▶ 보안 제품 리뷰/:: Antivir

Avira Antivir Premium Security Suite 9 리뷰 (3-2) - 웹 감시 (WebGuard)

물여우 2009. 5. 9. 10:45
반응형
 
안티버의 실시간 감시 기능 중 2 번째 기능인 WebGuard를 살펴보도록 하겠습니다.

저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.


Avira Antivir Premium Security Suite 9 리뷰 모음

-
개요 및 설치 과정 , 메인 화면 UI
- 실시간 감시 : 파일 실시간 감시(Guard)


5. 실시간 웹감시 - WebGuard

안티버의 웹감시(이하 웹가드) 기능은 8버전부터 추가된 기능으로 HTTP 프로토콜을 이용하는 모든 트래픽
을 Anti-virus의 엔진으로 감시하는 기능입니다. 기본적으로 파일 실시간 감시에서 하드 드라이브에 파일
이 저장되는 순간 이를 후킹하여 검사를 수행, 악성코드를 차단하게 됩니다만, 이와 별도로 웹가드가
네트워크 단에서 악성코드를 미리 차단함으로써 시스템을 다중적으로 보호하게 됩니다.

기본적으로 웹가드는 프리미엄 제품군인 유료 제품에만 추가된 기능이며, 웹가드의 기능 중 Parental
control 기능은 현재 리뷰 중인 안티버 개인용 제품의 최상위 제품군인 프리미언 시큐리티 슈트에만
포함된 기능입니다.


파일 실시간 감시가 하드 드라이브 등 물리적인 매체에 저장된 객체를 직접 다룬다는 것을 제외하면
웹가드의 메인화면은 파일 실시간 감시의 메인화면과 거의 동일합니다.


5-1. 웹가드 설정 - WebGuard Configuration


웹가드의 환경 설정은 파일 실시간 감시(Guard)와 유사합니다. 환경 설정은 Scan/Action on detections/
Locked requests/Exceptions/Heuristic/Parental control/Report 등 7가지 항목으로 구성되어 있습니다.


(1) Scan : 웹가드의 활성화 여부를 설정합니다.

① 웹가드 활성화 : 웹가드는 기본적으로 80, 8080번 포트(HTTP)와 3128번 포트(Active API Server)를
    이용하여 이동하는 트래픽을 감시합니다. 3128번 포트는 프록시 서버를 이용시 사용하게 되는 포트
    중 하나인데 악성코드가 많이 사용하는 포트이기도 합니다.

    참고로 웹가드의 활성화 여부와 Parental control 기능의 활성화는 서로 상관이 없습니다. Parental
    기능은 웹가드와 독립적으로 구동됩니다.

② 의심스런 Iframe 차단 : 과거 안티버는 기본적으로 Html 파일 등에 포함되어 있는 내부 Iframe의 크기
    가 0이거나 매우 작은 경우 의심 파일로 진단하곤 하였습니다. (HTML/Infected.WebPage.Gen 진단)
    프레임의 여백을 0으로 하거나(width="0" height="0") 매우 작세하는 것은 웹사이트에서 악성코드를 유포
    시 웹브라우저에서     특정 페이지 화면을 보여주지 않기 위해 자주 사용하는 기법이나 정상적인
    경우에도 간혹 사용하기 때문에 안티버 오진의 단골 손님이기도 하였습니다.

    이 기능은 9 버전에서 처음 선보였는데 악성코드가 자주 사용하는 페이지 여백이 매우 작은 Iframe을
    네트워크 단에서 차단하여 웹가드의 보안성을 더욱 증가시키게 되었습니다. 그러나 단순히 iframe의
    페이지 여백 크기로 악성 여부를 가리는 것이기 때문에 오진의 문제는 여전합니다. 사실 안티버의 AV
    엔진에서 여전히 iframe 관련한 정책이 변하지 않았기 때문에 파일 실시간 감시나 웹가드에서 Iframe
    을 가진 웹페이지를 진단/차단이 가능하나 다중적인 보호를 위하여 I-frame 차단 기능을 추가하였다
    보시면 될 듯 합니다.

    - Default : 페이지 여백의 크기에 따른 진단
    - Extended : Default의 설정과 Iframe을 구성하는 태그 방식의 이상 여부를 진단하는 것을 추가적으로
      포함시켰습니다. 자세한 내용은 정보가 부족하여 알 수가 없었으나 iframe 내부 내용이 따로 인코딩
      되어 있는 경우 등 정상적인 방법으로 iframe이 설정되지 않았을 때 차단하는것으로 보입니다.

