▶ 보안 제품 리뷰/:: DefenseWall HIPS

DefenseWall HIPS v2.56 간단 리뷰 (1) - 개요 및 보호 컨셉

물여우 2009. 12. 31. 14:17
반응형
호스트 침입 방지 기능을 갖춘 색다른 보안 프로그램 DefenseWall HIPS에 대해서 살펴보도록 하겠습니다.




1. 개요 및 설치

"DefenseWall HIPS" 제품은 "SoftSphere Technologies" 라는 업체에서 개발한 프로그램입니다. 이 제품은 방화벽을 기초로 HIPS 기능들이 추가된 코모도나 아웃포스트같은 제품들과 달리 HIPS 기능만을 전문적으로 제공합니다. 

SoftSphere Technologies는 2002년도에 설립되었다고 하는데 유료 제품임에도 널리 알려지지는 않았던 것 같습니다. 방화벽 기능이 없기 때문에 Matousec의 테스트에도 볼 수가 없어서 국내 사용자들 사이에서는 모르는 분들도 많이 계실 것 같습니다.

해당 제품에 대한 정보는 최근에 러시아의 보안 연구 단체인 Anti-Malware Test Lab에서 실시한 Zero-Day 공격에 대한 방어 테스트에서 볼 수가 있습니다. 웹사이트를 통한 제로데이 공격 차단을 측정하는 것인데 다른 쟁쟁한 제품을 물리치고 최고 성적을 거두었습니다. 특정 부분만을 측정하는 테스트이긴 해도 어느 정도 수준을 갖춘 HIPS 기능을 갖추었다고 생각할 수 있을 듯 합니다.

이번 리뷰에서는 기즈모 사이트의 프로모션을 통해 받은 2.56 버전의 1년 라이센스 제품을 살펴봅니다.


▶ 설치 과정

설치 과정은 매우 간단합니다.



설치 파일을 다운받은 후 실행시키면 아래와 같이 4단계만 거치면 설치가 끝납니다. 라이센스에 대한 동의와 설치 경로에 대한 것만 설정하시면 됩니다.



설치가 끝나면 재부팅을 요구하는데 재부팅 후에 라이센스 등록을 요구합니다.

기즈모 사이트의 프로모션은 라이센스 키를 주는데 위의 그림처럼 버튼을 클릭하여 키를 지정하면 아래와 같이 라이센스 등록이 성공적으로 마무리됩니다.


정상적으로 프로그램이 실행되면 트레이에 (
:일반 상태,
 :보호 모드 종료 상태,
 :비신뢰(UnTrusted)된 프로그램들이 실행된 상태) 등의 트레이 아이콘이 보입니다. 세 번째 아이콘에서 보이는 숫자는 실행된 비신뢰 프로그램의 수입니다.


2. 시스템 보호에 대한 기본 컨셉

DefenseWall HIPS는 샌드박스와 가상화 기술을 기초로 시스템을 보호합니다.

사용자의 시스템에서 실행되는 프로세스(크게는 프로그램)들을 신뢰(Trust)/비신뢰(UnTrust)로 구분하여 신뢰 프로그램은 정상적으로 사용자 시스템에서 구동되지만 비신뢰 프로그램은 DefenseWall의 관리하에 있는 가상화 공간에서 실행됩니다. 물론 사용자가 보기에 가상화 환경과 정상 환경의 구분은 없습니다.

비신뢰된 프로그램은 아래와 같이 가상화 환경에서 구동되고 있음을 보여줍니다.

비신뢰 프로그램의 구동시의 모습



여기서 주의할 점은 DefenseWall에서 이야기하는 비신뢰 프로그램은 악성코드 등 사용자 시스템를 직접적으로 위협하는 것 뿐만아니라 악성코드의 유포나 감염 위험을 야기하는 정상적인 프로그램을 포함한다는 것입니다.

기본 지정된 비신뢰 프로세스와 실행시 비신뢰 항목으로 자동 분류된 프로세스들



IE를 비롯한 MS의 프로그램들과 일반 프로그램이 추가되는 것을 볼 때 신뢰/비신뢰에 대한 개념이 지금까지 리뷰한 제품들과는 다르다는 것을 알 수 있습니다.

중요한 것은 신뢰 또는 비신뢰로 지정된 프로그램들은 정상/가상환경에서의 구동이라는 차이점은 있지만 기본적으로 실행이 정상적으로 이루어진다는 것입니다. 물론, 비신뢰 프로그램의 경우 시스템의 주요 폴더에 파일을 생성하거나 레지스트리의 주요 항목에 키가 생성되는 경우 등 몇 가지 시스템 보호 조건에 따라 사용자 처리를 요구하게 됩니다. 여기서 위험하다 판단될 경우 Terminate 기능으로 프로세스를 강제 종료시키게 됩니다. 그러나 이러한 처리 요구는 타 HIPS 기능에 비해 매우 적은 편입니다. 

