지니언스 기술 블로그

Windows Defender의 전체 검사가 정상적으로 작동하나요?- 지니언스 NAC - Genians

Written by Genians | Feb 12, 2020 6:00:00 AM

안티바이러스(Antivirus, 이하 ‘AV’)는 컴퓨터의 바이러스 등 악성코드를 찾아내어 치료하고 방어하기 위한 소프트웨어입니다. AV 보호는 물론 중요한 사항이지만, AV 프로그램이 설치되고 실행될 뿐만 아니라, 문제가 있는 AV버전을 사용중인 단말을 식별/분류해서 AV프로그램의 고유한 역할(위협을 탐지하는 능력)에 영향을 미칠 수 있는지 판단하는 것 역시 중요합니다.

 

문제점 – 영향을 받는 시스템을 식별할 수 있는 쉬운 방법이 없음

AV 프로그램이 설치, 실행 및 최신 상태로 유지되도록 하는 시스템을 갖추고 있는 경우에도, 이 시나리오에서 관리자는 어떻게 하면 (쉬운 방법으로) 사용자를 보호할 수 있을까? 에 대한 고민을 하게 됩니다. Bleeping Computer 기사에서 언급된 바와 같이, 어떤 한 가지 문제를 해결하기 위한 프로그램 업데이트는 종종 새로운 문제를 발생시킬 수도 있습니다.

================================================================================================ “Microsoft사는 빠른 검사(Quick Scan)와 전체 검사(Full Scan)를 모두 중단한 Windows Defender용 신규 업데이트를 발표하였습니다. 사용자가 이러한 검사 옵션을 사용할 경우 Windows Defender는 약 40개의 파일만 검사합니다.”

“BleepingComputer는 버전 4.18.1908.7(KB4052623)이 설치된 사용자의 컴퓨터에서 이러한 현상이 발생하고 있음을 독립적으로 확인할 수 있었습니다. 위 그림에서 볼 수 있듯이 사용자가 전체 검사를 수행했을 때 44개의 파일만을 검사하고 9초 동안 지속되었습니다. "

================================================================================================

위에서 언급한 문제는 사용자에게 자신의 시스템을 검사한 상황에서 시스템이 안전하다고 판단하는 잘못된 보안 인식을 갖게 합니다. 네트워크에 안전하지 않은 시스템이 있으면 전체 네트워크가 위험에 노출됩니다. 관리자는 이와 같은 버그에 의해 영향을 받는 시스템을 어떻게 빠르고 쉽게 찾을 수 있을까요? 또한 어떻게 하면 사용자에게 손쉽게 알림을 제공하고 위험을 완화할 수 있을까요?

 

솔루션 – Genian NAC 노드 그룹화 및 에이전트 액션

위와 같은 사례가 발생할 경우, 손상된 또는 문제가 있는 버전을 사용중인 단말을 신속하게 식별할 수 있는 방법이 필요합니다. Genian NAC 에이전트는 OS, 하드웨어 및 소프트웨어에서 사용자 계정, 화면 잠금, 전원 옵션 등에 이르는 50개 이상의 플러그인(plug-in)을 보유하고 있습니다. 또한 Genian NAC는 단말을 분류하고 정책을 시행할 수 있는 500개 이상의 조건과 함께 단말을 그룹화할 수 있습니다.

관리자는 노드 그룹 기능과 에이전트에서 수집한 정보를 사용하여 아래 이미지에 표시된 바와 같이 적절한 조건을 통해 노드그룹을 손쉽게 생성할 수 있습니다.

(Update 9/18/19 7:28 PM) Microsoft사는 BleepingComputer에 해당 문제가 해결되었다고 밝혔습니다. 그것은 정의(definitions)에 관한 문제였으며 “Security Intelligence Update for Windows Defender Antivirus – KB2267602 (버전 1.301.1684.0)”에서 해결되었습니다.

해당 기사에서는 9월 18일에 수정 사항이 발표되었다고 언급하고 있기 때문에 위에 구성된 노드 그룹은 지난 6일 동안 정의가 업데이트되지 않은 모든 단말을 표시합니다. 대쉬보드에서 신규 노드 그룹을 살펴보면 다음 범주에 속하는 2개의 장치가 표시됩니다.

이제 이 문제의 영향을 받는 시스템 식별이 끝났다면, 관리자는 제어 정책(enforcement policy)을 통해 대응 작업을 수행합니다. 아래 이미지와 같이 단말의 상태가 업데이트 되기 전까지 최종 사용자에게 통지하거나 인터넷에 대한 접근을 제한하는 등 두 가지 가능한 옵션이 있습니다.

이 기사의 예는 Genian NAC의 Device Platform Intelligence (DPI)를 통해 가시성을 포함한 필수 네트워크 접근 제어(NAC) 기능을 제공하는 것 외에도 네트워크에 접근하기 전에 모든 단말이 제대로 인증되고 마이크로 세분화(micro-segmentation)를 통해 세부적인 사용 권한을 할당하는 방법을 보여주는 여러 사례 중 하나입니다. 또한 사이버 보안 커뮤니티에서 신규 문제가 보고될 때 위험 상태의 단말을 식별하고, 사용자에게 신속하게 통지하여 위험을 완화시키는데 도움이 되는 필수 보안 도구입니다.