노턴 보안 제품의 SONAR, 자동 보호 탐지

Go down

노턴 보안 제품의 SONAR, 자동 보호 탐지 Empty 노턴 보안 제품의 SONAR, 자동 보호 탐지

올리기  Admin 2012-07-30, 11:58 am

노턴 보안 제품의 SONAR 및 자동 보호 탐지 대처 방법
노턴(Norton) 보안 제품의 경우 사용자를 번거롭게 하는 부분 중 하나가 바로 “SONAR” 보호이다. 알려지지 않은 위험 요소를 미리 탐지하여 위협 요
소에 대한 실시간 보호를 제공한다는 장점이 있으나, 정상적인 개체를 (잘 못) 처리하는 경우도 발생하기 때문이다. 이에 대한 대처 방법은 사실 매우
간단하지만 잘 모르는 분들을 위하여 최신 제품을 기준으로 예시해 보았다. 아래에서는 통합 보안 제품인 “노턴 360(Norton 360)” 버전 5.0 제품을
기준으로 하였다. 그러나 “노턴 안티바이러스” 제품이나 “노턴 인터넷 시큐티리” 제품도 유사하다. 즉 메인 인터페이스만 일부 차이가 있을 따름이다. 아래 그림은 “노턴 360” 버전 5.0 제품의 관련 설정이다. 그리고 SONAR 보호 외에 “자동 보호”와 관련하여서도 내용을 추가하였다. 이하 필자의 Windows 7 64비트 운영체제 환경에서 살펴보았다.
blog.naver.com/hahaj1/20123148402

▣ 노턴(Norton) 보안 제품의 SONAR 및 자동 보호 탐지 대처 방법
1. 들어가기에 앞서, 시만텍(Symantec)의 노턴(Norton) 제품의 “SONAR(소나) 보호”에 대한 정보를 살펴보면 다음과 같다.
※ SONAR 보호 (노턴 360 도움말에서 인용) :
SONAR(Symantec Online Network for Advanced Response)는 사용자 시스템에서 알려지지 않은 보안 위험 요소를 미리 탐지하여 위협 요소에 대한 실시간 보호를 제공합니다. SONAR는 응용 프로그램의 동작을 기반으로 새로운 위협 요소를 식별합니다. SONAR는 기존의 시그니처 기반 위협 요소 탐지 기술보다 위협 요소 식별 속도가 더 빠릅니다. SONAR는 LiveUpdate를 통해 바이러스 정의가 제공되기 전이라도 악성 코드를 탐지하여 사용자를 보호합니다. SONAR는 확신도가 높은 위협 요소를 자동으로 차단하고 제거합니다. Norton 360은 확신도가 높은 위협 요소가 탐지 및 제거될 때 사용자에게 이를 알립니다. SONAR는 확신도가 낮은 위협 요소가 탐지될 때 사용자에게 높은 수준의 제어 기능을 제공합니다. SONAR 보호 기능에는 다음 옵션이 포함됩니다.

