안랩의 클라우딩 백신 Ahnlab Smart Defense (beta)

▶ 관련글

- McAfee의 Artemis 리뷰

국내 굴지의 보안 업체인 안철수 연구소에서 현재 국내외 보안업체에서 최신 기술로서 각광받고 있는
기술인 클라우딩 시스템을 이용한 보안 제품을 내놓았습니다. 

현재 베타 버전을 제공 중이며 Ahnlab Smart Defense(이하 ASD)라는 명칭이 부여되었습니다.

다운로드 링크 : http://kr.ahnlab.com/info/event/2009/sdefenseBeta/index.jsp
세부 정보(White Paper) : http://kr.ahnlab.com/info/event/2009/sdefenseBeta/AhnLabSmartDefense_WhitePaper_V1.0.pdf

1. 소개

이번에 전격적으로 발표된 ASD는 안랩이 최초로 내놓은 제품은 아닙니다. 이미 맥아피의 아르테미스나
에프시큐어의 딥가드 기능처럼 비롯하여 많은 보안 업체들의 제품들이  클라우딩 시스템을 이용하고
있습니다. 비록 최초는 아니지만 아직 이를 적용하여 실제 서비스를 제공하는 업체는 손으로 꼽을 정도
적습니다. 
(클라우딩 시스템과 이를 이용한 보안 제품의 구동 방식은 위 관련글과 세부정보 링크를 참고하여 주시기 바랍니다.)


현재 ASD는 베타로 적용되고 있으며 실제 제품군에 추가될 예정 등은 공개되지 않았습니다. 공개 베타
테스트를 진행함으로써 개인 사용자들의 다양한 시스템내에서의 버그 및 오진 사례 등의 정보를 통해
더 안정화를 시킬 예정으로 보입니다.

1. UI 및 기능 소개

현재 ASD는 설치형 제품이 아니라 포터블 방식으로 구동되며 일부 파일을 윈도우 및 프로그램 폴더에
저장하며 임시 폴더를 이용하여 구동 파일을 저장 후 구동되고 있습니다.


위의 다운로드 링크에서 ASD.exe파일을 다운받아 실행시키면 아래와 같은 메인화면이 나옵니다.
(현재 베타버전이기에 베타 버전 사용에 대한 약관에 동의하면 ASD를 다운받아 사용할 수 있습니다.)

메인화면에서 알 수 있는 기능은 3가지입니다.

파일 실시간 감시/루트킷 진단/수동 검사 등 3가지 기능이 구현되어 있으며 추가적으로 자기 보호 기능
및 검역소 등의 기능이 포함되어 있습니다.

2. 진단되는 객체는?

현재 개인적으로 확인해본 결과 맥아피의 아르테미스와는 다르게 V3 제품군에서 진단되는 악성코드들
이 진단되고 있습니다. 그러나 단순히 DB가 동일한 것이 아니라 아르테미스 기능처럼 제품 자체적인
DB외에도 안랩 서버에 위치하고 있는 아직 사용자에게 추가되지 않은 DB와 여러 위험 요소 패턴에
대한 것을 참고하여 휴리스틱(의심 진단)을 하는 것으로 예상됩니다.

3. 환경 설정

환경 설정은 위와 같이 간단합니다. 눈에 띄는 건 진단시 민감도의 강도 설정을 할 수 있다는 것입니다.
압축 파일 검사는 ASD에서는 제공하지 않습니다.

검역소입니다.  복원 기능은 진단된 경로에 일괄적으로 복원 시킵니다. 이부분은 다소 아쉽습니다.

4. 실시간 검사

일반적인 보안 제품의 실시간 감시와 마찬가지로 파일의 생성/이동/수정/접근 등 모든 경우에 진단이 이
루어집니다. 이부분은 저의 예상과는 달라서 상당히 놀랐습니다. 바제2에 올라온 정보로는 v3 제품군의
보조적인 기능으로서(기능상) 사용되는 것으로 표현되고 있었는데 ASD에서 거의 완벽한 실시간 감시
기능을 보여주는 것은 의외였습니다.

                                                                치료 전

                                                               치료 후

치료 후에 실시간 진단칭아 그대로 남는 데 따로 로그기록을 볼 수 있도록 항목을 하나 만들고 진단창은
바로 비활성화되는 것이 좋아보입니다.

실시간 감시에서 파일을 체크할 때 아래와 같은 아주 작은 문제가 있는 것 같습니다.

위의 파일들은 하나를 제외하곤 모두 진단되는 객체들입니다. 그러나 악성코드가 저장된 폴더에 접근할 때 실시간 감시에서 위와 같이 소수의 파일만 읽어드려 진단하는 것을 확인하였습니다. 물론 최초 폴더
진입 시에 진단되지 않은 객체들도 마우스 클릭 등의 접근 시도가 일어날 때 진단이 이루어 집니다.

생각하기에 따라서는 버그가 아니라 시스템 퍼포먼스 감소를 줄이기 위해 v3에서 사용하는 파일 검사
방법이 아닐까도 싶습니다. 예상해 봅니다.

또 한가지를 언급하자면, v3에서 진단하는 대부분의 악성코드를 진단하지만 바이럿 등의 일부 감염형
특정 변종 또는 바이러스에 감염된 2차 파일의 경우 진단하지 못하는 것을 발견하였습니다. 이는 수동
검사에서도 마찬가지인데 클라우딩 시스템의 특성으로 검사하려는 파일의 특정 부분만을 서버에 보내
검사하는 방식이기 때문에 진단이 회피되는 것은 아닌가 예상해봅니다. 물론, 제가 사용한 일부 바이럿
샘플들이 ASD의 진단 요소가 아닐 수도 있습니다.

