By: 빠다 in 노턴이야기

아니다. 많다. 너무도 많다. 일일이 이야기 하기 힘들정도로 많다.

오늘은 일반사용자가 사용하는 Norton Internet Security에 있는 클라우드 컴퓨팅 기술 한가지만 소개한다.

전통적인 안티바이러스의 경우, 시그니쳐에 의해서 탐지를 한다 시그니쳐에 의해 탐지한다는 것은 우리가 지문을 보고 절도범을 잡듯이 그러한 특징을 지닌 지문에 의해 탐지하는 것을 말한다. 이런것을 보통 blacklisting방식이라 한다. 즉 나쁜것만 지문을 만들어 놓고, 그 지문에 따라 악성코드를 탐지하는 것을 말한다.

그런데 지금의 악성코드의 경향은 어떠한가? 너무너무 많은 악성코드가 나오는데, 이것이 변종이 더 많다. 변종이란 처음으로 발견견 신종이 아니라, 기존에 있던 악성코드가 조금 모양을 바꾼형태인 것이다. 즉 사람이 성형수술한것과 같다. 그런데 사람처럼 이렇게 성형수술을 하는데, 지문도 성형을 한것이다. 그러니 과거의 지문을 가지고는 못잡는다는 결과란거다.

문제는 요즘의 악성코드 트렌드가 변종이 많게 됨에 따라 악성코드를 탐지하는 보안벤더의 경우는 너무도 힘이 든다. 왜냐고? 그건 한개 분석해서 지문을 만들어 놓으면 또 성형수술하고..또 성형수술하고 그러니 매번 힘들수 밖에..에휴~

그럼 그런 급변하는 위협에 어떠한 대응방법이 있을까?

그중하나가 whitelisting방법이다. 이 whitelisting방법은 좋은것을 미리 이것이 좋은 사람이야라고 판단하고 그외 나머지를 의심하자는 것이다. 그렇다면 좋은사람을 어떻게 판단한단 말인가? 이 세상에 얼마나 많은 SW벤더가 있고, 얼마나 많은 SW version이 존재하는데, 그것을 어떻게 알고 또 더 나아가 좋은 사람의 지문을 배포한단 말인가?

여기서 클라우드 컴퓨팅의 기술이 도입되었다. 즉 본인이 가지고 있는 파일을 검사하는데 이미 잘 알려진 즉 좋은 사람이라고 판단되는 프로세스는 굳이 검색할 필요가 없다는 것이다. 그러면 검사속도도 개선되고, 시스템에 부하도 적게주고, CPU의 사용도 적게하니 전력소모도 좋게 하고, 전력소모를 적게하니 CO2의 배출도 적고, 지구환경에 좋은 기여까지 하게 된다.

예를들자면 과거에는 메모리에 올라와 있는 모든 프로세스를 검사했다. 그러나 NIS 2009의 경우 보통 80%정도는 신뢰를 하고 나머지만 신뢰되지 않기 때문에 검사해야 한다고 권고한다. 이렇게 신뢰된 것을 시만텍이 하면 Norton Trust라고 표현하고 또 Community Trust라고 표현이 되면, 이것은 노턴을 사용하는 고객의 feedback을 받아 신뢰해도 되는지 노턴 커뮤니티의 의견을 묻는 것이다. 이것이 인터넷 상에서 whitelisting기술을 이용한 것이다.
여기에 더 나아가 파일의 시그니쳐, 또 실행되는 파일의 관련 구성파일까지 같이 알려준다. 그리고 그 파일의 신뢰수준까지 보여줘서 어느정도의 신뢰수준을 가지고 있는지도 보여준다. 새로 출시되는 Norton 2010에서는 더 향상된 클라우드 컴퓨팅 기술을 제공한다.

노턴 인사이트

트랙백 : http://symantec.bloter.net/archives/220/trackback