반응형
DefenseWall HIPS의 UI와 환경 설정 등을 살펴보도록 하겠습니다.
3. UI 및 환경 설정
디펜스월은 UI가 텍스트 방식으로 구성되어 있습니다. HIPS 기능이 탑재된 프로그램들이 사용하기 어려운게 사실이긴 하지만, 특히 디펜스월은 UI 구조와 사용 방법이 일반 사용자들에게는 조금 어렵게 느껴질 것으로 보입니다.
디펜스월은 "Stop attack", "Untrusted applications", "Event log", "Advanced" 등 4개의 메뉴가 존재합니다.
3-1. Stop Attack - 공격 차단
디펜스월의 첫 번째 기능 메뉴로 비신뢰 항목으로 지정된 프로세스들을 강제 종료(Terminate)하고 프로세스들의 행동 결과물들을 관리, 제거하는 항목입니다.
Stop atack 화면
(1) File and registry tracks - Rollback
해당 기능에서 신뢰 프로세스들이 생성한 파일, 폴더, 레지스트리 정보를 열람할 수 있고, 사용자가 이 결과물들에 대해서 허용(가상화 환경에서 일반 호스트 환경으로 이동), 삭제 등의 조치를 취할 수 있습니다.
"Allow"는 선택한 리스트 항목 하나만 허용, "Allow all"은 현재 저장된 리스트 항목들을 모두 허용하는 버튼입니다.
반대로 "Delete"는 선택한 리스트 항목 하나를 시스템에서 제거, "Rollback to"는 현재 저장된 리스트 항목들을 모두 시스템에서 제거하는 버튼입니다.
디펜스월의 메인창이 활성화된 경우 저장된 리스트 항목이 실시간으로 기록되지 않게 되는데, 이런 경우에 "Refresh" 버튼을 이용하요 정보를 최신으로 갱신합니다.
(2) You have (#) untrusted processes running on your computer
File and registry tracks 창
"Allow"는 선택한 리스트 항목 하나만 허용, "Allow all"은 현재 저장된 리스트 항목들을 모두 허용하는 버튼입니다.
반대로 "Delete"는 선택한 리스트 항목 하나를 시스템에서 제거, "Rollback to"는 현재 저장된 리스트 항목들을 모두 시스템에서 제거하는 버튼입니다.
디펜스월의 메인창이 활성화된 경우 저장된 리스트 항목이 실시간으로 기록되지 않게 되는데, 이런 경우에 "Refresh" 버튼을 이용하요 정보를 최신으로 갱신합니다.
(2) You have (#) untrusted processes running on your computer
실제 창에서는 "Trusted and Untrusted Process Details"라는 이름의 기능으로 현재 활성화된 신뢰/비신뢰 프로세스들의 정보를 보여줍니다. 사용자가 실행을 원치 않는 프로세스가 존재할 경우 "Terminate" 버튼을 이용하여 강제 종료 시킬 수 있습니다.
나중에 다시 언급하겠지만 기본적으로 디펜스월은 신뢰/비신뢰 프로그램을 자동으로 결정합니다. 프로세스의 행동으로 결정하는 것은 아니고 신뢰 프로세스에 대한 리스트가 내부에 존재하는 것으로 보입니다.
엔프로텍트의 보안 모듈이 자동으로 신뢰 항목에 추가되어 있는데, 이는 사용자 시스템에 설치된 후 자동으로 서비스에 등록되어 실행된 경우에만 해당됩니다. 웹브라우저에서 액티브x 형식으로 바로 설치된 경우 웹브라우저가 비신뢰 항목으로 지정되어 있기 때문에 그 하부에서 실행된 보안 모듈은 비신뢰 항목으로 지정됩니다.
(3) Stop Attack
신뢰/비신뢰 프로세스의 실행 여부 확인
나중에 다시 언급하겠지만 기본적으로 디펜스월은 신뢰/비신뢰 프로그램을 자동으로 결정합니다. 프로세스의 행동으로 결정하는 것은 아니고 신뢰 프로세스에 대한 리스트가 내부에 존재하는 것으로 보입니다.