A. SONAR 고급 모드 : SONAR는 지능형 기술을 사용하여 파일의 의심스러운 특징을 검사하고 해당 파일을 감염된 파일로 분류합니다. SONAR는 파일에서 발견된 의심스러운 특징의 정도를 기반으로 위협 요소를 확신도가 높은 위협 요소 또는 확신도가 낮은 위협 요소로 분류합니다. Norton 360은 확신도가 높은 위협 요소를 자동으로 제거합니다. Norton 360은 SONAR가 처음으로 탐지한 확신도가 낮은 위협 요소에 대해 사용자에게 통지합니다. 그러면 사용자가 이 의심스러운 활동을 허용하거나 차단할 수 있습니다. 이벤트를 허용하면 Norton 360은 고급 지능형 엔진이 위협 요소 탐지에 사용하는 승인된 이벤트 목록에 해당 이벤트 상세 내역을 추가합니다. Norton 360의 목록에 이벤트 상세 내역이 포함되면 고급 지능형 엔진은 이후 이 이벤트를 무시합니다. 다음부터는 SONAR가 해당 이벤트를 탐지해도 Norton 360은 이를 통지하지 않습니다. SONAR 고급 모드에는 다음 옵션이 포함됩니다.
⒜ 실행 중지 : 고급 모드를 실행 중지합니다. SONAR에서 확신도가 높은 위협 요소만 차단하고 제거합니다. 확신도가 낮은 위협 요소는 무시합니다.
⒝ 자동 : SONAR에서 확신도가 높은 위협 요소와 확신도가 낮은 위협 요소를 탐지합니다. 확신도가 낮은 위협 요소를 탐지할 때 Norton 360에서 이를 통지하도록 구성할 수 있습니다. 이는 권장 설정입니다.
⒞ 통합 : SONAR에서 확신도가 높은 위협 요소는 물론 의심스러운 특징이 거의 없는 확신도가 낮은 위협 요소도 탐지합니다. SONAR는 확신도가 높은 모든 위협 요소를 제거하고, 확신도가 낮은 모든 위협 요소에 대해 통지합니다. 이 설정은 매우 민감하며, 정상 파일이 위협 요소로 식별되는 경우가 발생할 수 있습니다. 고급 사용자만 사용할 것을 권장합니다.
B. 위험 요소 자동으로 제거 : 이 옵션은 SONAR 고급 모드가 실행된 경우 Norton 360에서 확신도가 낮은 위협 요소를 확신도가 높은 위협 요소로 취급하도록 합니다. 이 경우 Norton 360은 위협 요소를 자동으로 제거하고 사용자에게 통지합니다.
C. 유휴 상태일 때 위험 요소 제거 : 이 옵션은 SONAR 고급 모드가 실행된 상태에서 사용자의 응답이 없는 경우 Norton 360에서 확신도가 낮은 위협 요소를 자동으로 제거하도록 합니다.
D. SONAR 차단 통지 표시 : 이 옵션을 사용하여 SONAR 차단 통지를 실행하거나 실행 중지할 수 있습니다. Norton 360에서 SONAR 차단 통지를 표시하지 않을 수 있습니다. SONAR 차단 통지 표시에는 다음 옵션이 포함됩니다.
⒜ 모두 표시 : Norton 360은 SONAR에서 의심스러운 프로그램 작업을 차단할 때 이를 통지합니다.
⒝ 기록만 : Norton 360은 SONAR에서 의심스러운 프로그램 작업을 차단할 때 이를 통지하지 않습니다. Norton 360은 통지를 표시하지 않고 차단된 의심스러운 프로그램 작업에 대한 상세 내역을 보안 기록 창에 기록합니다. Norton 360 작업 창의 보안 기록 확인 옵션을 눌러 보안 기록 창에 액세스할 수 있습니다.

2. 노턴(Norton) 보안 제품의 “SONAR” 탐지 대처 방법
※ 주의사항 : 복원 및 제외 설정의 경우 상당한 주의가 필요할 수 있습니다. 절대로 악성 개체를 제외 설정에 추가하지 마시기 바랍니다.

2-1.유해 개체가 아닌, 정상 개체를 SONAR에서 탐지 후 제거한 경우에 대처 방법을 살펴보고자 한다. 이에 대해서는 다시 두 가지로 나눠 보았다. 첫 번 째의 사례는 SONAR 탐지에서 이를 확인 후 바로 복원 조치하는 방법이며, 두 번 째의 사례는 첫 번 째 사례처럼 바로 처리하지 못한 경우 검역소에서 확인 후 복원하는 방법이다.
2-2. SONAR 탐지시 바로 복원 조치하는 방법
⒜ SONAR 탐지 예제 즉 실시간으로 탐지시 바탕 화면 오른쪽 하단에 아래와 같은 창이 팝업된다. 여기서 “상세 내역 보기”를 하여 추가적으로 확인하는 것이 필요하다.
⒝ 위에서 “상세 내역 보기”를 선택한 경우, 파일 인사이트 창이 팝업되어 해당 개체의 이름과 경로, 상세 내역 등의 파악이 가능하다. 만약 이 상태에서 창을 닫게 되면 추가적으로 할 일은 없고, 노턴에서 자동으로 처리한 대로 따르게 될 것이다. 그렇지 않고 잘 못 탐지한 것으로 생각된다면 하단의 “옵션”을 클릭하도록 한다.
⒞ 위와 같은 창에서 “옵션”을 클릭한 경우, 발견된 보안 위험 요소 창이 팝업된다. 해당 창에서는 “복원” 또는 “기록에서 제거”가 가능하다. 잘 못 탐지한 경우에는 바로 “복원”을 선택하면 된다.
⒞-1. 복원 선택시, 이는 검역소에서 격리된 것을 바로 복원하게 된다. 잘 못 탐지한 것이 확실한 경우 “향후 검사에서 이 위험 요소를 제외합니다”를 선택하도록 하면되겠지만(기본적으로 선택되어 있음), 잘 모르거나 확신이 서지 않는 경우에는 이 선택을 해제하고 보안 업체에 문의할 필요가 있다(잘 못 처리시 심각한 문제가 발생할 수도 있음).
⒟ 위와 같이 처리하면, SONAR에서 탐지한 개체를 다시 원래 경로(위치)에서 볼 수 있을 것이다. 참고적으로 해당 기록을 확인하고자 한다면, 시스템 트레이의 아이콘에서 마우스 오른쪽 버튼 클릭 후 “최근 기록 보기”를 선택하거나, 메인 화면을 실행 후 설정에서 “보안 기록 확인”을 선택하면 된다(노턴 360 기준).

