Cisco Cisco Email Security Appliance C190 User Guide

Page of 1196
 
12-4
Cisco AsyncOS 9.1 for Email 사용 설명서
 
12      안티바이러스
  Sophos Anti-Virus 필터링
추론
바이러스 엔진에는 기본 패턴 일치 기술과 추론(특정 규칙이 아닌 일반 규칙을 사용하는 기법) 기
술을 결합되어 있어 Sophos 연구원이 해당 계열에서 한 바이러스만 분석하도록 설계했음에도 불
구하고 동일한 계열의 여러 바이러스를 탐지할 수 있습니다. 이러한 기술을 통해 한 바이러스의 여
러 변종을 포착하는 단일 설명을 생성할 수 있습니다. Sophos는 다른 방법을 통해 추론을 조정하면
서 긍정 오류의 발생을 최소화합니다.
에뮬레이션
에뮬레이션은 바이러스 엔진에서 다형성 바이러스에 적용되는 기술입니다. 다형성 바이러스란 자
신을 숨기기 위해 자신을 변환하는 암호화된 바이러스입니다. 일정한 바이러스 코드는 보이지 않
으며 바이러스가 전염될 때마다 자신을 다르게 암호화합니다. 실행 시 자동으로 암호 해독됩니다. 
바이러스 탐지 엔진의 에뮬레이터는 DOS 및 Windows 실행 파일에 사용되지만, 다형성 매크로 바
이러스는 Sophos의 바이러스 기술 언어로 작성된 탐지 코드로 발견됩니다.
이 암호 해독 결과 실제 바이러스 코드가 출력되며, 이 출력 결과는 에뮬레이터에서 실행된 후에 
Sophos 바이러스 탐지 엔진으로 탐지됩니다.
검사를 위해 엔진에 전송되는 실행 파일은 에뮬레이터에서 실행되며, 에뮬레이터는 바이러스 본
문의 암호 해독을 추적하면서 메모리에 이를 기록합니다. 일반적으로 바이러스 진입 지점은 파일
의 시작 부분에 있으며 이 지점이 먼저 실행됩니다. 대부분의 경우 바이러스를 인식하기 위해 약간
의 바이러스 본문만 암호 해독하면 됩니다. 바이러스가 없는 실행 파일은 일부 명령 처리 후에 에
뮬레이션을 중지하므로 오버헤드가 감소합니다.
에뮬레이터는 제한된 영역에서 실행되므로 코드가 바이러스로 판명되지 않을 경우 바이러스는 어
플라이언스를 감염시키지 않습니다.
바이러스 설명
Sophos는 신뢰할 수 있는 다른 안티바이러스 업체와 매달 바이러스 정보를 교환합니다. 또한, 고객
은 매달 수천 개에 달하는 의심스러운 파일을 직접 Sophos에 보내고 있으며, 그중 약 30%가 바이러
스로 판명됩니다. 각 샘플은 매우 안전한 바이러스 연구소에서 철저하게 분석되어 바이러스 여부
가 판정됩니다. 새로 발견된 바이러스 또는 바이러스 그룹의 경우 Sophos는 설명을 작성합니다.
Sophos 경고 
Sophos Anti-Virus 검사 기능을 사용하는 고객은 Sophos 사이트
(http://www.sophos.com/virusinfo/notifications/)에서 Sophos 경고 서비스에 가입하는 것이 좋습니다. 
서비스에 가입하면 Sophos에서 직접 경고를 수신할 수 있고 최신 신종 바이러스 및 사용 가능한 솔루
션에 대한 알림을 받게 됩니다.
바이러스가 발견된 경우
바이러스가 탐지되면 Sophos Anti-Virus는 파일을 복구(치료)할 수 있습니다. Sophos Anti-Virus는 
일반적으로 바이러스가 발견된 파일을 복구할 수 있습니다. 파일 복구 후 해당 파일을 위험 없이 사
용할 수 있습니다. 수행되는 정확한 조치는 바이러스마다 다릅니다. 
감염된 파일을 항상 원래 상태로 복구할 수는 없으므로 감염 치료에 관해서는 제한 사항이 있습니
다. 일부 바이러스는 실행 가능한 프로그램 일부를 덮어쓰는데, 이러한 프로그램은 복원되지 않습
니다. 이러한 경우 사용자는 복구할 수 없는 첨부 파일이 포함된 메시지를 처리하는 방법을 정의합