엔프로텍트의 보안 모듈이 자동으로 신뢰 항목에 추가되어 있는데, 이는 사용자 시스템에 설치된 후 자동으로 서비스에 등록되어 실행된 경우에만 해당됩니다. 웹브라우저에서 액티브x 형식으로 바로 설치된 경우 웹브라우저가 비신뢰 항목으로 지정되어 있기 때문에 그 하부에서 실행된 보안 모듈은 비신뢰 항목으로 지정됩니다.
(3) Stop Attack
해당 버튼은 현재 실행된 비신뢰 프로세스를 모두 강제 종료시키는 버튼입니다.
지금부터 설명하는 모든 버튼은 반드시 "Apply" 버튼을 눌러야 적용이 됩니다.
(1) Add - 비신뢰 항목 추가
Add 버튼을 클릭하면 아래와 같이 다양한 메뉴가 활성화됩니다.
(2) Remove - 비신뢰 리스트에서 삭제
제외 목록에 추가가 되면 비신뢰 리스트에는 여전히 포함되어 있지만 신뢰 항목으로 여겨집니다.
이 기능은 나중에 다룰 Advanced 항목에서의 "File and Registry Protection Excludes"와는 다른 기능입니다. 아래에서 자세히 언급하겠습니다만 Advanced 항목의 제외 항목은 비신뢰 리스트에 포함된 프로세스들에게 자유롭게 변경이 가능하도록 허락된 항목으로 제외 항목에 추가된 객체들은 여전히 비신뢰 항목으로 여겨집니다.
디펜스월의 모든 행동에 대한 로그 기록을 열람할 수 있습니다. 블로그 워터마크가 삽입된 위치에서 세부적인 정보가 보여집니다.
디펜스월의 고급 기능의 사용과 환경 설정을 조정하는 항목입니다.
(1) Option - 환경 설정
환경 설정 하단부에 따로 존재하는 5개의 환경 설정은 아래와 같습니다.
사용자가 설치한 다른 웹브라우저가 있다면 위 항목에 추가가 됩니다.
(2) File and Registry protection Exclude - 파일 방지 보호에서 제외된 항목 리스트
"Defense Excludes"라고도 불리는 기능으로 앞서 잠깐 설명하였던 것처럼 고급탭의 제외 설정은 신뢰/비신뢰 항목과 관계된 것이 아니라 비신뢰 프로세스가 접근하여 읽기/쓰기/수정 등의 변경이 이루어지는 것을 허락한 파일들을 관리하는 항목입니다.
프로세스의 원활한 구동을 위해 위 항목들에 대한 접근이 허락되었지만 리스트 항목내의 항목들도 비신뢰 항목으로 구성되어 있기 때문에 항목 변경으로 인해 문제가 발생시 롤백시킬 수 있습니다.
"Add" 버튼으로 사용자가 변경을 허락할 항목을 추가할 수 있고 "Remove" 버튼으로 리스트에서 삭제할 수 있습니다. "Erase"버튼은 객체 자체를 시스템에서 삭제합니다.
(3) Secure Files - 보호 파일/폴더 설정
해당 항목에 설정된 파일 및 폴더들은 비신뢰로 지정된 객체들의 접근/수정 등의 변경 행위를 차단합니다.
"Excludes"에 리스트에 포함된 보호 파일, 폴더을 추가하면 비신뢰 프로세스들의 변경이 가능해집니다.
(4) Download Areas - 다운로드 경로 설정
웹브라우저를 비롯한 비신뢰 프로그램들이 특정한 객체들을 다운로드할 때 위에 설정된 경로에 저장을 하게되면 자동으로 "Defense Excludes" 항목에 추가가 됩니다.
