▶ 보안 제품 리뷰/:: Kaspersky

Kaspersky Internet Security 2012 리뷰 (2) - 클라우드 진단 (KSN)

물여우 2011. 10. 23. 08:30
반응형
카스퍼스키의 클라우드 진단(KSN)에 대해서 살펴봅니다.




3. KSN - Kaspersky Security Network

카스퍼스키의 악성코드 진단 기능을 살펴보기 전에, 2011에서 시작되어 2012에서 핵심적인 기능의 하나로 자리잡은 클라우드 진단 항목을 먼저 살펴보겠습니다.

카스퍼스키의 클라우드 진단 기능은 'Kaspersky Security Network'이라 불립니다. 기본적인 구성은 국내외 제품들이 추가하고 있는 클라우드 진단과 거의 동일합니다. 의심 파일에 대한 전송 기능을 포함하여 시스템의 감염 정보 및 파일 정보 및 사용자 처리 정보 등을 카스퍼스키의 중앙 서버에 보내고, 여기서 분석된 정보는 다시 개인 PC로 피드백되는 구조입니다. 또한 KSN은 시그니처 진단에만 머물지 않고 조금 더 나가서 의심되는 웹사이트 Url과 행동 기반 진단 기능(Application Control)의 제품 분석 및 계층화 작업을 위한 정보를 제공합니다.

평판 기능을 보면 시만텍과 비슷하지만, 의심 파일 전송을 볼 때에는 국내 보안 제품인 안랩(ASD)과 비슷합니다.

정리하면 기존 기능을 보완하는 역할을 통해 하루에도 무수히 많이 유포되는 악성코드에 대한 빠른 대응을 위한 핵심 기능이 바로 KSN입니다.

- KSN과 연계되는 기능들

· 파일 감시와 수동 검사의 시그니처 진단
· 우클릭 쉘메뉴의 평판 검사
· 웹 감시의 위험 사이트 진단
· 어플리케이션 컨트롤의 어플리케이션 평판 및 계층 구분 정보


아래 그림은 상단의 'Cloud protection' 버튼을 클릭했을 때 나타나는 KSN 접속 상태 및 클라우드 DB 정보입니다. 좌측 노란색 박스 부분이 'connected' 된 것은 현재 클라우드 서버에 접속되어 있다는 의미입니다. 현재(2011.10.09) 기준으로 약 4억개의 샘플이 수집되었으며, 그 중 위험 샘플로 분류된 것은 4천만개 정도 되고 있습니다. 완전히 악성코드로 분류된 것은 아직 8백만개가 되지 못한 상태입니다.



실제로 KSN이 진단에 어떤 식으로 연계되었는지를 살펴보겠습니다. 먼저 파일 감시의 시그니처 진단 부분입니다.

좌측 : 일반 DB 진단 - 우측 : KSN 진단


좌측은 일반 DB를 통한 진단으로 진단명이 제공되며, 정식 진단에 따른 치료 또는 삭제와 접근 차단 항목을 제시하여 사용자 처리를 요구합니다. 그러나 KSN을 통한 진단은 정식 진단이되 처리 절차상 일종의 의심 진단으로 여겨져 검역소 저장 및 진단 무시 항목이 나타나는 것을 알 수 있습니다.

수동 검사를 통해서 이러한 KSN 진단을 살펴보면 'UDS:DangerousObject.Multi.Generic' 등의 진단명이 쓰입니다.

아래는 웹 안티 바이러스의 진단 항목입니다. 진단 항목은 악성코드를 진단한 것이 아니라 위험 사이트(여기서는 피싱 종류)를 진단 URL 접속을 차단한 화면입니다. 
(※ 클라우드 진단을 통한 사이트 차단을 제가 찾지 못해서 구글을 통해 사진 한장을 빌려왔습니다.)

좌측 : 일반 DB를 통한 접속 차단 - 우측 : KSN DB를 통한 접속 차단


다음은 마우스 우클릭 쉘메뉴(Context menu)의 평판 검사(check reputation in KSN)을 통해 특정 파일의 위험도를 검사하는 기능입니다.

평판 검사

이는 평판만 검사하는 것으로 악성코드를 진단 처리하는 기능은 아닙니다. 평판 검사는 크게 3가지 결과를 보여줍니다. '디지털 인증, KSN 인증, 사용자 평판(좋음)'이 그것인데 아래와 같습니다.

              디지털 인증을 통한 정상 파일                            KSN의 분석에 따른 정상 파일


          사용자 평판에 따른 파일 정보                                   KSN 분석에 따른 악성코드

마지막은 어플리케이션 컨트롤 부분의 KSN을 통한 사용자 정보를 보여주는 항목입니다.


여기서는 단순히 사용자 통계 정보만을 보여주지만, 실제로는 어플리케이션의 위험도 정보와 이를 통한 계층 구분을 위한 정보가 KSN에서 제공됩니다. 물론 로컬에 일반 DB가 따로 저장되어 있습니다. KSN의 정보는 로컬에 없는 어플리케이션의 정보와 대처 규칙이 피드백되는 것입니다.



간단하게 카스퍼스키의 클라우드 진단에 대해서 살펴봤습니다. 클라우드가 대세인 현 시점에서 아주 훌륭한 형태를 이루고 있는 클라우드 진단 시스템이라고 평가하고 싶습니다. 

전반적으로 만족스럽지만 아쉬운 점이 있다면, 첫 번째로 KSN을 통한 악성코드 진단 부분에서 웹 안티 바이러스는 동작하지 않는다는 점입니다. 구현이 어려운 것은 아닐 터인데 파일 감시와 달리 시그니처 진단 부분에서는 동작하지 않습니다. 피싱 사이트같은 악성 사이트 진단에만 클라우드 진단이 쓰이고 있습니다. 예상컨데 웹 감시 기능의 특성상 딜레이 현상이 있기 때문에 이를 줄이기 위해 KSN 분석을 빼버린 것이 아닌가 싶습니다. 

그리고 클라우드 진단 특성상 실행 파일(exe)나 라이브러리 파일(dll)만 진단이 가능한 점도 아쉬운 부분입니다. 취약점 코드가 담긴 플래쉬 파일(swf)이나 루트킷 기능을 비롯한 다양한 역활을 하는 드라이버 파일(sys)들은 진단할 수가 없습니다.

또한 평판 검사와 악성코드 검사가 분리되어 있는 점도 아쉽습니다. 언젠가는 통합되겠습니다만, 현재는 악성코드 검사와 평판 검사를 두 번 실행해야하는 다소 불편한 형태입니다.

개인적으로 궁금한 것은 파일 전송 부분인데, 약관상으로는 분명 파일 전송이 명시되어 있습니다. 하지만 v3 lite처럼 전송 동의창 등이 뜨는 것이 아니라서 확인이 어렵습니다. 아마 KSN 사용을 체크했을 때 파일 전송 부분도 허락되는 것이기 때문에 굳이 확인창이 안 뜨는 것이라 생각되긴 합니다만, 개인적으로 어떤 파일이 언제 전송되는지 등의 정보는 제공되어야 하지 않나 생각합니다.

 

- 이상입니다. 

 

 

반응형