠이기에 진단한 것일수도 있지만 제가 보기에는 정적 진단에서의 진단은 결국 오진이라고 봐야할 듯 합니다. 

하지만 발키리의 위험도 평가는 생각보다 뛰어납니다. 제가 굳이 저런 샘플들을 구해다가 실험해본 것은 FVS의 진단이 100 완벽한 것이 아님을 강조한 것입니다. 발키리와 CAMAS 등 알고리즘을 통한 자동 분석은 실제 분석가가 세밀하게 분석한 것에 비해서 여전히 한계를 갖습니다.

참고로 안티 바이러스에서 클라우드 진단을 사용하게되면 미분석된 파일을 전송하는 설정이 존재하는데 아마 FVS 시스템을 통해 검사하기 위한 것이 아닌가 합니다.

최근 들어서 고급 분석(Advanced Heuristic) 항목이 추가되었는데, 이상하게 제 시스템에서는 항상 작업 과부하로 인해 정상 작동을 하지 않고 있습니다.

3. CAMAS - 가상 환경 분석 서비스

CAMAS에 대한 내용은 이미 다루었으므로 관련글의 링크를 참고 바랍니다. 여기서는 코모도 인터넷 시큐리티 제품군에 포함된 것만 다루어보겠습니다.

코모도의 인터넷 시큐리티 제품, 정확하게는  HIPS기능인 'Defense+'에 CAMAS가 포함되어 있습니다.

CAMAS를 통한 진단은 파일을 실행할 때 나타납니다. 아래는 실행시 나타나는 진단창입니다.

위 그림에서 빨간 박스 부분의 링크를 클릭하면 CAMAS의 분석 페이지로 접속 됩니다. (위 샘플 링크)
CAMAS에서 소개한 링크와는 조금 다른데, 관련 보안 제품들을 위한 전용 분석 결과 보고 페이지라 생각하시면 됩니다. (※ 참고 : CIMA로 시작할 때는 SHA1값, CAMAS에는 SHA256값을 고유 주소로 갖습니다.)

아래는 CAMAS를 통한 진단 내역입니다.

 

4. DACS - 진단 내역 공유 시스템

DACS(Distributed and Collaborative Scanning)는 코모도에서 야심차게(?) 발표한 클라우드 기반 진단 시스템입니다. DACS의 개념은 이렇습니다.

DACS를 갖춘 사용자 시스템에 의심되는 객체를 전송하여 각자의 시스템에 설치된 서로 다른 안티 바이러스의 진단 내역을 공유하는 시스템

쉽게 말해서 서로 다른 백신이 설치된 사용자들의 시스템을 클라우드 시스템으로 묶어 바이러스 토탈과 같은 역활을 하도록 하겠다는 의미입니다.

DACS는 앞선 글에서 설명한 CCE 베타 버전에 포함되어 있었는데, 어찌된 영문인지 정식 버전 즈음에서는 빠져버려습니다.

개인적으로 DACS를 사용해보지 못했기 때문에 어떤 방식으로 사용되는지는 모릅니다. 코모도의 포럼이나 블로그 등의 내용도 개념에 대한 설명 뿐 실제로 동작하는 부분에 대해서는 정보가 많이 부족합니다. 포럼의 글을 참고하면 플러그인 방식으로 동작하며 수동 스캔을 통한 진단 내역이 공유된다고 합니다.

DACS에 대한 내용은 바제2 카페의 '우울이'님의 글로 처음 알았는데 이 글을 참고 바랍니다.

▶ Comodo DACS (Distributed and Collaborative Scanning) 에 대한 이야기!

개인적으로 '사용자에게 실제 진단 팝업창을 띄우는 것처럼 전송된 파일을 안티 바이러스에서 실제로 진단하게 되는 것인지?', 또 일반 사용자들의 샘플 공유가 적법한지와 함께 DACS가 합법적인 것을 강조 하고 있는데 '라이센스 체결없이 타사의 진단 내역을 이용하는 것이 합법적인 것인지?' 등이 궁금합니다.

타사 입장에서는 얄미운 것이지만 개념 자체는 신선한 것 같습니다.


원래 DACS도 CCE가 코모도의 안티 바이러스 제품군에 추가될 때 함께 추가될 예정인 것으로 알고 있는데 앞으로 어떤 식으로 서비스가 될지 살펴봐야 겠습니다.

---

코모도의 보안 제품에서 사용되는 클라우드 진단 기능을 살펴봤습니다.

성능 여부 떠나서 사용자로 하여금 다양한 서비스를 무료로 사용할 수 있도록 여건을 마련해준다는 점과, 이를 보안 제품에 추가하여 올인원 형태의 서비스를 제공하려 한다는 점은 코모도만의 매력이 아닌가 싶습니다. 앞으로 얼마나 다양하고 발전된 모습을 보여줄 지 기대가 되는 업체입니다.



- 이상입니다.