백신에서 예외처리에 신중해야 - 파일, 폴더 및 프로세스 제외

백신에서 예외처리에 신중해야 - 파일, 폴더 및 프로세스 제외

백신에서 예외처리에 신중해야 - 파일, 폴더 및 프로세스 제외

 

엔드포인트 보호는 이메일 보안, 방화벽, 침입 탐지, 비밀번호 관리, SEIM, SOAR, EDR 등을 포함하는 다층 보안 체계 의 필수 구성 요소입니다 . 이상적으로는 이러한 시스템들이 서로 연동되어 악의적인 공격자가 조직에 무단으로 접근하는 것을 더욱 어렵게 만듭니다.

 

엔드포인트 보호는 특히 컴퓨터에서 발생하는 악성 행위를 차단하는 역할을 합니다. 이는 전통적으로 컴퓨터 웜, 바이러스, 랜섬웨어 및 기타 원치 않는 실행 파일과 같은 악성 소프트웨어를 식별하고 격리하는 형태로 이루어졌습니다. 사이버 위협과 이를 차단하기 위해 설계된 방어 시스템 사이의 끊임없는 고양이와 쥐의 싸움에서 악성 소프트웨어(맬웨어)는 탐지를 피하기 위해 다음과 같은 다양하고 정교한 우회 전략을 채택해 왔습니다.

 

 

• 가상 머신 환경(VME)이나 샌드박스에서 감지되지 않도록 샌드박스 지연을 구현합니다 . 특히 자동화되었거나 제한된 시간 동안만 작동하는 환경입니다.
• 코드 난독화는 다양한 기술을 사용하여 코드의 의도된 목적을 숨기기 위해 코드를 이해하기 어렵게 만드는 것입니다.
• 공격자가 기존의 신뢰할 수 있는 도구와 프로세스를 활용해 탐지를 피하면서 악의적인 활동을 수행하는 ' Living off the Land' 기법입니다 .
•  

 

엔드포인트 보호는 이러한 전략과 함께 발전해 왔으며, 널리 채택된 접근 방식 중 하나는 모든 프로세스를 모니터링하여 악의적인 의도를 나타내는 활동을 찾아내는 것입니다. 도대체 무엇이 악의적인 의도일까요? 비정상적이거나 부적절한 방식으로 많은 파일을 이동, 추가, 삭제 및/또는 암호화하는 것이 대표적인 예입니다.

 

활동 또는 행동 기반 탐지의 문제점은 프로세스가 악성인지 100% 확신할 수 없는 모호한 영역이 존재하며, 이러한 모호한 영역으로 인해 오탐(false positive)이 발생할 수 있다는 것입니다. 안전을 지나치게 강조하면 오탐이 더 많아지고, 반대로 지나치게 강조하면 악성 활동을 간과할 위험이 있습니다.

 

 

예외(제외)의 역할

 

다행히 Emsisoft를 포함한 엔드포인트 보호 제품을 사용하면 제외 설정을 통해 특정 프로세스 또는 특정 디렉터리 내의 활동을 무시하도록 소프트웨어에 지시할 수 있습니다. 문제 해결되었죠? 하지만 그렇게 간단한 문제가 아닙니다. 제외 설정은 오탐률을 줄이고 시스템 성능을 향상시켜 탐지 기능을 미세 조정하는 데 도움이 되지만, 제대로 구현되지 않으면 악의적인 활동이 발판을 마련하고 감지되지 않을 수 있습니다.

 

최대한 보안을 강화하려면 제외 규칙은 최대한 구체적이어야 합니다. 너무 일반적인 규칙은 맬웨어가 실수로 또는 악의적으로 제외될 가능성을 열어주기 때문입니다. 예를 들어 폴더와 하위 디렉터리를 제외하면 맬웨어가 해당 디렉터리 구조에서 자유롭게 실행될 수 있습니다. 마찬가지로 와일드카드와 환경 변수도 신중하게 사용하여 최대한 구체적이고 구체적인 규칙을 만들어야 합니다.

 

 

더 안전한 배제 규칙 작성

 

제외 규칙을 추가할 때마다 맬웨어가 탐지되지 않을 가능성이 생기므로, 제외 규칙을 최대한 정확하게 작성해야 합니다. 제외 규칙을 최대한 안전하고 구체적으로 만드는 여러 가지 방법을 고려해 보겠습니다.

 

 

1) 권한: 말할 필요도 없지만 간과하기 쉬운 점은 관리자 권한이 있는 사용자만 제외 규칙을 추가, 수정 또는 삭제할 수 있다는 것입니다.