     이 기능은 웹가드의 본래 기능처럼 악성코드나 위험요소가 존재할 때 웹페이지 자체를 차단하는 것
     이 아니고 해당 Iframe만을 차단합니다. 만약 페이지 자체가 차단될 때는 웹가드의 차단 화면과 달리
     아래와 같은 HTTP status code 403 오류 화면을 보여줍니다.


(2) Action on Detection : 웹가드에 의해 진단된 URL의 접속에 대한 설정을 조정합니다.


① Show progress bar는 웹사이트에서 페이지 로딩이나 특정 객체(페이지 로딩시나 따로 다운되는 객체)를 
    다운 받을시 20초 이상시간 이 경과하면 다운로드 상태바가 활성화됩니다.

      기본적으로 안티버의 모든 기능은 웹브라우저의 확장기능 방식으로 구동되지 않습니다. 위의 상태
      바도 마찬가지인데 트레이 아이콘 위에 반투명(클릭시 반투명 해제) 방식으로 팝업되는데, 이후
      방화벽 기능 포스팅시 설명하겠지만 팝업의 위치를 조절할 수가 없습니다. 또한, 위 상태바는 설정
      에서 상태바를 비활성화해야만 팝업을 없앨 수 있어 다소 불편합니다.

(3) Lock requests : 웹가드에서 악성코드 객체 차단과 별도로 차단할 객체나 URL을 설정합니다.


① MIME 및 파일 포맷 차단 설정 : MIME는 원래 PoP3나 SMTP 등을 이용하는 메일 서비스에 사용되는
     (Multipurpose Internet Mail Extensions - 위키백과 참고) 개념입니다. 여기서는 특정한 타입 파일들의 종류별
    구분이라 보시면 됩니다. 안티버에서는 이러한 MIME 종류나 
특정 확장자(사용자가 추가한 파일 포맷)
    을 가진 파일들이 웹사이트에서 다운되는 것을 차단합니다. 웹가드의 기본 취지대로 임시파일 폴더
    에 다운 전(시스템 유입 전)에 차단이 됩니다. 특정 객체의 다운로드 자체를 막기 때문에 웹사이트의
    페이지 로딩이 빨라지는 부가적인 효과도 있습니다.

    MIME에 대한 추가적인 정보는 여기를 참고하시기 바랍니다. 위의 그림에 적혀있듯이 세부적인 설정
    없이 MIME에 대한 기본 content만 기입해도 관련된 파일 포맷이 모두 차단됩니다. 

    특정 확장자를 기입할 때에는 앞에 반드시 '.'을 찍으시길 바랍니다. 

    
② 웹필터 : 위험 요소가 있거나 악의적인 용도로 사용되는 URL 접속을 사전에 차단합니다.
    malware는 해킹 등에 의해 악성코드가 유포되는 웹사이트가 아니라 악성코드 유포를 위해 미리
    개설된 도메인을 의미합니다. Froud/Deception은 사용자에게 약관정보를 제공하지 않거나 사용자
    동의없이 이루어지는 자동 결제 등 사용자가 원치 않는 서비스가 제공되는 URL을 차단합니다.

   Avira에서 블랙리스트 기반으로 DB업데이트시 같이 업데이트 됩니다. 비록 국내 웹환경이 고려되지는
   않았으나 가급적 활성화하여 사용하는 것을 권장합니다. 
 
   참고로 아래에서 다룰 웹가드 제외설정은 해당 웹필터로 인한 차단 url에는 적용되지 않습니다.
   즉, 제외설정과 상관없이 안티버의 블랙리스트에 속한 url은 차단됩니다.

   개인적으로는 개인 사용자가 특정 URL 접속을 차단할 수 있도록 기능이 구성되어 있었다면 더 좋은
   기능이 되었으리라 생각합니다. 특정 URL 접속을 차단하는 기능은 Parenal control 기능을 이용해서
   부가적으로 사용할 수 있긴합니다.


(4) Exception : 웹가드에서 감시를 제외할 MIME 종류 및 파일 포맷을 설정합니다.

MIME  설정은 locked request 설정을 참고하시기 바랍니다. 웹가드로 인한 웹페이지 로딩 딜레이를 최대
한 줄이기 위해 image나 문서파일, swf 등의 파일을 감시 제외하는 사용자들이 많습니다. 그렇지만 최근
에는 취약점을 이용하여 유포되는 악성코드 중 SWF, PPT, PDF 포맷을 이용하는 경우가 많으므로 가급
적 문서파일과 swf 파일은 진단에서 제외시키지 않는 것을 권장합니다. 

jpg, gif 등 image 파일을 이용한 유포도 있으나 문서파일이나 swf 파일보다는 그 확률이 적기 때문에 웹
페이지 로딩시에 딜레이가 크다면 추가시켜도 괜찮을 듯 합니다.


