V3에서 Port Scan이나 Null Scan이 반복적으로 탐지됩니다. 악성코드에 감염된 건가요?
네트워크 침입 차단 기능은 외부에서 접속하려는 시도에 대하여 탐지 혹은 차단하는 기능입니다.
정상적인 프로그램에서도 발생할 수 있는 행위에 대해서는 탐지, 악성 침입으로 확신할 수 있는 행위에 대해서는 차단이 적용됩니다.
Port Scan과 Null Scan의 차이는 다음과 같습니다.
Port Scan
- 열려있는 포트를 스캔하는 시도를 탐지한 경우
- 정상 프로그램이나 네트워크 장비(네트워크로 연결된 프린터 혹은 인터넷 연결에 사용하는 장비 등)에 의해서도 발생할 수 있으므로 V3에서는 차단이 아니라 탐지만 함
- 단순히 열려있는 포트를 스캔하는 행위이므로, 이 내용만으로는 공격이 발생했다고 판단하기 어려움
Null Scan
- 특정한 패턴으로 열려있는 포트를 스캔하는 행위
- 정상 프로그램에서 일반적으로 발생하는 행위가 아니므로, V3에서는 차단을 함
두 행위 모두 PC 외부에서 해당 PC로 연결이나 침입을 시도할 때 발생하는 증상이므로 해당 PC에 문제가 있어 나타나는 현상이라고 보기는 어렵습니다.
조치사항
1) IP 차단
[보안기록]-[진단 로그]에서 진단된 항목을 더블클릭 하시면 차단 내역에 관한 상세한 정보를 확인할 수 있습니다.
'원격 IP' 항목이 침입을 시도한 상대의 IP입니다. 정확한 정보가 확인되지 않으면 해당 값은 비어있을 수 있습니다.
네트워크를 통해 연결된 장비나 서비스가 없고, 매번 동일한 IP에서 접근을 시도하는 경우에는 V3의 [IP 주소 허용/차단] 기능을 이용해 해당 IP를 차단해보십시오.
관련FAQ: V3의 네트워크 보안 기능으로 특정 IP를 차단할 수 있나요?
2) 같은 네트워크 대역의 다른 PC 관리
같은 네트워크를 이용하는 PC가 감염되어 스캔을 시도하는 경우일 수 있습니다.
관리하는 PC가 여러대인 경우, 보유한 PC를 모두 검사해서 악성코드 감염 여부를 확인해보십시오.