(5) Check for Update : 수동 업데이트 기능입니다. 기즈모 라이센스로는 사용 불가
(6) Password Protection : 디펜스월 사용 대한 비밀 번호 설정을 합니다.
(7) Resource Protection - 개인 정보 보호 기능
시스템 최적화 프로그램에서 종종 삭제하게 되는 개인 정보 관련 항목들을 설정 관리하는 항목입니다. 디펜스월은 각 프로세스들의 활동을 감시하다가 임시 작업 폴더나 레지스트리에 개인 정보 값들이 남는 것을 발견하면 기록, 보호하게 됩니다. 여기서 감시하는 것은 신뢰, 비신뢰 항목과 관계없이 시스템 상에서 실행되는 모든 객체들에 대한 리소스를 보호하게 됩니다. 보호되는 값들은 비신뢰 항목의 객체로 인한 변경이 차단되는 것으로 보입니다.
특정 프로세스의 추가, 프로세스별로 보호할 리소스 추가 등이 자유롭게 이루어지긴 하지만 디펜스월에서 자동으로 처리하는 것을 그대로 사용하셔도 큰 문제는 없습니다.
아래 그림은 리소스 보호 기능이 동작하면서 보호되는 리소스에 대한 접근에 대한 허용/차단(프로세스 강제 종료)를 물어보는 팝업창의 모습입니다.
앞서 언급한 것처럼 UI 구조가 텍스트 기반이고 각종 기능들이 다소 복잡하게 연계되어 있어 사용이 쉬운 제품은 아닙니다. 그러나 코모도류의 HIPS 탑재 방화벽 제품을 사용해본 분이라면 환경 설정과 몇가지 사용법만 숙지하게 되면 사용이 그리 어려울 것 같지는 않습니다.
개인적으로는 롤백 기능에서 각 프로세스별로 결과물이 따로 배치가 되도록 UI가 변경되면 관리가 좀 더 효율적이지 않을까 합니다. 물론 현재도 해당 항목에 대한 프로세스 정보를 보여주고 있지만, 시각적으로 더 확실한 구분이 필요합니다. 이제 겨우 일주일 정도 디펜스워을 사용했지만 롤백 리스트가 엄청나게 늘어나있어 하나하나 확인이 매우 불편합니다.
세부적으로 기능이 나뉘어져 있다고도 볼 수 있지만 비신뢰 기능에 대한 제외 설정들이 너무 복잡하게 구성되어 있다고 생각됩니다. 고급 옵션의 제외 설정과 비신뢰 항목 관리의 제외 설정(Enable/Disable, Exclude, Run as trusted) 등은 처음에는 잘 이해가 안기는 항목이기도 합니다. 다음 리뷰에서 설명하겠지만 마우스 우클릭 쉘 메뉴를 통해서만 신뢰/비신뢰 상태 변화가 가능합니다. 이러한 기능이 제품내의 항목에 포함되어 있으면 위와 같은 복잡한 형태의 제외 설정이 필요하지 않을 것 같습니다.
기능 및 환결 설명은 이쯤에서 마무리하고 다음 리뷰에서 간단한 사용법을 살펴보도록 하겠습니다.
3-2. Untrusted Application - 비신뢰 항목 관리
디펜스월에서 프로세스가 아닌 어플리케이션이라는 명칭을 해당 기능에 사용했는데, 이는 단일 프로세스 뿐만 아니라 프로그램 설치 파일을 비롯한 실행 파일들, 비신뢰 객체들이 생성한 폴더와 일부 파일들을 모두 관리하기 때문입니다.
비신뢰 항목 관리창
지금부터 설명하는 모든 버튼은 반드시 "Apply" 버튼을 눌러야 적용이 됩니다.
(1) Add - 비신뢰 항목 추가
- Add Process : 현재 실행된 프로세스들을 비신뢰 항목으로 추가합니다. 신뢰 목록에 존재하는 프로세스도 비신뢰 항목으로 추가가 가능합니다.
