▶ 보안 제품 리뷰/:: Symantec

Norton 360 5.0 리뷰 (10) - 인사이트(Insight)

물여우 2011. 4. 2. 11:45
반응형
노턴 360의 인사이트 기능을 살펴봅니다.




8. 인사이트(Insight)

노턴의 인사이트 기능은 진단율 상승 및 위험도 판단(평판), 퍼포먼스 개선, 시스템 관리 등을 책임지고 기능들의 총칭입니다. 서로 다른 역할을 하는 기능에 동일한 이름을 주었다는 것은 그만큼 시만텍에서 많이 신경을 쓰고 있다는 반증이라고 봅니다.

인사이트는 '파일 인사이트', '다운로드 인사이트', '노턴 인사이트', '시스템 인사이트' 등 4개의 기능이 존재합니다. 인사이트 기능은 기본적으로 클라우드 기술을 이용한 평판(Reputaion) 기능을 이용합니다. 이를 통한 악성코드 진단, 파일 정보 보기, 검사 최적화 하기 등이 동작하게 됩니다.

 이번 글에서는 이전 글에서 간헐적으로 언급되었던 인사이트를 역할 별로 각각 살펴보도록 하겠습니다.



8-1. 파일 인사이트(File Insight)

파일 인사이트는 다운로드 인사이트와 노턴 인사이트, 시스템 인사이트 등 모든 인사이트 기능과 연관되어 있습니다. 기본적인 역할은 클라우드 기술을 이용하여 시만텍 서버에서 정상 파일(화이트 리스트)와 악성 코드(블랙 리스트) 정보와 평판 정보 등을 받아와 각 파일의 위험도 정보를 보여주는 것입니다.

쉽게 말해 진단된 특정 파일에 대한 정보를 보여주는 기능이라고 보시면 됩니다.

파일 인사이트는 아래의 파일 포맷(확장자)의 세부 정보를 보여줍니다.

▶ exe, msi, dll, sys, drv, ocx, loc


먼저 파일 인사이트는 로그 기록 보기 및 검역소의 역할을 하는 '보안 기록'과 '평판 검사'의 검사 결과에서 보여주는 세부 정보를 담당하고 있습니다.


             보안 기록에서의 파일 인사이트                          평판 검사에서의 파일 인사이트

기본적으로 파일 인사이트에서 보여주는 정보는 3가지로 나뉩니다.

▶ 작업 : 파일, 레지스트리 작업 두 가지 항목이 존재하며, 진단 객체의 제거 등의 정보를 표시
▶ 출처 : 진단된 객체 또는 평가된 객체의 경로를 표시, 다운로드시 다운로드 서버 경로 표시
▶ 상세 내역 : 파일 세부 정보와 함께 평판 정보 표시와 사용자 신뢰 등의 작업


위 포맷의 파일 중 악성코드 또는 의심 파일이 진단된 경우 아래와 같은 파일 인사이트창이 나타납니다.


                                                               작업 항목

 

       출처 항목 : 로컬과 다운로드 경로 표시                                     상세 내역 항목

 

                                                 

평판 검사 등에서 정상 파일이나 사용자가 적어  평판 정보가 부족한 경우 '상세 내역' 항목에서 사용자가 신뢰도를 결정할 수 있습니다.


- 지금 신뢰 확인 : 현재 평판 정보를 불러옵니다. 파일 자체를 제출하여 다시 분석하는 것이 아니라
                           서버에 있는 현재 정보만을 불러옵니다.
- 지금 신뢰 : 해당 파일을 '사용자 신뢰'로 신뢰도를 바꿉니다. 시만텍 서버의 평판 정보와는 별도로
                   동작합니다.



이 외에 '옵션' 에서 '복원' , '복원과 제외', '기록에서 제거', '시만텍에 제출' 등의 작업을 할 수 있습니다.

