무료 방화벽 : ZoneAlarm Free Firewall 리뷰 (3) - 프로그램 관리

존알람의 핵심 기능인 방화벽과 프로그램 관리 항목을 살펴보도록 하겠습니다.

▶ ZoneAlarm Free Firewall 리뷰

- 무료 방화벽 : ZoneAlarm Free Firewall 리뷰 (1) - 제품 소개/설치 과정/ UI
- 무료 방화벽 : ZoneAlarm Free Firewall 리뷰 (2) - 방화벽
- 무료 방화벽 : ZoneAlarm Free Firewall 리뷰 (3) - 프로그램 관리
- 무료 방화벽 : ZoneAlarm Free Firewall 리뷰 (4) - 안티피싱
- 무료 방화벽 : ZoneAlarm Free Firewall 리뷰 (5) - 로그 보기 / 기타 기능
- 무료 방화벽 : ZoneAlarm Free Firewall 리뷰 (6) - 총 평

---



두 번째 리뷰인 방화벽 항목에서 계속 이어집니다.

3-2. 프로그램 관리 설정 (Program Control)

프로그램 관리 설정은 방화벽 설정과 유사하게 Main과 Programs 항목으로 구분되어 있습니다. Main에서는 프로그램별 규칙을 설정하기 위한 기본 설정을 조정하며, Programs 항목에서는 개별 프로그램들의 규칙을 직접 관리하는 항목입니다. 방화벽 설정과 마찬가지로 유료 버전에 비해 매우 단순하게 구성되어 있습니다.

(1)  Main 설정

---

Main 항목은 프로그램 관리(Program Control)과 SmartDefense Advisor 항목으로 구성되어 있습니다. 전자는 시스템에 설치된 존알람 프로그램에서 자체적으로 시스템에 설치된 프로그램에 대한 네트워크 연결 규칙을 생성하는데 적용되는 감시 강도를 설정하는 항목이며, SmartDefense Advisor(이하 SDA)는 클라우드 기술을 이용한 것으로 존알람의 서버에 위치한 DB를 통해 시스템에 설치된 프로그램의 신뢰/비신뢰/미분석 등을 규정, 프로그램 관리 항목에 자동으로 규칙을 추가하는 기능입니다. SDA는 이번 무료 버전의 특징적인 기술로서 존알람에서 의욕적으로 내세운 차세대 기술입니다.

Main 설정창

① Program Control(프로그램 관리)
프로그램 관리 항목은 존알람에서 프로그램을 관리할 때 적용되는 감시 강도의 기본 설정을 조정합니다. 

- High : 무료 버전에서는 사용할 수 없습니다. 유료 버전에만 있는 각종 시스템 감시 모듈이 모두 활
  성화 됩니다. 감시 강도가 가장 민감하게 설정되어 프로그램의 다양한 활동을 사용자가 직접 관리할
  수 있습니다.
- Med : 프로그램들의 인터넷 접속과 서버 권한 획득에 대한 처리를 사용자에게 요구하거나, SDA에
   의해 자동으로 처리되도록 합니다.
- Low : 자동 학습 모드로 네트워크 연결을 시도하는 대부분의 프로그램들을 사용자 처리 과정없이
   허용하며, 해당 프로그램들의 연결 패턴에 대한 기록을 수행합니다. SDA는 자동으로 비활성화 됩
   니다. 
- Off : 프로그램 관리 항목을 비활성화합니다.  

② SmartDefense Advisor (클라우드 기반 프로그램 신뢰 측정)
앞서 언급한 것처럼 SDA는 클라우드 기술에 기반한 기능입니다. 당연하지만 네트워크가 연결되어 있어야만 동작합니다. 존알람은 클라우드 기술을 이용(기본적으로 MD5 해쉬값을 이용)하여 존알람 이용자들이 보내오는 각종 프로세스 정보와 프로세스 행동 패턴에 대한 정보를 수집하여, 신뢰 또는 위험 프로그램을 규정하고, 이 정보를 SDA 기능을 통해 사용자에게 피드백합니다. 미처 수집되지 않은 프로그램의 경우 미분석 프로세스로 사용자에게 알려집니다. 