사용자 처리창



매우 적은 수의 사용자 처리 항목을 살펴보면 실질적으로 사용자 시스템을 보호하기가 상당히 어렵다는 것을 알 수 있습니다. 그렇다면 사용자의 시스템 보호는 어떻게 이루어질까요?
 
이에 대한 답은 가상화 환경에 있습니다. 앞서 언급한 것처럼 비신뢰된 프로그램은 가상화 환경에서 구동이 된다고 하였는데 아래와 같이 해당 프로그램(프로세스)이 실행되면서 생성또는 변조한 파일/폴더/레지스트리 키 값이 모두 기록, 저장됩니다.

비신뢰 프로그램들의 파일/레지스트리 생성에 대한 정보



이렇게 기록된 프로세스의 들의 행동 정보는 사용자가 해당 프로그램이 위험하다 여겨지는 경우 사용자 시스템에서 바로 "제거"할 수 있습니다. 또한 위험하다 판단된 프로세스를 강제 종료할 수 있습니다.


종합해보면, 가상화 환경에서 프로세스의 행동 결과물들을 관리함으로써 사용자시스템을 보호하는 방식입니다. 보안상 매우 위험하다 판단되는 프로세스 행동에 대해서는 사용자 처리를 통해 1차적으로 처리하도록 하지만 이는 부차적인 차단 방법입니다.

HIPS의 기능이 프로세스의 실행과 행동 차단에 중점을 맞추고 있는 코모도나 아웃포스트와 같은 제품들과는 확연히 구분되는 방식으로, 행동 차단에 샌드박스와 같은 가상화 기술을 접목하였다 보시면 됩니다. 

개인적으로는 DefenseWall의 방식이 보안상 더 안전하다고 생각됩니다. 이는 코모도와 같은 제품이 갖춘 HIPS 기능의 단점 때문인데 이전에 작성한 현재 HIPS 기능들의 한계점 이라는 글을 참고하시기 바랍니다.

간단히 이야기해보면 HIPS 기능은 실행 시점에서의 차단이 중요하기 때문에 사용자가 프로세스의 행동을 허용한 경우를 되돌릴 수 없다는 것과 인젝션된 DLL 파일의 경우처럼 이미 실행되어 활성화된 경우에는 처리가 불가능하다는 것이 단점입니다. 물론 세부적으로 컨트롤하면 어느 정도 차단이 가능합니다. 그러나 일반적으로 실행된 프로세스의 행동 차단과 강제 종료 기능들도 타 HIPS 포함 제품들내에 존재하지만 프로세스들의 행동 결과물에 대한 처리는 불가능하다고 볼 수 있습니다. 이와달리 가상화 환경을 이용해서 DefenseWall은 실행되어진 프로세스의 행동 결과물들을 일괄적으로 처리하여서 보안상 위험이 되는 요소들을 제거할 수 있습니다. 가상화 환경이 사용자의 처리 방법과 상관없이 보험 역활을 해주기 때문에 좀 더 안전한 구조라고 볼 수 있겠습니다.


기본적으로 SandBoxIE와 같은 제품과 유사한 면이 있지만, 샌드박스ie는 단순히 가상화 환경을 제공하는 것에서 머무르지만, 기본 설정 상태에서 신뢰/비신뢰 항목이 자동으로 분류되며,  프로세스의 강제 종료 기능 및 각 프로세스에 대한 개별적인 행동 관리를 통해 시스템 침입 위험을 진단/차단하는 등 전문적인 보안 제품이라는 점이 큰 차이입니다.





DefenseWall 기본 컨셉은 매우 훌륭하다 생각합니다. 중요한 것은 실제적인 차단 성능인데 이 부분은 비교 테스트 항목이 적어서 판단하기 어려운 부분이기도 합니다. 안티바이러스테스트랩의 제로데이 관련 테스트는 기본적으로 웹사이트를 통한 악성코드 유포 차단을 테스트한 것인데 DefenseWall은 웹브라우저가 기본적으로 비신뢰 항목으로 지정되어 있어 웹브라우저가 수행하는 모든 것을 되돌릴 수(RollBack)있어 해당 테스트에서는 약간의 유리함이 있지 않았을까 예상됩니다.

성능의 뛰어남 여부를 떠나서 일단 악성코드가 실행되었을 경우, 실행 시에 행동을 바로 차단하느냐, 프로세스의 차단과 더불어 실행 결과물을 차후에 제거하느냐에 대한 것은 사용자에 따라 호불호가 갈릴 듯 합니다. 

물론, 일부 악성코드는 HIPS 기능을 우회하기도 하기 때문에 악성코드는 실행 전에 차단하는 것이 가장 좋다 생각합니다.

다음 편에서는 UI와 환경 설정 등을 살펴보도록 하겠습니다.
반응형