 


- 이 파일 복원 및 제외 : 제외 항목은 의심 진단(시그니처 또는 SONAR)에서만 사용이 가능합니다.
                                   검역소에서 원래 경로로만 복구되며, 앞선 글에서 언급한 것처럼 버그 존재
- 기록에서 제거 : 보안 기록에서 해당 파일에 대한 작업 내용을 삭제, 검역소의 경우 완전 삭제 의미
- 시만텍에 제출 : 해당 파일을 시만텍에 보내어 분석 또는 재분석을 요구
                          오진 신고도 겸하고 있습니다만, 답장이 따로 오지 않기 때문에 웹상에서 신고하
                          는 것이 좋습니다.


마지막으로 시스템 인사이트(성능 모니터링)이 실행되고 있을 때, 현재 실행되고 있는 프로세스 또는 파일들의 시스템 리소스 사용율 등을 보여줍니다.





8-2. 다운로드 인사이트

다운로드 인사이트는 클라우드 진단 기능의 하나로 평판 DB를 이용하여 시스템 내외의 악성코드를 진단하는 기능입니다. 진단과 관련된 정보는  '악성코드 진단' 글을 참고 바랍니다.

다운로드 인사이트는 앞선 글에서 언급한 것처럼 네트워크 보안 기능에 포함된 기능이며, 네트워크를 통해 다운받는 파일들의 위험성을 클라우드 기술을 이용한 평판 DB를 이용하여 판단하는 기능입니다.

환경 설정은 '설정'->'방화벽'->'침입 차단 및 브라우저 보호' 항목에서 '다운로드 인텔리전스'라는 항목입니다.


다운로드 인사이트가 모든 프로그램에서 적용되는 것은 아닙니다. 제가 주력으로 사용하는 웹마 같은 IE 기반 브라우저에서는 사용할 수 없습니다. 또한 어플리케이션에 따라 다운로드 인사이트가 적용되는 방식에는 두 가지 방식이 존재합니다. 

진단 방식의 첫 번째는 다운로드시 바로 진단되는 경우, 두 번째는 다운로드 후 실행(두번 클릭)했을 때 진단되는 경우입니다. 다운로드 인사이트가 적용되는 어플리케이션과 진단 방식의 분류는 아래와 같습니다.

다운로드 시 바로 진단

다운로드 후 실행 시 진단

Internet Explorer, Firefox, MSN Messenger

Chrome, Windows Mail, Safari,

MSN Explorer, AOL

QQ, ICQ, Skype, Limewire
Opera(
브라우저)

Outlook, Thunderbird,Outlook Express

Yahoo(브라우저, 메신저), BitTorrent

Thunder, AzureUS, eMule, Bitcomet

uTorrent, FileZilla, UseNext, FDM










악성코드 진단 글에서의 아래 그림은 Utorrent에서 다운받을 파일을 실행했을 때 나타난 다운로드 인사이트 진단으로 두 번째 항목의 경우입니다.
 



8-3. 노턴 인사이트

노턴 인사이트는 신뢰할 수 있는 파일들을 검사에서 제외하여, 빠른 검사 등의 검사 시간을 감소시키는 기능입니다.

노턴 인사이트는 '작업'->'Norton Insight 실행'을 클릭하여 실행합니다.


노턴 인사이트는 실행시마다 신뢰/비신뢰 정보를 분석합니다.


기본적으로 '실행 중인 모든 프로세스'항목을 검사하지만 사용자가 '모든 파일'을 비롯해서 다양한 항목을선택할 수 있습니다. '모든 파일'을 선택하여 검사하면 시스템에 따라 시간이 다소 오래걸릴 수도 있습니다.

그리고 평판 정보가 없거나, 의심 파일로 기록된 경우 위 그림처럼 검역소로 이동시킬 수 있습니다.

