Avira Antivir Premium Security Suite 9 리뷰 (5-3) - 방화벽 : 프로그램 규칙 및 일반 설정

안티버 방화벽의 마지막 포스팅으로 Application rule 항목(프로그램 규칙)과 방화벽 자체
설정등을 살펴보도록 하겠습니다.

저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.



▶  Avira Antivir Premium Security Suite 9 리뷰 모음

- 개요 및 설치 과정 , 메인 화면 UI
- 실시간 감시 : 파일 실시간 감시(Guard), 웹감시(WebGuard), 메일감시(MailGuard)
- 수동 검사
- 방화벽 : 기본 UI , 세부 규칙 설정



8-3. 프로그램 규칙 - Application Rules

안티버 방화벽의 프로그램 규칙은 방화벽의 존재를 가장 직접적으로 사용자에게 보여주는 기능이라 생
각합니다. 프로그램 규칙 항목은 시스템 내부의 프로세스(프로그램)들과 외부의 시스템과의 네트워크
연결을 제어합니다.

기본적으로 Adapter rule의 규칙들이 사용자 시스템과 외부 시스템을 나누는 기준이 되지만, 개별적인
프로세스들을 효과적으로 관리하기 어렵기 때문에, 프로세스들의 효율적인 관리를 위해 프로그램 규칙
이 존재합니다.

여담이지만 규칙 수정 후 반드시 Apply나 OK 버튼을 누르는 것을 잊지 마시기 바랍니다.

(1) 메인 화면

                                                프로그램 규칙 메인 화면

① 계정 별 프로세스 규칙 설정 : 안티버는 각각의 계정마다 개별적인 규칙 설정이 가능합니다.

현재 구동중인 계정보다 권한이 낮은 계정이라면, 계정 접속 없이도 바로 하반부에서 다룰 프로그램
규칙 추가 기능을 통해 규칙을 추가할 수 있습니다.  

② 프로그램 규칙 : 안티버는 프로세스가 구동되어 네트워크에 연결을 시도하면 자동으로 이를 감지
사용자에게 해당 프로세스의 연결을 허용할 지를 물어보게됩니다. 여기서 사용자가 설정한 규칙이
아래와 같이 저장되게 됩니다. 
 

사용자가 직접 추가하거나, 프로세스 구동시 팝업창을 통해 규칙이 지정되었을 시 안티버에서 가능한
프로그램 규칙은 위의 그림에서 모두 표현되었습니다. 안티버의 프로그램 규칙은 Mode와 Action 등 두
가지로 나뉘게 됩니다.

Mode는 해당 프로세스의 규칙들이 Adapter rule 규칙에 영향 여부를 결정하고 Action은 프로세스의 네트
워크 연결을 관리하는데 허용/차단/사용자에게 질문/고급 규칙 설정 등 4가지 관리 설정이 가능합니다.

Mode와 Action은 해당 프로세스의 규칙을 클릭하여 변경합니다.

ⓐ Mode

Privileged	해당 모드로 지정된 프로세스는 Adapter Rule의 규칙을 무시하고 프로그램 규칙의 설정대로 네트워크 연결이 이루어집니다.
Filtered	Adapter rule의 규칙을 먼저 적용받은 후 그 후에 프로그램 규칙을 적용받습니다. 따라서 좀 더 엄격히 네트워크 연결을 관리받게 되며 일부 방화벽 설정으로 인해 원활한 네트워크 연결이 이루어지지 않을 수 있습니다.

도움말에서는 모드에 대해 위와같이 설명하고 있습니다만, 개인적으로 확인한 바에 의하면 Privileged 에
서도 Adapter rule 규칙의 영향을 받습니다. 예를 들어 특정 IP와의 패킷 교환이나 특정 포트(80번 등)를 차
단시켰을 때 프로세스 규칙 상 연결이 허용되어 있어도 네트워크 연결이 이루어지지 않습니다. 버그라
고 보기에는 너무 큰 버그이기에, 버그는 아니고 어떤 특정한 규칙(Incoming,Outgoing을 제외한 일반 규칙)에
만 해당되는 것이 아닐까 예상하고 있습니다. 

ⓑ Action

Allow	프로세스의 네트워크 연결을 허용합니다.  이 경우 인/아웃바운드 모두를 허용하게 됩니다.
Deny	프로세스의 네트워크 연결을 차단합니다.
Ask	프로세스가 네트워크에 연결을 시도할 때마다 사용자에게 묻습니다. 다만 연결  허용 팝업창에서 사용자의 처리 저장에 체크하면 이후 자동으로 Allow/Deny로   변경됩니다.
Advanced	방화벽 설정에서 Basic이 아닌 Advandced setting을 활성화하였을 때에만 보이는  설정입니다. 사용자가 Adapter rule에서 세부 규칙들을 설정하 듯 프로그램에 대  한 세부 규칙을 직접 지정할 수 있습니다.

③규칙 생성/규칙 삭제/초기화

세 번째 항목으로 규칙의 추가와 삭제 그리고 최초 지정되었던 규칙으로 초기화를 시킬 수 있습니다.

규칙 추가 부분을 좀 더 살펴보도록 하겠습니다. Add application 버튼을 클릭하면 아래와 같은 설정창이
활성화 됩니다.