SDA의 장점은 신뢰/위험 프로그램에 대한 정보를 바탕으로 개별 프로그램에 대한 규칙을 자동을 생성할 수 있다는 점입니다. 최근들어 방화벽 기능에 자동 처리 기능이 많이 포함되고 있지만 기본적으로 디지털 인증에 기반한 자동 처리이며, 악성코드가 디지털 인증을 복사하거나 따라할 수 있기 때문에 다소 위험한 것이 사실입니다. 게다가 특정 제품의 경우 자체 엔진을 통한 자동 처리가 불안정해서, 인증없는 파일이나 악서코드들의 네트워크 연결을 허용하는 경우도 종종 있습니다. 이에 반해 SDA를 기반한 자동 처리는 단순한 디지털 인증이나 자체 엔진의 알고리즘에 따라 이루어지는 것이 아니라 존알람의 분석을 이용한 시그니처 기반 기능이기 때문에 타 제품의 자동 처리에 비해 더 안전하다 할 수 있습니다.

SDA의 단점은(클라우드 기술을 이용한 기능들 자체의 단점이기도 한데) 사용자가 적은 프로그램이나 신규 또는 버전업된 프로그램의 경우 분석이 안되어 있어 미분석 프로그램으로 지정될 때가 많다는 것입니다. SDA를 통한 자동 처리에서도 이런 미분석 프로그램에 대한 규칙은 사용자가 직접 처리해야 합니다. 특히, 존알람의 경우 태생이 이스라엘이었고, 주로 사용되는 곳이 북미를 비롯한 유럽인 곳을 감안하면 국내에서 주로 사용되는 프로그램의 경우 대부분 SDA에서 미분석 자료로 표시될 수 밖에 없습니다. 이점은 SDA 기능이 국내 사용자들에게 크게 도움되지는 못한다는 것을 의미합니다. 실제로 국내에서 주로 사용되는 프로그램들(온라인 게임 및 한글, 메신져, 미디어플레이어 등등) 대부분이 미분석 자료입니다. 언젠가는 분석이 되겠지만, 분석 기간이 다소 긴 것으로 보여져 결과적으로 SDA가 큰 도움이 안됩니다.

▶ SDA 설정 항목
- Auto : SDA에서 분류된 프로그램 신뢰도에 따라 자동으로 규칙을 생성합니다. 기본적으로 팝업창이
  활성화 되지 않으며, 미분석된 프로그램의 경우에만 사용자 처리 팝업창을 생성합니다.
  일부 프로그램의 경우 인터넷 접속/서버 권한 항목의 구성이 달라지는 것으로 보입니다.
- Manual : 사용자가 직접 프로그램 규칙을 생성합니다. 사용자 처리 팝업창에 SDA를 통한 프로그램
  신뢰도 정보가 표시됩니다.
- OFF : SDA 기능 비활성화

▶ 고급 설정 (Advanced)
"Advanced" 버튼을 클릭하면 아래와 같이 MS 관련 프로그램에 대한 자동 규칙(신뢰:모든 연결 허용)의 적용 여부를 설정할 수 있습니다.

SDA의 고급 설정

- Allow Certified Microsoft programs to run automatically : 디지털 인증을 이용하는 것으로 보이며 MS 관련
  프로그램의 네트워크 연결을 모두 허용합니다.


③ Automatic-Lock
특정 조건에 따라 네트워크 연결을 자동으로 차단합니다. "On"으로 설정하면 아래와 같이 "Custom" 버튼을 통해 네트워크 연결을 차단할 특정 조건을 설정할 수 있습니다.