마지막으로 노턴 인사이트 기능의 핵심 기능으로 악성코드 진단 환경 설정의 '검사 프로필'에 따라 검사에서 제외되는 파일들의 비율도 확인할 수 있습니다. 저의 시스템은 빠른 검사에서 66%의 파일을 제외하고 검사를 진행합니다.


다만, 실시간 감시를 비롯한 수동 검사 등 모든 검사 기능 중 어떤 기능들이 노턴 인사이트의 신뢰 평가에 영향을 받는 지는 정보가 없습니다. 제가 보기에는 모든 검사 기능에 적용되는 것 같지만, 정확한 정보는 구하지 못하였습니다.


8-4. 시스템 인사이트


시스템 인사이트는 사용자 시스템에서 발생하는 이벤트들을 감시하면서, 시스템 퍼포먼스 관리에 도움을 주는 기능입니다.

감시하는 이벤트는 '프로그램 설치', '다운로드', '디스크 최적화', '위협 요소 탐지', '성능 알림', '빠른 검사' 등이 있습니다. 

시스템 인사이트는 메인 화면의 '성능' 버튼을 클릭해서 실행합니다.



상단은 시스템 이벤트 정보를 하단 부분은 시간별 시스템 리소스(CPU, 메모리) 사용율 정보를 보여줍니다.

좌측의 메뉴 중 Norton Tasks를 클릭하면 3개월간 저장된 시스템 리소스 정보를 좀 더 큰 화면으로 볼 수 있고, 중요 작업들을 실행시킬 수 있습니다.

CPU 사용율 화면

메모리 사용율 화면



인사이트 보호 기능은 아래와 같이 단순히 현재 노턴 커뮤니티에 기록된 파일의 수를 보여주고 있습니다. 여기에서 말하는 노턴 커뮤니티는 사용자 평판 및 노턴의 분석 DB 등을 모두 포함하는 클라우드 서버의 정보입니다. 현재 2억개가 조금 안되는 파일을 분석한 것을 알 수 있습니다.

 

 



환경 설정의 '관리 설정'의 항목 중 '성능 모니터링' 항목이 시스템 인사이트와 연관된 설정입니다.


 

- 성능 알림 : 리소스 사용율이 높은 항목에 대한 표시 여부를 설정
                  실행(리소스 한계값을 넘는 객체 팝업으로 알림), 기록만(이벤트 항목에 기록)
- 알림을 위한 리소스 한계값 프로필 : 상중하 3단계로 구성, 부적인 한계값 정보는 없습니다.
- 프로그램 제외 항목 : 리소스 사용율이 높아도 성능 알림창을 띄우지 않는 프로그램들 관리


위 설정에 따라 시스템 인사이트는 기준값을 넘어서 리소스(CPU, 메모리, 디스크, 핸들)를 사용하는 프로그램은 아래와 같은 팝업창이 활성화됩니다. 상세 내역 및 설정을 클릭하면 파일 인사이트를 통해 세부 정보를 알 수 있습니다. 참고로 디스크는 I/O 입출력양(쓰기, 읽기)을 의미합니다.



 



노턴의 인사이트 기능을 살펴봤습니다. 최근들어 시만텍에서 차세대 기술로 내세운 것이 바로 평판, 클라우드 기술입니다. 인사이트 기능은 이러한 클라우드 기능을 담당하는, 그야말로 노턴의 핵심 기능이라고 할 수 있겠습니다.

지금이야 대부분의 제품들이 클라우드 기술을 도입하고 있지만, 규모있는 보안 업체 중에서는 시만텍이 가장 먼저 시작하였습니다. 현재에도 새로운 파일 및 파일 정보가 수집되고 있고, 이미 보유한 2억개에 가까운 파일 정보를 진단 및 퍼포먼스 개선에 이용하고 있다는 점에서 글로벌 기업의 위엄(?)을 엿볼 수 있는 것 같습니다.


- 이상입니다.

반응형
1 2 3 4 5 6 7 8 9 10 ··· 16