명령의 종류

명령 설정을 변경하려면

ZPX 또는 관리자가 실행할 수 있는 명령은 다음과 같습니다.

제거

에이전트에게 ZPX, 또는 에이전트가 탐지한 악성코드를 제거합니다. 에이전트는 제거 명령을 받으면 지정된 범위 내에서 악성코드를 검색합니다. 악성코드가 탐지되면 실행중인 악성코드 프로세스를 제거하고 파일을 제거합니다. 제거된 파일은 실행되지 못하도록 변경하여 검역소에 보관합니다.

복원

특정한 파일을 검역소로부터 복원합니다. 의도하지 않은 파일의 제거가 발생했을 때, 파일을 원래 위치에 복원합니다.

탐지

에이전트는 TWC를 통해 주기적으로 악성코드 정보를 업데이트합니다. 이 명령은 에이전트가 악성코드 목록을 사용하여 사용자 PC에서 악성코드를 검색하도록 할 때 사용합니다. 탐지된 파일은 ZPX로 전송됩니다. 이 명령은 악성코드를 탐지만 할 뿐, 제거하지는 않습니다.

의심 파일 수집

이 명령은 에이전트가 사용자 PC에서 악성코드와 유사한 패턴을 보이는 파일을 검색하도록 할 때 사용합니다. 탐지된 파일은 ZPX로 전송되어 행동 기반 엔진 및 동적 콘텐츠 분석 엔진을 사용하여 진단합니다.

의심 파일 수집은 사용자의 동의를 요구합니다

TrusAnalyzer에서 의심 파일 수집 명령을 실행하면, 에이전트는 의심 파일 수집을 시작하기 전에 사용자에게 데이터 수집 동의서가 담긴 메시지를 보여줍니다. 사용자가 데이터 수집에 동의해야 의심 파일 수집을 실행합니다.

1. 메뉴에서 대응 현황을 누릅니다.
2. 작업 화면 왼쪽 위에서 악성코드를 누릅니다.
3. 작업 화면 오른쪽 위에서 명령 설정을 누릅니다.
4. <명령 설정>에서 다음 항목을 지정합니다.

• 명령 유효 기간(1시간, 24시간, 일주일)을 선택합니다. 에이전트에게 대응 명령을 전달할 때 명령 유효 기간에 따라 지정된 명령 만료 시각이 지정됩니다. 에이전트가 명령 유효 기간 내에 악성코드를 처리하지 못하면 명령 실행 실패로 간주합니다.
• 에이전트의 악성코드 탐지 항목에서 설정을 변경합니다.
• 에이전트가 탐지 명령을 실행할 때 낮은 CPU 점유율을 사용하도록 하려면 CPU 점유율 제어(선택, 해제)를 선택합니다.
• 에이전트의 악성코드 제거 항목에서 설정을 변경합니다.
• 팝업 메시지를 통해 사용자에게 제거 명령 실행을 알려주도록 하려면 제거 알림 팝업(선택, 해제)을 선택합니다.
• 제거할 악성코드를 검사할 영역을 제거 실행 영역(모두, Windows가 설치된 볼륨, Windows 폴더, Windows System 폴더)에서 선택합니다.
• 제거 명령을 실행할 때 낮은 CPU 점유율을 사용하도록 하려면 CPU 점유율 제어(선택, 해제)를 선택합니다.
• ZPX가 선택한 악성코드(선택, 해제), 감시 목록에서 선택된 악성코드(선택, 해제) 중에서 제거 대상을 선택합니다. 제거 대상은 모두 선택할 수 있습니다. 감시 목록에서 선택된 악성코드를 선택하면, 하단에 출력되는 감시 목록에서 제거할 악성코드를 선택하여야 합니다.

ZPX의 악성코드 진단 방법

ZPX는 세 가지 진단법을 사용합니다: 클라우드 기반 시그니처와 행동 분석, 동적 콘텐츠 분석.
- 클라우드 기반 시그니처: 클라우드 기반 ASD(AhnLab Smart Defense), 경량화된 TS 엔진을 이용하여 이미 알려진 악성코드를 진단합니다.
- 행동 분석: 클라우드 기반 시그니처로 식별되지 않은 파일을 검사합니다. 파일을 가상 환경에서 열어보고 파일의 행동을 분석하여 악성코드를 진단합니다.
- 동적 콘텐츠 분석: 행동 분석과 마찬가지로, 클라우드 기반 시그니처로 식별되지 않은 파일을 검사합니다. 파일을 가상 환경에서 열어보고 파일 구조를 분석하여 악성코드를 진단합니다.

행동 분석과 동적 콘텐츠 분석은

오탐(false positive) 가능성이 있습니다. 행동 분석과 동적 콘텐츠 분석 과정을 거쳐 악성으로 진단된 파일은 의심 파일이라 합니다. 의심 파일은 보안 전문가의 최종 진단이 필요합니다. 의심 파일은 제거 대상에서 제외합니다.