(5) Heuristic : 웹가드의 검사시에 사용되는 휴리스틱의 민감도를 설정합니다.

파일 실시간 감시의 설정과 동일합니다. 파일 실시간 감시의 포스팅을 참고하시기 바랍니다.


(6) Parental Control : 윈도우 계정에 따라 웹사이트 접속을 제한하는 기능입니다.
     기본적으로 유해물 차단 기능이라 보시면 됩니다.
                        다소 복잡하게 설명이 되었으나 실제로는 매우 간단합니다.

다른 제품의 유해물 차단 기능처럼 안티버의 Parental 기능도 윈도우 계정마다 각각 웹사이트 접속에
대한 권한을 설정할 수 있습니다.

기본적으로 Child/Young person/Adult 등 3가지 권한 설정이 존재하며 사용자가 따로 규칙을 지정할 수
도 있습니다.

사용자 지정 규칙은 이름을 위 파란색 박스에 기입 후 Add버튼으로 규칙을 생성한 후에 Change 버튼으
로 규칙 세부 내용을 설정하는 것입니다.

Change 버튼으로는 기존 규칙의 설정도 변화가 가능합니다. Change 버튼을 누르면 아래와 같은 설정창
이 활성화됩니다.
                                        설명을 위해 약간 편집을 하였습니다.

타사 제품에 비해 Avira에서 제공하는 차단 목록의 종류가 상당히 다양합니다. 사회적인 문제를 반영한
것인지는 몰라도 제가 본 제품 중에서 사교집단이나 과격 극우주의 단체등의 url 등을 차단하는 것을
공개적으로 보여주는 것은 안티버가 유일하였습니다. 타사 제품에서도 카테고리가 없을 뿐 차단한다
생각합니다만 포르노/에로(혹은 19금 이상의 예술)/수영복 및 란제리 등 성 관련 카테고리가 세분화된 제품
도 안티버 뿐인 것 같습니다. :)

- 사용자가 기입한 url 차단은 아래와 같은 방식으로 응용해서 사용이 가능합니다.
www.naver.com , www.naver.com/* : 하위 페이지 전부 차단
② naver.com , *.naver.com : naver.com이 포함된 도메인 전부 차단 (예 cafe.naver.com, blog.naver.com)
③ .*.naver*.* : naver가 들어간 도메인 전부 차단
④ net , *.net : 최상위 도메인 주소인 net이 들어간 도메인 전부 차단



(7) Report : 웹가드의 각종 로그 기록 설정을 조정합니다.

파일 실시간 감시의 설정과 동일합니다. 파일 실시간 감시의 포스팅을 참고하시기 바랍니다.

5-2. 웹가드 진단시 - 진단 알람창

웹가드 진단창은 사용자가 진단창을 미클릭하면 10초 이후 자동적으로 접속 거부 설정이 구동됩니다.

진단된 객체가 있을 경우 검역소 이동이나 접속 차단 설정을 하면 아래와 같이 웹페이지 차단 정보가
활성화됩니다.



5-3. 웹가드의 문제점

기본적으로 웹가드는 위험요소를 가진 객체를 시스템에 유입전에 차단하기 때문에 제작사에서는 사용
을 권장하는 기능입니다. 특히 나중에 다시 언급하겠습니다만 실시간 감시나 수동 검사에서 진단된
객체를 처리하는 기능이 타 유명 제품에 비해 미흡한 안티버에서는 위험요소를 사전에 차단하는 것이
매우 중요하기 때문에 웹가드같은 기능은 타 제품에 비해 중요성이 더 높다고 생각합니다.

그렇지만 웹가드는 네트워크에서 유입되는 객체들을 AV 엔진에서 검사하는 구조 때문에 네트워크 대역
폭이 감소되는 문제를 있습니다. 쉽게 말해 인터넷의 다운로드 속도가 감소하는 문제인데, 이는 100MB
급 광랜이 보급된 국내에서는 더욱 문제가 됩니다.

이러한 대역폭 감소 효과를 줄이기 위해 Avira에서는 MIME 타입과 특정 확장자를 검사에서 제외시키는
방법 등을 기능에 추가하고, 트래픽 검사가 진행되는 포트를 웹브라우저에서 사용하는 포트로 제한하여
인터넷 사용시 다운로드 속도 감소를 피하기 위해 다각적인 노력을 기울인 것으로 보입니다.

