▶ 보안 제품 리뷰/:: Outpost

Outpost Firewall Free 2009 리뷰 (3-1) - Host Protection (HIPS)

물여우 2009. 7. 18. 20:03
반응형
Outpost 방화벽의 내부 시스템 보호 기능인 Host Protection 기능을 살펴봅니다. 

저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고,
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.


Outpost Firewall Free 2009 리뷰 모음

- 개요 및 설치 과정 메인 화면 UI


4. Host Protection

방화벽과 더불어 아웃포스트를 유명하게 만든 것은 내부시스템보호(호스트침입방지 - HIPS) 기능의 뛰어남입니다. HIPS 기능을 담당하는 Host Protection 항목은 4버전대에 추가된 아웃포스트의 자기 보호 기능과 더불어 사용자의 시스템에서 악성코드 등의 위험요소가 실행되는 위험 행동를 차단하는 목적을 지니고 있습니다.

무료 제품 중 HIPS 성능으로 유명한 Comodo같은 경우 방화벽과 HIPS과 분리되어 개별적으로 동작하는 것처럼 구성되어 있고, 카스퍼스키 경우 HIPS 기능 하부에 방화벽이 존재하는 것처럼 구성되어 있지만 아웃포스트는 방화벽이 상위 기능으로 HIPS 기능을 안고 있는 구조입니다.
 
참고 : 따라서 방화벽을 먼저 설명하는 것이 구조상 더 타당합니다만, 아웃포스트에서 호스트 보호 기능
         이 주된 관심 사항이므로 먼저 설명하도록 하겠습니다.

Host Protection 메인 화면


4-1. Host Protection (호스트 보호) - 환경 설정 메인 UI

호스트 보호의 환경 설정

아웃포스트의 환경 설정 모습입니다. 환경 설정의 각각의 메뉴는 다음과 같은 역활을 합니다.

① 아웃 포스트는 호스트 보호 기능의 감시 강도를 Maximum/Advanced/Optimal/Low 등 4 단계로
   구분하여 설정할 수 있습니다. 기본 설정은 Optimal이며 박스 왼편의 횔 단추를 이동하여 변경할 수
   있습니다. 각 단계에서 활성화되는 감시 항목은 사용자 설정에서 감시 항목을 다룬 후 설명하도록
   하겠습니다.

 감시 강도  설 명
 Maximum  Anti-leak의 모든 감시 항목이 활성화되며, 어플리케이션의 모든 변동 사항 및
 네트워크 
연결 시도를 탐지합니다.
 Advanced  Anti-leak의 모든 감시 항목이 활성화되며, 어플리케이션의 모듈 중 변경된 프로
 세스
(실행파일)의 변동 사항 및 네트워크 연결시도를 탐지합니다.
 (최초 실행시 경고)
 Optimal  Anri-leak의 특정 주요 감시 항목만 활성화되며, 변경된 프로세스의 변동 사항 및
 네트워크
연결 시도를 탐지합니다.
 Low  Anti-leak는 중지되며, 변경된 프로세스의 네트워크 연결 시도만을 탐지합니다.


② 호스트 보호의 감시 항목을 사용자가 지정할 수 있습니다. 

    호스트 보호는 Anti-Leak Control, Component Control, Critical System Object Control 등 3가지 항목의
    감시 기능이 있습니다. 대부분의 항목에 대한 세부적인 지식이 없으므로 소개하는 수준에서 설명을
    하도록 하도록 합니다. 아래의 세부 설명 항목을 참고하시기 바랍니다. 

참고 : Component - 특정 어플리케이션이 사용하는 모든 파일을 의미합니다. 실행 파일, Dll 등의
         module 파일들이 포함됩니다.


③ 호스트 보호에서 특정 어플리케이션들의 행동에 관여하거나, 어플리케이션에 대한 여러 가지 규칙을
    생성할 때 단순히 해당 프로세스에 대한 것만을 기록하는 것이 아니라 어플리케이션의 주요 프로세
    스 구동에 필요한 여러 컴포넌트(Component)에 대한 것도 기록을 해둡니다. 이러한 기록 정보를 바
    탕으로 컴포넌트가 변경되거나 새로운 것이 추가될 때, 이를 개별적으로 사용자에게 알릴 수 있으며
    사용자 처리를 요구하는 팝업창의 발생 빈도를 줄일 수 있습니다.

                                                 알려진 컴포넌트 보기 창

   이곳에 기록된 컴포넌트의 행동은 아웃포스트가 관여하지 않거나 정해진 규칙대로 관리하게 됩니다.
   따라서 의심되는 어플리케이션이나 파일을 실행했을 때 아웃포스트의 처리 창에서 잘못된 규칙을 형
   성했거나, 행동 처리를 잘못 했을 경우 어플리케이션 룰에서 해당 규칙의 삭제와 함께 이 부분에서
   관련된 컴포넌트를 삭제해야만 합니다.