5. 수동 검사

개인적으로 ASD에서 진단되는 객체를 찾지 못해서 실시간 감시에 대한 부분은 어떻게 동작하는지를
알아볼 수 없었습니다만, 예상하기로는 역시 아르테미스와 유사하게 작동하리라 보여집니다. 파일의
생성시(다운로드/압축 해제 시)에만 진단하리라 생각됩니다.

수동 검사는 아래와 같이 이루어집니다. 정밀 검사를 이용하도록 하겠습니다.

아래는 검사 화면입니다.

치료하기 버튼을 클릭하면 모두 삭제가 되며 삭제된 파일은 검역소에 저장이 됩니다.

6. 총 평

국내 굴지의 보안 업체임에도 불구하고 국내 유저들 사이에서 끊임없이 진단율을 비롯한 신기술의 도입
여부로 인해 혹평을 받아왔던 v3가 전세계적으로도 사용하는 보안 업체가 손으로 꼽을 만큼 이제 겨우
도입 초기인 클라우딩 시스템을 도입하였다는 것은 상당히 고무적인 일이라 생각됩니다.

아쉽게도 저의 개인적인 시스템에서는 ASD의 클라우딩으로 인해 진단되는 휴리스틱 진단(의심진단)
결과는 찾지를 못하였으나 단순히 DB 업데이트 등의 단축효과가 아닌 휴리스틱 진단 기법의 하나로
구동되는 제품이라 하는 만큼 앞으로 이 기능으로 인해 진단되는 결과값들이 궁금해지기 시작합니다.


다만, 개인적으로 실시간 감시나 수동 검사시에 구동되는 프로세스나 드라이버 모듈을 살펴본 결과
타사의 제품과 충돌 문제가 나타나지는 않을까 우려가 됩니다. 물론, ASD가 아르테미스와 유사하게
실제 제품에 포함될 부가적인 기능이기에 지금의 모습과 실제 구현의 모습과는 차이가 있겠습니다만
ASD가 구동될때에는 프로세스는 ASD.EXE 하나 뿐입니다만 ahawkent.sys나 ahnrghnt.sys, tffregnt.sys
등의 드라이버 모듈이 구동됩니다. 

지식이 짧아서 깊은 지식을 말하기는 어렵습니다만 ASD는 커널 모드에서 구동되지 않을까 예상해봅니
다. 예상이 맞다면 가급적 타사의 제품과는 같이 사용하지 말고 일단 테스트용으로만 사용하는 것이 좋
을 듯 싶습니다.


참고로 사용자의 네트워크 대역폭을 갉아 먹는 클라우딩 시스템에 보안 업체들이 관심을 갖게되는 이유
에 대해 보안 업체들이 언급하는 것은 아래와 같습니다..

① 현재 악성코드의 유포의 절대수는 보안 업체가 이를 수집하여 DB화하고 사용자에게 배포하는 현재
    시스템으로는 감당하기 어려울 정도로 늘어난 상태입니다.

② 시그니처 휴리스틱 및 행동 기반 휴리스틱 등의 대체 기법이 있으나 완벽하지는 않다.

③ 분석 시스템의 최적화와 자동화로 악성코드 수집과 분석에 있어 상당한 진전이 있다고 해도 이를 사
    용자에게 배포하는 데에 문제가 발생합니다.

    ⓐ 보통 사용자 PC에 DB 평균 3-4시간의 간격으로 다운되는데, 이 시간적인 간격도 현재에는 위험
        요소가 될 수 있습니다. 
    ② DB가 늘어난다는 것은 결국 보안 제품의 검사 엔진에 더 많은 비교 패턴이 증가한다는 것이고
        이는 필연적으로 해당 보안 제품이 시스템의 퍼포먼스를 점점 더 많이 떨어뜨리게 되는 원인이
        됩니다.
    ⓒ 오래되어 위험요소가 사라진 DB 등의 삭제와 패턴화를 통한 DB 최적화로 인한 DB감소보다 점점
        그 절대량을 늘려나가고 있는 악성코드의 증가폭이 더 크기 때문에 효율적이지 못하다고 합니다.
 

위와 같은 이유 때문에 근미래의 보안 제품들은 거의 다 클라우딩 시스템을 이용하거나 유사한 기술을
이용하여 구동되리라 예상되고 있습니다.


실제 안랩 제품 성능에 대해 편견이 있었던 것은 사실이나 외국 업체들에 비해 신기술의 도입에 너무
미지근하였던 것도 사실인데, 이러한 신기술 등을 빠르게 도입하여 변화를 주려는 모습을 보니 개인적
으로는 박수를 쳐주고 싶습니다.

이제 중요한 것은 이러한 신기술이 실제로 안랩의 사전방역 기능으로서 자리잡아 진단율이나 안정성에
크게 도움이 되느냐 일 것입니다. 특히 실제 사용하는 사용자들이 성능이 개선됨을 체감할 정도가 되어
야 성공한 것이라 볼 수 있을 듯 합니다.


앞으로의 V3 제품이 결과들이 기대가 됩니다.


- 이상입니다.