- Add Application : 단일 파일을 비신뢰 항목으로 추가합니다. 실행 파일만 가능하다 설명하고 있지만 Bat 파일 및 압축 파일도 추가할 수 있습니다.
- Add folder : 선택한 폴더 내부의 파일들을 모두 비신뢰 항목으로 추가합니다.
- Add from build-in list : 디펜스월에서 지정한 비신뢰 항목들을 추가합니다. 여기서 지정되는 비신뢰 항목들은 모두 정상 프로그램들로 어떠한 방식이든 악성코드 유포에 이용될 수 있는 프로그램들이 지정됩니다.
디펜스월에서 기본적으로 지정한 build-in list 는 아래를 클릭하셔서 확인하시기 바랍니다.
(2) Remove - 비신뢰 리스트에서 삭제
단순히 비신뢰 리스트에서 선택한 항목을 삭제하는 버튼입니다. 차후에 해당 프로세스가 실행되는 경우 비신뢰 프로세스의 행동 결과물로 다시 동일한 객체가 생성될 때 비신뢰 항목으로 다시 추가가 됩니다.
(3) Run as Trusted - 신뢰 항목으로 변경하여 실행
(3) Run as Trusted - 신뢰 항목으로 변경하여 실행
해당 버튼은 선택한 항목을 신뢰 상태로 실행하는 버튼입니다. 그러나 해당 버튼으로 실행된 경우에만 신뢰 상태이고 비신뢰 항목에는 여전히 해당 항목이 존재합니다.
(4) Enable/Disable - 일시적 비신뢰 항목 지정 제외
(4) Enable/Disable - 일시적 비신뢰 항목 지정 제외
선택한 항목을 Enable로 두면 비신뢰 항목으로 유지한다는 뜻이고, Disable로 두면 신뢰 항목으로 여긴다는 뜻입니다. 어떤 상태로 두던지 비신뢰 리스트에는 포함되어 있습니다.
(5) Move item - 리스트내의 항목들 위치 변경
(5) Move item - 리스트내의 항목들 위치 변경
디펜스월 기능은 보호 방식의 구조적인 문제로 비신뢰 항목이 매우 많아질 수 밖에 없습니다. 사용자가 특별히 관리하는 항목들을 해당 버튼을 통해 위 아래로 위치를 조정해서 원하는 위치에 둘 수 있습니다.
(6) Excludes - 비신뢰 항목에서 제외
(6) Excludes - 비신뢰 항목에서 제외
제외 목록에 추가가 되면 비신뢰 리스트에는 여전히 포함되어 있지만 신뢰 항목으로 여겨집니다.
이 기능은 나중에 다룰 Advanced 항목에서의 "File and Registry Protection Excludes"와는 다른 기능입니다. 아래에서 자세히 언급하겠습니다만 Advanced 항목의 제외 항목은 비신뢰 리스트에 포함된 프로세스들에게 자유롭게 변경이 가능하도록 허락된 항목으로 제외 항목에 추가된 객체들은 여전히 비신뢰 항목으로 여겨집니다.
3-3 Event Log - 로그 기록 보기
로그 기록 보기창
디펜스월의 모든 행동에 대한 로그 기록을 열람할 수 있습니다. 블로그 워터마크가 삽입된 위치에서 세부적인 정보가 보여집니다.
3-4. Advanced - 고급 기능 및 환경 설정
디펜스월의 고급 기능의 사용과 환경 설정을 조정하는 항목입니다.
(1) Option - 환경 설정
환경 설정
- Alarm nitifications via tray icon : 트레이 아이콘의 색상을 변경시켜 경고 표시를 좀 더 확실하게 합니다.
- Automatically run applications from removable sources(USB) as untrusted : USB 장치에서 실행되는 자동 실행 프로세스를 모두 비신뢰 항목으로 실행합니다. 반드시 체크하여 사용하기를 권장합니다.
- Consider CD/DVD drives as untrusted : CD/DVD 등의 외부 매체에서 실행되는 파일을 비신뢰 항목으로 실행합니다.