4-2. Host Protection - 세부 기능 설명

(1) Anti-Leak : 악성코드가 방화벽을 우회하여 외부와 통신하려는 시도를 차단하기 위한 기능입니다.

* DDE (Dynamic Data Exchange) - 동적 자료 교환 : 어플리케이션 간 데이타 공유 및 전송을 위한 기능
  으로 악성코드는 이 기능을 통해 자신이 훔친 정보를 다른 프로세스를 통해 유출시키고자 합니다.
* OLE (object linking and embedding) - 객체 연계 매입 : 한글, 워드의 OLE 삽입 기능을 생각하시면
   됩니다. 악성코드의 특정 모듈이 다른 어플리케이션에 주입된 후, 타 어플리케이션이 실행될 대 자동
   으로 실행되어 네트워크 연결이 가능해집니다.


- 윈도우 시스템에 대한 직접적인 접근하는 행동은 주로 HDD나  메모리 등 하드웨어에 대한 직접적인
   접근이나 
하드웨어를 관리, 조정하는 드라이버 파일에 대한 접근을 의미합니다.
   또한, 시스템 커널에 대한 접근이나 커널 모드로 동작하는 드라이버의 설치 등을 감시/차단합니다.


- 키로거 기능의 경우 코모도의 D+처럼 키보드를 필요로 하는 모든 행동에 관여하는 것은 아닙니다.
   코모도는 키보드 입력을 시도하거나 키보드 드라이버 모듈에 대한 접근 시도 등 모든 키보드 관련
   행동을 탐지하지만 아웃포스트 경우 악의적인 목적의 키로거 모듈의 행동만을 선별적으로 판별하는
   것으로 
보입니다.


(2) Component Control : 어플리케이션을 구성하는 컴포넌트들의 변화를 탐지/차단합니다.


- Monitored component types은 변경된 어플리케이션의 컴포넌트가 네트워크 연결을 시도할 때를 감시
  하여 네트워크 연결을 허용할 것인지 차단할 것인지를 설정합니다. 
- Executables launch 항목은 단순히 실행 파일의 실행시 이를 허용할 것인지 차단할 것인지를 설정합니
  다. 이 항목 부분을 활성화한 후 실행을 허용하면 자동으로 네트워크 연결도 허용이 됩니다.


(3) Critical System Object Control : 주요 시스템 설정의 변경을 탐지/차단합니다.


- User custom category는 아웃포스트에 보호할 목록으로 지정된 레지스트리 키값과 폴더, 파일들과
   사용자가 지정한 제외 목록 등을 보호합니다. 해당 정보는 Machine.ini 파일에 저장되어 있습니다.

XP SP3 기준 Machine.ini 경로 : C:\Program Files\Agnitum\Outpost Firewall\Machine.ini

Machine.ini 파일도 첨부하니 아웃포스트의 보호 항목에 관심있는 분들은 살펴보시기 바랍니다.

- Shell Critical Entries : Shell open command는 특정 파일들을 실행할 때 자동으로 실행되는 프로그램들
   이 존재하는데 이를 설정하는 레지스트리 키값을 의미합니다. Shell Execute Hook은 Windows 쉘을
   통해 구동되는 프로그램들을 말하는데, 여러 실행 명령어를 중간에서 가로채거나 특정 프로그램의 실
   행을 차단할 수 있습니다. 악성코드들의 주요 공격 대상입니다.

- LSP는 Layered Service Provider의 약자로 WinSock과 WinSock을 호출하는 인터넷 응용 프로그램
  사이에 존재하는 모듈이라고 할 수 있습니다. 양자간의 통신을 중간에서 가로챌 수 있고 제어도 가능
  해서 악성코드가 자주 공격하는 부분입니다. 물론 최근에는 BHO를 이용하는 경우가 더 많이 이용한다
  고 하는
것 같습니다. BHO를 이용하는게 더 간단하다 합니다.

- Active Desktop : 액티브 데스크탑 기능은 네트워크 연결이 기본적으로 가능하기 때문에 이를 이용하
   는 악성코드가 존재합니다. 아웃포스트 경우 액티브 데스크탑 기능의 설정 변경을 탐지해서 원천적으
   로 악의적인 사용을 차단합니다


호스트 보호의 각 기능에 대해 위에서 설명한 것 외에도 실제 아웃포스트에서 관리하고 있는 부분은 더
많습니다. 그러나 도움말을 비롯해서 아웃포스트에서 제공하는 문서들에서 더 세부적인 내용을 찾기는 어려웠습니다. 이럴 때마다 전문적인 지식이 없다는 것이 상당히 아쉽습니다. 일단은 호스트 보호의 기능 설명에 대한 것은 여기서 마치도록 하겠습니다. 




- 이상입니다.
반응형