V3의 네트워크 침입 차단에서 Port Scan이나 Null Scan이 반복적으로 탐지됩니다. 악성코드에 감염된 건가요?
네트워크 침입 차단은 어떤 기능인가요?
네트워크 침입 차단 기능은 외부에서 접속하려는 시도에 대하여 탐지 혹은 차단하는 기능입니다.
정상적인 프로그램에서도 발생할 수 있는 행위에 대해서는 탐지, 악성 침입으로 확신할 수 있는 행위에 대해서는 차단이 적용됩니다.
Port Scan, Null Scan은 어떤 경우 발생하나요?
Port Scan
- 열려있는 포트를 스캔하는 시도를 탐지한 경우
- 정상 프로그램이나 네트워크 장비(네트워크로 연결된 프린터 혹은 인터넷 연결에 사용하는 장비 등)에 의해서도 발생할 수 있으므로 V3에서는 차단이 아니라 탐지만 함
- 단순히 열려있는 포트를 스캔하는 행위이므로, 이 내용만으로는 공격이 발생했다고 판단하기 어려움
Null Scan
- 특정한 패턴으로 열려있는 포트를 스캔하는 행위
- 정상 프로그램에서 일반적으로 발생하는 행위가 아니므로, V3에서는 차단을 함
두 행위 모두 PC 외부에서 해당 PC로 연결이나 침입을 시도할 때 발생하는 증상이므로 해당 PC에 문제가 있어 나타나는 현상이라고 보기는 어렵습니다.
알림이 계속 발생하는데 어떻게 조치해야 하나요?
1) IP 차단
[보안기록]-[진단 로그]에서 진단된 항목을 더블클릭 하시면 차단 내역에 관한 상세한 정보를 확인할 수 있습니다.
'원격 IP' 항목이 침입을 시도한 상대의 IP입니다. 정확한 정보가 확인되지 않으면 해당 값은 비어있을 수 있습니다.
네트워크를 통해 연결된 장비나 서비스가 없고, 매번 동일한 IP에서 접근을 시도하는 경우에는 V3의 [IP 주소 허용/차단] 기능을 이용해 해당 IP를 차단해보십시오.
2) 같은 네트워크 대역의 다른 PC 관리
같은 네트워크를 이용하는 PC가 감염되어 스캔을 시도하는 경우일 수 있습니다.
관리하는 PC가 여러대인 경우, 보유한 PC를 모두 검사해서 악성코드 감염 여부를 확인해보십시오.