개인적으로는 웹브라우저를 통한 웹서핑 등에서 몇 가지 파일 확장자와 특정 사이트를 검사 제외시키는
등 약간의 설정을 추가하면 웹가드를 사용할 때와 안할 때에 다운로드의 속도차이는 크게 없는 것으로
파악하고 있습니다.

그렇지만 uorrent같은 네트워크 연결을 많이 필요로 하는 P2P 프로그램 사용시에 문제가 발생하는 것
을 확인하였습니다. 이는 여러 프로그램에 의해 네트워크 연결이 많아지면 동일한 문제가 발생합니다.

보통 XP나 비스타 OS의 TCPIP.sys 파일을 수정하여 아웃바운드 연결의 횟수 제한을 풀어 사용하는
분들이 많을 거라 생각합니다. 특히, uorrent같은 프로그램은 내부 설정에서 연결 가능 횟수를 늘려주면
속도 향상에 약간 도움되는 부분도 있어서, 이러한 프로그램을 사용하는 분들은 거의다 횟수 제한을
풀어두으리라 생각됩니다. 저 또한 tcpip.sys를 수정한 후 utorrent의 환경 설정에서 연결 제한을 50으로
늘려 두고 사용합니다.

그렇지만 안티버의 웹가드를 사용하면서 utorrent같은 p2p프로그램에서 연결 횟수를 8 이상으로 높여
사용하게되면 심각한 렉 현상을 겪게 됩니다. utorrent에서 받는 파일의 다운로드 속도는 변함이 거의
없지만 utorrent 구동시점에서 외부와 연결을 시도할 때 프로그램이 '응답없음' 상태로 지속되다가 연결
이 이루어지고 응답없음 상태에서는 네트워크 연결을 시도하는 다른 모든 프로그램들에서 네트워크
연결이 지연되는 현상이 발생합니다.

또한, utorrent가 아닌 다른 여러 프로그램에서 네트워크 연결을 시도하여 많은 수의 네트워크 연결이
활성화되면 역시 동일한 렉 현상이 발생합니다.

이것이 문제인 것은 utorrent나 웹브라우저가 아닌 다른 프로그램들이 네트워크 연결시 사용하는 포트
는 웹가드에서 감시를 진행하지 않는 포트라는 점입니다.


기술적인 부분은 알 수가 없지만 다운로드 속도와는 상관없는 이런 렉 현상은 웹가드의 감시 모듈이
구조적으로 네트워크 연결을 모두 감시하며 모든 포트와 연계되어 구동되기 때문이 아닌가 예상합니다.
기본적으로 방화벽처럼 웹가드의 감시 모듈이 모든 네트워크 연결을 중간에서 관리하되, 80번 포트같은
특정 포트에서만 입출입하는 트래픽을 AV엔진으로 넘기고 다른 포트들을 사용하는 트래픽은 그대로
통과시키는 구조라 생각됩니다. 따라서 비록 av엔진에서 검사를 진행하는 것은 아니지만 여러 네트워크
연결이 시도되면 웹가드 모듈에서 해당 네트워크 연결을 허용하는데에 걸리는 시간 때문에 렉이 발생한
다 볼 수 있을 것 같습니다.

이러한 렉 현상은 고속도로 톨게이트에서 하이패스 전용 도로와 비 전용 도로가 나뉘어 있어도 기본적
으로 차량들의 속도가 줄어드는 현상과 비슷한 경우가 아닐까 합니다. 

한가지 소소한 문제가 더 있는데, 탭방식 웹브라우저에서 한개의 탭에서 페이지 접속이 오래걸리는
경우 다른 탭이나 신규 탭에서의 페이지 연결 또한 딜레이가 된다는 점입니다. 이 역시 웹가드가 영향을
미치는 것으로 보입니다. 동일한 상황에서 웹가드가 비활성화된 상태라면 다른 탭들의 페이지 로딩에는
문제가 없습니다.


위와 같은 경우들은 시스템에 나타나지 않을 수도 있고 모든 사용자들이 겪는 일반적인 경우가 아닐 수
있습니다만 카스퍼스키의 웹트래픽 검사 기능에서는 이러한 문제가 발생하지 않는다는 것을 볼 때 안티
버의 웹가드 기능은 구조적으로 약간 문제가 있지 않나 생각합니다.


- 이상입니다.

반응형