자동 잠금 설정창

▶ Lock Mode to USe When Enabled (잠금 모두 활성화 조건 설정)
- Lock after (분 설정) minutes of inactivity : 사용자의 PC 사용이 특정 시간동안 없을 때 작동(1-99분)
- Lock when screensaver activates : 화면 보호기가 작동하면 잠금 모드 작동

▶ When Lock Engages (잠금 모드시 프로그램 연결 설정)
- Allow pass-lock programs to access the Internet : 무료 버전에서는 의미 없음, 패스락 설정이된 프로
  그램의 경우는 잠김 모드에서도 네트워크 연결 허용
- Block all Internet access : 모든 네트워크 연결 시도 차단

※ 참고 : 트레이 우클릭 메뉴 중 Engages mode에 대한 설명
Engage mode는 자동 잠금 모드의 allow pass-lock 설정시와 동일하게 작동합니다. 사용자가 허락한 프로그램을 제외한 나머지 프로그램들의 네트워크 접속을 차단하는 기능으로 요약할 수있습니다. 프로그램 관리 규칙보다 우선 순위가 높아 사용자가 프로그램 규칙 상에서 "Allow"를 지정하였다 하더라도 Engage 모드 또는 Lock mode에서는 네트워크 연결이 불가능합니다. 그러나 사용자 허락을 지정하는 설정(Pass-lock)이 무료 제품에서는 빠져있어 Stop mode와 차이가 없습니다.

※ 참고 : 트레이 우클릭 메뉴 중 Game mode에 대한 설명
게임 모드는 타 제품의 그것과 마찬가지로 전체 화면이나 해상도를 바꿔 사용하는 프로그램을 사용할 때 존알람의 경고 및 알림 팝업창을 띄우지 않는 기능입니다. 그러나 존알람의 게임 모드는 전체화면 등의 이용시 자동으로 활성화되는 것이 아니라 사용자가 직접 실행을 해야하는 단점이 있습니다.

우클릭 메뉴의 게임모드를 클릭하면 아래와 같이 게임 모드 설정창이 활성화됩니다. 모든 연결에 대해 허용/차단 설정 버튼을 클릭하면 게임 모드로 진입합니다.

게임 모드 창

(2) Programs (개별 프로그램 규칙 관리 설정)

---

이 항목은 SDA 설정에 따라 자동(Auto)으로 네트워크 연결 규칙이 생성되거나, 사용자 처리(Manual)를 통한 규칙 생성된 규칙들을 관리하는 곳입니다. 규칙이 생성되면 모두 이곳에 기록되며, 사용자가 추후에 규칙을 변경할 수 있습니다.

Programs 설정창

프로그램 관리 항목은 SDA 설정/인터넷 연결 설정/서버 권한 설정 등 3가지 항목을 조정할 수 있습니다.
각각의 항목에서 마우스 좌클릭을 하면 설정 변경이 가능합니다. 기본적으로 모든 설정이 허용/차단 형태의 단순한 항목을 갖고 있으며, 개별 포트 또는 개별 IP 접속에대한 세부 설정은 불가능 합니다.

"Add" 버튼을 통해 규칙이 생성안된 프로그램에 대해 사용자가 직접 규칙을 생성할 수 있습니다.

▶ SDA 설정
- Auto : SDA를 통해 자동으로 규칙 생성
- Custom : SDA에서 프로그램 정보만 취함
- System : 시스템 프로세스인 경우로 대부분 연결 허용

▶ Access 및 Server 설정
- Allow : 연결 허용
- Block : 연결 차단
- Ask : 연결 시도시마다 사용자에게 알림

※ 참고 : Access 와 Server 항목의 차이
Server 항목은 쉽게 말해 인바운드 연결에 대한 설정입니다. 즉, 시스템에 설치된 프로그램이 외부에서의 응답 요구에 반응을 하느냐 마느냐를 설정하는 것입니다. 대부분의 프로그램의 경우 Server 항목에 대한 권한을 줄 필요가 없습니다.

3-3. 네트워크 연결 시도에 따른 팝업창

시스템에 설치된 프로그램 또는 시스템 프로세스의 네트워크 연결 시도시 활성화되는 사용자 처리 팝업창에 대해서 살펴보겠습니다.

아래는 기본적인 사용자 처리 팝업입니다. 규칙이 생성되지 않은 새로운 프로그램의 네트워크 연결시에 나타나는 팝업입니다. SDA가 활성화되어 있으면 가운데에 프로그램 신뢰도에 대한 정보를 얻을 수 있습니다. 신뢰 항목의 경우 녹색으로 사용자 처리가 "Allow"로 권장되며, 위험 프로그램의 경우 적색으로 "Deny"가 권장됩니다.