여기서 원하는 프로세스를 추가한 후 사용자가 두 번째 항목에서 mode와 Action을 지정하면 됩니다.
(초기 Filter-Ask 상태)

(2) 팝업창 및 Acvanced mode의 설정창

안티버의 방화벽은 텍스트 방식으로 규칙을 추가/수정 해야하기 때문에 다소 어려울 수도 있지만, 프로
세스에 대한 네트워크 연결 규칙 설정을 팝업창에서 규칙을 쉽게 형성할 수 있습니다. 안티버는 방화벽
에 자동 모드가 없기 때문에 사용자가 일일이 모든 것을 해결해야한다는 문제가 있습니다. 팝업창을 통
한 규칙 형성도 따지고 보면 대부분의 방화벽에서 가능한 것이기 때문에 특별히 점수를 많이 줄 수 있는
부분은 아닌 것 같습니다.

                                                     기본적인 방화벽 팝업창

             Show Details을 클릭했을 때의 팝업창 - 프로세스의 연결 주소와 정보를 보여줍니다.

Advanced를 클릭했을 때의 팝업창입니다. 해당 프로세스에 대해 Listen과 Traffic 연결 시도만 관리가
가능합니다.

한가지 다른 통합형 제품의 방화벽에서는 쉽게 볼 수 없는 기능이 하나 있는데 이는 Code injection 차단
기능입니다. Code injection은 쉽게 말해서 프로세스에 특정 기능을 지닌 dll 등의 모듈이 추가되어 구동
되는 것은 의미하는데, 악성코드는 이를 악용해서 쉽게 방화벽을 우회합니다. 예를 들어 IE에 특정 모듈
을 삽입시켜 IE를 통해 방화벽 규칙 상 합법적으로 정보를 유출할 수 있는 것입니다. 안티버에 이 기능이
추가되어 있다는 것은 상당히 고무적인 일이지만, 제가 확인해본 봐로는 개인용 전문 방화벽 제품에 포
함된 HIPS에 비해서 다소 성능이 떨어지는 것 같습니다.

8-4. 신뢰 업체 - Trusted Vendors

안티버에서는 규칙을 자동으로 설정해 주는 자동 모드는 없지만 위와 같이 신뢰 업체를 지정해서 일부
프로세스들의 네트워크 연결을 자동으로 허용하게 할 수 있습니다.

간혹 보안상의 이유로 위의 경우처럼 방화벽 제품들에서 신뢰 목록에 포함된 것들을 지우는 분들도 있
습니다만, HIPS 같은 내부침입방지 기능이 없는 방화벽에서는 프로세스에 관리만 가능함으로 별다른
효과는 없을 것이라 생각됩니다.

8-5. 환경 설정 - Setting

방화벽의 기본 설정을 조정합니다. Host file 변경 차단 기능은 가급적 사용하는 것이 좋아보입니다.

8-6. 팝업창 설정- Popup settings

방화벽의 팝업창에 대한 환경 설정입니다.

① 모자 관계로 설정되어 있는 프로세스들의 네트워크 연결 감시를 철저하게 합니다. 어떤 프로세스가
    네트워크의 연결을 시도할 때, 모 프로세스로 인하여 자 프로세스가 네트워크 연결을 시도할 때 이를
    구별하여 팝업창을 띄웁니다. 기본 설정은 체크가 해제되어 있지만 체크해두는 것이 보안상 더 좋습
    니다.

② 동일 프로세스가 서로 다른 네트워크 연결을 시도할 때마다 팝업창을 띄웁니다.
    그러나 제가 확인해 본 바로는 규칙이 이미 생성된 경우 복수의 팝업이 작동되지는 않았습니다.

③ 게임 모드에서는 팝업이 비활성화 됩니다.

8-7. 게임 모드 - Game mode

안티버의 게임 모드는 다른 방화벽의 게임 모드와는 약간 다릅니다. 안티버의 게임 모드는 기본적으로
설정된 방화벽의 규칙이 그대로 적용됩니다. 안티버의 게임모드는 알림 팝업창이 뜨지 않고 자동으로
처리되는 것과 규칙이 미 적용된 프로그램인 경우 자동으로(Filter Ask로 규칙 설정) 네트워크연결을 허
용하는 기능입니다. 따라서 어떤 프로세스를 게임 모드 하에서 구동시켰다 하더라도 이미 정해진 규칙
이 있는 이상 네트워크 연결에 대한 환경은 동일합니다.

처음 안티버를 사용하면서 살펴볼 때만 해도 게임 모드는 전체 화면을 이용하는 프로세스들이 구동되면
자동으로 활성화되는 것으로 생각했습니다만, 현재 리뷰를 사용할 때에는 사용자가 직접 활성화 시키지
않는 이상 활성화되지 않는 것을 확인하였습니다.

많은 분들에게 게임모드는 자동 활성화가 된다고 설명했는데 제가 잘못알고 있었던 것 같습니다.

다만 개인적으로는 게임 모드를 사용하지 않고 있습니다. 이유는 게임 모드 하에서 네트워크 연결이
순간적으로 끊기거나 버벅거리는 현상이 나타나기 때문입니다. 제 시스템의 문제일 수도 있겠습니다만,
살펴보면 방화벽에서 패킷을 시스템으로 넘기는 과정에서 뭔가 문제가 생기는 것 같아 보입니다. 정확
한 원인을 찾지는 못하였습니다만, 웹가드부터 방화벽까지 네트워크 관련 모듈들이 다소 불안정하지
않은가 하는 의심이 갑니다.



여기까지 게임모드까지 총 7항목으로 나누어 안티버의 방화벽을 설명하였습니다. 개인에 따라 호불호가
갈리겠습니다만 안티버의 방화벽은 저에게 맞는 스타일의 제품은 아닌 것 같습니다.


- 이상입니다.