- Periodically check applications from bulit-in list and set them as untrusted : 디펜스월에서 기본적으로 지정한 비신뢰 프로그램들이 시스템에서 비신뢰 항목으로 실행되고 있는지를 검사합니다.
- Automatically remove items from rollback list : 30일 이상된 Rollback 항목의 리스트를 자동으로 삭제합니다. 그러나 파일 및 레지스트리 키는 제거되지 않는다고 설명하고 있습니다. 롤백 리스트에 포함된 대부분의 항목이 파일과 레지스트리 키인데 큰 의미가 있는 기능은 아닌 것 같습니다.
- Run with Windows : 윈도우즈 부팅시 자동으로 디펜스월이 실행됩니다. 반드시 체크해야할 항목입니다.
- Automatically check for updates : 자동 업데이트에 대한 설정입니다. 기즈모 라이센스에서는 사용할 수 없습니다.
- Run files from local area network sources as untrusted : 내부 네트워크에서 실행되는 객체를 비신뢰 항목으로 지정합니다.
- Show logs : 로그 기록에 대한 설정입니다. 체크를 해야 로그 기록이 저장됩니다.
- Protect plugins folder from untrusted processes manipuations : 자세한 설명이 없으나 디펜스월의 자기 보호 기능에 대한 설정 같습니다. 반드시 체크하기를 권장합니다.
환경 설정 하단부에 따로 존재하는 5개의 환경 설정은 아래와 같습니다.
- Hotkeys : 단축키를 설정합니다.
위에 설정된 기능 4개만 단축키를 지정할 수 있습니다. 단축키 변경은 "Modify"버튼을 통
해 가능합니다.
- Set dialogs to Default state : 설명상으로는 해당 버튼을 클릭하면 모든 프로그램의 dialog parameters 값을 초기화 시킨다고 합니다.
- Go Banking/Shopping mode : 나중에 언급할 인터넷 뱅킹을 비롯한 쇼핑과 관련된 전문 모드에서 실행시킬 웹브라우저를 결정합니다.
사용자가 설치한 다른 웹브라우저가 있다면 위 항목에 추가가 됩니다.
- Popup windows options : 고급 탭에 존재하는 리소스 보호 기능과 관련된 이벤트를 팝업으로 보여줍니다.
- Save DefenseWall HIPS Settings : 디펜스월의 각종 항목의 설정 외부에 저장합니다. 저장되는 파일 포맷은 레지스트리 키 입력 파일(*.reg)입니다.
(2) File and Registry protection Exclude - 파일 방지 보호에서 제외된 항목 리스트
변경 방지 제외 설정창
"Defense Excludes"라고도 불리는 기능으로 앞서 잠깐 설명하였던 것처럼 고급탭의 제외 설정은 신뢰/비신뢰 항목과 관계된 것이 아니라 비신뢰 프로세스가 접근하여 읽기/쓰기/수정 등의 변경이 이루어지는 것을 허락한 파일들을 관리하는 항목입니다.
프로세스의 원활한 구동을 위해 위 항목들에 대한 접근이 허락되었지만 리스트 항목내의 항목들도 비신뢰 항목으로 구성되어 있기 때문에 항목 변경으로 인해 문제가 발생시 롤백시킬 수 있습니다.
"Add" 버튼으로 사용자가 변경을 허락할 항목을 추가할 수 있고 "Remove" 버튼으로 리스트에서 삭제할 수 있습니다. "Erase"버튼은 객체 자체를 시스템에서 삭제합니다.
(3) Secure Files - 보호 파일/폴더 설정
해당 항목에 설정된 파일 및 폴더들은 비신뢰로 지정된 객체들의 접근/수정 등의 변경 행위를 차단합니다.
보호 파일, 폴더 설정
"Excludes"에 리스트에 포함된 보호 파일, 폴더을 추가하면 비신뢰 프로세스들의 변경이 가능해집니다.