새로운 프로그램에 대한 팝업

아래는 여러 사용자 처리 팝업창의 모습입니다. 첫 번째의 경우 SDA에 아직 정보가 없는 미분석 프로그램일 경우 나타납니다. 세 번째의 경우 동일한 이름과 경로의 프로세스이나 버전업등의 이유로 프로세스가 바뀌었을 경우 나타나는 팝업입니다.

SDA가 사용되는프로세스 세부 정보를 알고 싶다면 "More info" 버튼을 클릭하면 됩니다. MD5값을 비롯한 다양한 프로그램 정보와 행동 분석 정보를 얻을 수 있습니다.

---

드디어 방화벽 항목에 대한 리뷰가 마쳤습니다. 사실상 존알람 무료 제품의 리뷰가 끝났다고 해도 과언이 아닙니다. 리뷰의 시초가 되었던 SDA(SmartDefense Advisor)는 현재 클라우드 기술이 각종 보안 제품에 추가되는 시점에서 방화벽 항목에 잘 적용된 모델로 생각됩니다. 비슷한 기능이 코모도를 비롯한 다른 제품에도 추가되어 있지만, 보안 업체의 분석 정보를 기반으로 하며, 네트워크 연결 규칙을 자동으로 생성할 수 있는 것은 아닙니다.

SDA에 대한 장단점은 앞서 언급했지만, 단점에 대해 한가지 언급할 부분이 더 있습니다. 이는 HIPS가 없는 방화벽 자체에 대한 문제입니다. SDA도 프로세스의 해쉬값을 기반으로 하여 신뢰 여부를 결정하는데악성코드가 다양한 방법으로 정상 파일을 통해 외부 연결을 시도하는 것을 차단할 수 없다는 점입니다. 예를 들어 DLL 인젝션 기법을 통해 강제로 정상 프로세스에 악성 dll파일을 인젝션 시키고, 이를 통해 외부와 연결을 시도했을 경우 차단이 불가능합니다. 애석하게도 존알람 무료 제품의 방화벽 및 SDA 기능만으로는 DLL 인젝션을 비롯해서, 시스템 내부에서 일어나는 각종 악성 행위를 차단하지 못합니다.

이런 점에서 유료 제품에만 존재하는 "OS Firewall"의 부재가 상당히 아쉽습니다. OS Firewall은 외관상 일종의 Behavior Blocker 기능이나 코모도, 아웃포스트에 포함된 HIPS 기능과 Behavior Blocker 중간에 있는 기능으로 이해하면 됩니다. 다소 민감하기 때문인데, 프로그램의 행동에 의심되는 패턴이 있다면 이를 탐지, 프로세스의 활동을 차단할 수 있는 기능입니다. 이런 기능들이 빠짐으로서 현재 존알람의 무료 방화벽은 DLL 인젝션을 비롯한 다양한 방화벽 우회 기술에 대항할 기능이 없습니다.


존알람 무료 방화벽은 HIPS 기능의 부재와 설정의 단순화로 방화벽에 대한 높은 지식없이도 다수를 차지하는 일반 사용자들이 쉽게 사용할 수 있는 제품이지만, 반대로 높은 수준의 보안을 원하거나 세세한 설정을 원하는 전문 사용자들에게는 어필하기 어려운 제품입니다. 이런 점에서 코모도, 아웃포스트, 온라인아머, 피시툴즈등 타 개인용 제품들의 무료 제품처럼 약간의 기능적 제한은 존재하나 핵심 기능들을 그대로 포함하고 있는 제품들에 비해 경쟁력이 상당히 떨어집니다. 이들 업체의 경우 핵심 기능을 제공하되, 더 많은 사용자를 확보하여 다양한 피드백을 받아 유료 제품에 적용하거나, 인지도를 높여 기업 시장 등에서 더 큰 이득을 얻는 정책을 쓰는 것에 비하면 체크 포인트사의 무료 제품에 대한 정책은 다소 아쉽다 생각됩니다. 


- 이상입니다.