 

중요한 이유: 누군가 컴퓨터에 무단으로 접근하더라도 보호 기능을 쉽게 해제할 수 없어야 합니다. 엔드포인트 보호에는 항상 관리자 비밀번호를 설정해야 합니다. 그래야 누군가가 무단으로 접근하더라도 보호 기능을 해제하고 데이터를 도용하거나 암호화할 수 없습니다.

 

 

2) 일부 바이너리는 절대 제외해서는 안 됩니다. 일부 시스템 바이너리는 Living Off The Land Binaries , Scripts and Libraries(LoLBAS) 로 악용되는 것으로 알려져 있습니다 . 합법적인 Windows 도구를 사용하면 시그니처 기반 탐지로 차단될 수 있는 맬웨어를 사용할 필요가 없습니다.

 

중요 이유: 이러한 합법적인 Windows 도구를 사용하여 악의적인 작업을 수행하는 행위는 동작 기반 탐지를 통해 탐지 및 차단할 수 있지만, 이는 바이너리에 제외 규칙이 없는 경우에만 가능합니다. LoLBINS의 예는 다음과 같습니다 . cmd.exe,powershell.exe,regsvr32.exe,rundll32.exe

전체 목록은 여기에서 확인하세요 .

 

 

3) 규칙이 적용되는 범위를 제한합니다.  가능한 한 최소한의 엔드포인트 또는 사용자에 규칙을 적용합니다.

 

중요한 이유: 제외 규칙의 노출이 적을수록 악용될 가능성이 줄어듭니다. 예를 들어 회계 부서에서 소수의 사용자가 특정 애플리케이션을 사용하는 경우, 해당 사용자에게만 적용되는 제외 규칙을 생성하세요. 어떤 기기가 침해될지 예측할 수 없습니다.

 

4) 와일드카드 사용은 최소화하세요. 와일드카드 는 매우 유용할 수 있지만, 의도치 않은 결과를 초래할 수도 있습니다. 다른 제외 사항과 마찬가지로 와일드카드는 최대한 구체적으로 지정해야 합니다. 예를 들면 다음과 같습니다.

 

C:\Users\*\temp\*.exe ❌
와
C:\Users\jdoe\temp\Update*.exe ✅

 

중요한 이유: 와일드카드를 활용한 경로에 최대한 많은 세부 정보를 적용하면 악의적인 남용의 가능성을 최소화할 수 있습니다.

 

 

5) 전체 드라이브나 일반 폴더를 제외하지 마세요. 여러 애플리케이션에서 사용되는 폴더는 제외해서는 안 됩니다. 드라이브나 일반 폴더를 제외하는 예는 다음과 같습니다.

 

C:\
C:\users\사용자 이름\appdata\로밍
%temp%
C:\Windows

 

중요한 이유: 일반 폴더는 많은 애플리케이션에서 사용되는 것처럼 맬웨어에서도 사용되므로 맬웨어가 쉽게 액세스할 수 있는 통로가 됩니다.

 

 

6) 폴더를 제외하는 것이 유용합니다. 폴더를 제외하는 것(일반 폴더 제외는 해당되지 않음)이 파일을 제외하는 것보다 더 실용적일 수 있습니다.

 

중요 이유: 예를 들어, 소프트웨어 업데이트는 후속 버전에서 파일 이름이 변경되는 경우 파일 이름으로 쉽게 제외할 수 없는 경우가 많습니다. 업데이트가 실행되는 고유 폴더를 제외하면 이 문제를 해결하는 데 도움이 될 수 있습니다. 예를 들어 다음과 같습니다.

 

c:\회사\도구\버전

마지막으로, 예외 규칙을 만들 때는 구문에 특히 주의하세요. 잘못된 문자가 큰 영향을 미칠 수 있기 때문입니다.

 

 

마무리

 

제외 설정은 균형을 맞춰야 합니다. 너무 광범위하면 맬웨어에 무임승차할 위험이 있고, 너무 엄격하면 오탐지율이 높아져 운영에 차질을 빚을 수 있습니다. 제외 설정을 아껴 적용하고, 최대한 구체적으로 설정하며, 생성 및 수정 권한을 제한함으로써 조직은 원활한 운영을 유지하면서도 노출을 크게 줄일 수 있습니다.

 

이 내용은 EMSISOFT의 Luke Connolly가 작성하였습니다. EMSISOFT외에도 모든 백신 제품에서 예외처리 등록을 할 때는 구체적으로 특정한 내용으로 처리해야 한다는 중요한 점을 설명하고 있습니다. 막연하게 c:\windows\* 와 같은 처리는 해커의 공격 루트로 활용될 우려가 있으니 위 내용을 참고하셔서 주의 깊게 사용하시면 좋겠습니다.

 

감사합니다.

 

(주)소프트메일

https://www.emsisoft.co.kr

EMSISOFT 안티랜섬웨어 & EDR - 랜섬웨어 감염 예방