▶ 보안 제품 리뷰/:: Symantec

노턴 360 (Norton) 방화벽의 고급 이벤트 모니터링

물여우 2009. 7. 9. 22:27
반응형
노턴 360의 방화벽의 HIPS 기능에 대해서 살펴봅니다.

저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 지니고
이 글을 작성하는 것이 아니므로 이 글에 오류가 있을 수 있음을 밝힙니다.


이전에 포스팅한 Matousec의 사전 방역 테스트 결과를 살펴보면 의외로 노턴의 성적이 높은 것을 볼 수 있습니다. 그러나 기본적으로 노턴의 방화벽은 자동 모드로 구동되며, 고급 이벤트 모니터링이라는 HIPS 기능이 비활성화되기 때문에 어떠한 HIPS와 관련된 팝업창을 볼 수 없고, Matousec의 결과와 같은 성능을 보여주지도 못합니다.



더 좋은 성능을 내기 위해서는 고급 이벤트 모니터링 기능을 활성화시켜야 하지만 노턴 방화벽의 좋은 기능인 자동 모드를 해제하고 모든 것을 사용자가 처리해야한다는 문제가 발생합니다. 그러나 높은 보안 수준을 원하시는 분들에게는 약간의(?) 불편함은 문제가 아닐 것입니다.
 
고급 이벤트 모니터링을 활성화하기 위해서는 아래의 그림처럼 방화벽 설정으로 진입합니다.

1. 설정

2. 방화벽 설정


3. 고급 설정 탭

노턴 자체의 도움말에 약간 설명을 추가하였습니다.


코모도나 아웃포스트같은 전문적인 개인 방화벽 제품의 HIPS와 비교하면 상대적으로 관리하는 행동의 수가 적은 것을 알 수 있습니다. 그러나 노턴에는 SONAR라는 행동기반탐지 방식의 실시간 감시 기능이 있기 때문에 드라이버 모듈을 설치한다던가 윈도우 시스템 파일의 변조나 레지스트라 변경 등의 행동을 방화벽의 HIPS에서는 다루지 않습니다. 기본적으로 네트워크 연결을 시도하기 위한 행동들만을 탐지한다고 보시면 됩니다.

고급 이벤트 모니터링에서 관리되는 행동이 발견되면 아래와 같은 팝업창을 활성화시킵니다.

개인적으로 조금 의아한 것은 규칙을 생성해서 이후 동일한 행동을 무조건 허용하는 '항상 허용' 이라는 처리 방법은 존재하지만 항구적인 차단을 위해 규칙을 생성하는 '항상 차단' 이라는 처리 방법이 없다는 것입니다. 아래 그림처럼 허용된 프로세스 또는 모듈 파일들에 대한 규칙만 형성되고 차단 규칙은 존재하지 않습니다. 노턴의 정책이라면 정책이지만 이해가 안가는 부분입니다.

방화벽의 HIPS 기능은 위와 같이 악성코드의 실행과 상당수의 행동을 차단하지 못합니다.
그러나 아래와 같이 네트워크 연결을 시도하려는 행동에 대해서 이를 감지함으로써 해당 프로세스(악성코드)의 네트워크 통신을 차단할 수 있습니다.


이런 경우 차단 규칙이 형성 안되는 것이 상당히 문제입니다. 저 악성코드를 노턴에서 진단하지 못하는 이상 지속적으로 해당 네트워크 연결 시도를 계속 실행하기 때문입니다.


참고로 노턴의 방화벽의 일반적인 팝업창의 모습입니다. '항상 차단' 규칙이 보이는 것을 보면 왜 HIPS 부분에는 해당 처리 방법을 추가시켜두지 않았는지 의아할 뿐입니다.




- 이상입니다.
반응형