(4) Download Areas - 다운로드 경로 설정
웹브라우저를 비롯한 비신뢰 프로그램들이 특정한 객체들을 다운로드할 때 위에 설정된 경로에 저장을 하게되면 자동으로 "Defense Excludes" 항목에 추가가 됩니다.
(5) Check for Update : 수동 업데이트 기능입니다. 기즈모 라이센스로는 사용 불가
(6) Password Protection : 디펜스월 사용 대한 비밀 번호 설정을 합니다.
(7) Resource Protection - 개인 정보 보호 기능
리소스 보호 기능
시스템 최적화 프로그램에서 종종 삭제하게 되는 개인 정보 관련 항목들을 설정 관리하는 항목입니다. 디펜스월은 각 프로세스들의 활동을 감시하다가 임시 작업 폴더나 레지스트리에 개인 정보 값들이 남는 것을 발견하면 기록, 보호하게 됩니다. 여기서 감시하는 것은 신뢰, 비신뢰 항목과 관계없이 시스템 상에서 실행되는 모든 객체들에 대한 리소스를 보호하게 됩니다. 보호되는 값들은 비신뢰 항목의 객체로 인한 변경이 차단되는 것으로 보입니다.
특정 프로세스의 추가, 프로세스별로 보호할 리소스 추가 등이 자유롭게 이루어지긴 하지만 디펜스월에서 자동으로 처리하는 것을 그대로 사용하셔도 큰 문제는 없습니다.
아래 그림은 리소스 보호 기능이 동작하면서 보호되는 리소스에 대한 접근에 대한 허용/차단(프로세스 강제 종료)를 물어보는 팝업창의 모습입니다.
리소스 보호 기능으로 인한 팝업창
앞서 언급한 것처럼 UI 구조가 텍스트 기반이고 각종 기능들이 다소 복잡하게 연계되어 있어 사용이 쉬운 제품은 아닙니다. 그러나 코모도류의 HIPS 탑재 방화벽 제품을 사용해본 분이라면 환경 설정과 몇가지 사용법만 숙지하게 되면 사용이 그리 어려울 것 같지는 않습니다.
개인적으로는 롤백 기능에서 각 프로세스별로 결과물이 따로 배치가 되도록 UI가 변경되면 관리가 좀 더 효율적이지 않을까 합니다. 물론 현재도 해당 항목에 대한 프로세스 정보를 보여주고 있지만, 시각적으로 더 확실한 구분이 필요합니다. 이제 겨우 일주일 정도 디펜스워을 사용했지만 롤백 리스트가 엄청나게 늘어나있어 하나하나 확인이 매우 불편합니다.
세부적으로 기능이 나뉘어져 있다고도 볼 수 있지만 비신뢰 기능에 대한 제외 설정들이 너무 복잡하게 구성되어 있다고 생각됩니다. 고급 옵션의 제외 설정과 비신뢰 항목 관리의 제외 설정(Enable/Disable, Exclude, Run as trusted) 등은 처음에는 잘 이해가 안기는 항목이기도 합니다. 다음 리뷰에서 설명하겠지만 마우스 우클릭 쉘 메뉴를 통해서만 신뢰/비신뢰 상태 변화가 가능합니다. 이러한 기능이 제품내의 항목에 포함되어 있으면 위와 같은 복잡한 형태의 제외 설정이 필요하지 않을 것 같습니다.
기능 및 환결 설명은 이쯤에서 마무리하고 다음 리뷰에서 간단한 사용법을 살펴보도록 하겠습니다.
반응형
'▶ 보안 제품 리뷰 > :: DefenseWall HIPS' 카테고리의 다른 글
| DefenseWall HIPS v2.56 간단 리뷰 (3) - 사용법 및 총평 (8) | 2010.01.03 |
|---|---|
| DefenseWall HIPS v2.56 간단 리뷰 (1) - 개요 및 보호 컨셉 (8) | 2009.12.31 |