2-3. SONAR 탐지시 처리하지 못하고, 추후 검역소에서 복원 조치하는 방법
⒜ SONAR 탐지에서 바로 복원을 하지 않은 경우, 알림 메시지를 보게 될 것이다. 상세 내역 보기를 통해 파일 인사이트 창을 확인하지 않은 경우, 어떤 개체가 처리되었는지 파악이 어려울 수 있다. 그러나 걱정할 필요는 없다. 보안 기록을 직접 확인하면 된다.
⒝ 보안 기록 확인의 경우, 위 “2-2. ⒟”에서 살펴본 바와 같이 시스템 트레이의 아이콘에서 마우스 오른쪽 버튼 클릭 후 “최근 기록 보기”를 선택하거나, 메인 화면을 실행 후 설정에서 “보안 기록 확인”을 선택하면 된다. 보안 기록의 경우 다양한 작업 확인이 가능하며, SONAR 탐지만 살펴보기 위해서는 “SONAR 작업”을 선택하도록 한다.
⒞ SONAR 탐지 후 처리된 개체는 완전 삭제된 것이 아니라 “검역소”에 안전하게 격리되어 있다. 검역소 역시 보안 기록 확인에서 살펴볼 수 있다.
⒟ 처리된 개체의 상세 내역 보기를 하게 될 경우, 파일 인사이트 창이 팝업된다. 위 “2-2. ⒝”에서 살펴본 것과 동일하다. 잘 못 탐지된 것을 확인 후, 복원 조치하면 되겠다.
⒠ 참고적으로 해당 개체를 Virus Total 사이트에 업로드하여 검사를 해보았다. 시만텍(Symantec)의 노턴 제품에서만 탐지(진단명 : WS.Reputation.1)한 것을 볼 수 있다. 이를 통해 잘 못 탐지한 것일 수 있다는 것을 유추할 수 있다(단, 모든 것이 그렇지는 않기 때문에 보안 업체에 직접 확인하는 것이 더 중요하다).
2-4. 자동 보호 및 SOANR 제외 항목 : SONAR 탐지 문제를 자주 겪는 개체가 있을 경우(단, 정상 파일인 경우), 아예 제외 항목에 추가하는 것이 필요할 수도 있다(악성 개체 제외 설정은 절대로 금지).

3. 노턴(Norton) 보안 제품의 “자동 보호” 탐지 대처 방법

3-1. 자동 보호는 기본적인 실시간 보호 기능을 말한다. 노턴의 실시간 보호는 크게 자동 보호와 SONAR 보호 등으로 나뉘는데, SONAR 보호의 경우 위에서 이미 살펴보았다. 아래에서는 자동 보호 예제를 간략하게 살펴보고자 한다. 큰 차이점은 없다.
3-2. 예제 1 : 자동 보호 탐지 예제 해당 개체는 필자의 하드 디스크 드라이브에 들어있는 Unlocker1.8.7.exe 파일이었다.
⒜ 상세 내역 보기를 하면 SONAR 보호에서와 동일한 파일 인사이트 창을 볼 수 있다. 다만 “시만텍에 제출”이 추가적으로 가능하다.
⒝ 예제에서 다룬 파일의 경우 AdShortcuts(잠재적으로 원치 않은 응용 프로그램의 일종으로 분류)로 진단된 것이다. 제외시 시그니처 항목으로 구성되는 사례에 속한다.
⒞ 노턴 360 버전 5.0 제품의 “설정 → 검사 및 위험 요소”의 “제외 항목 / 낮은 위험 요소 → 모든 탐지에서 제외할 시그니처”의 구성을 살펴본 모습.
3-2. 예제 2 : 웹브라우저 사용시 결제 모듈과 관련된 파일이 노턴에 의해 제거된 경우이다. 해당 개체는 다운로드 인사이트에 의해 분석 및 제거되었
다. 유해성 여부를 떠나 해당 모듈을 제거할 경우 정상적인 결제가 불가능하다. 유해성 여부 점검(정확한 방법은 아닐 수도 있음)을 위해 Virus Total 사이트에 업로드 검사를 해 본 결과 노턴에서만 탐지(진단명 : WS.Reputation.1)하는 것을 확인할 수 있었다. 결국 평판 수준에 의한 잘못된 처리 결
과로 볼 수 있는 바 복원하면 되겠다. 그런데 파일 인사이트 창에서는 위의 예제와는 달리 바로 “옵션” 바로가기가 지원되지 않는다. 따라서 직접
검역소를 열어서 복원해 주어야 한다. 정상적인 경우 (복원 후) 결제 절차를 다시 시작하면 문제가 없다.

(작성 : blog.naver.com/hahaj1)

Admin
Admin

게시물 갯수 : 184
Join date : 2011-12-11

https://hyora.forumkorean.com

위로 Go down

위로


 
Permissions in this forum:
답글을 올릴 수 없습니다