▶ 보안 제품 리뷰/:: ETC

HIPS를 쉽게 이용할 수 있는 Zemana Antilogger 1.9.2 리뷰

물여우 2011. 7. 10. 16:35
반응형

 


각종 'Logger'를 전문적으로 진단하는 Zemana Antilogger를 소개합니다.



Zemana는 불가리아에 기반한 보안 업체입니다. Zemana는 이번에 리뷰할 사전 방역 제품인 Antilogger 제품으로 유명하며, 클라우드 진단을 이용한 보조 진단 프로그램인 Anti-Malware를 서비스하고 있습니다.

'AntiLogger'는 행동 기반 진단 기능을 이용하여 Keylogger와 Screen Logger 등 사용자 데이타를 탈취하는 악성코드의 행동을 차단, 사용자의 시스템을 보호하는 보안 프로그램입니다. 분류를 하자면 다소 제한적인 성능을 가진 좁은 의미의 HIPS를 포함한 사전 방역용 제품이라고 할 수 있습니다.

따라서 시그니처 진단이 중심이 되는 안티 바이러스를 보조하는 보안 프로그램이며, 제작사에 따르면 대부분의 안티 바이러스와 함께 사용할 수 있을 정도로 호환성이 좋다고 합니다. 여러 보안 제품과 함께 사용하는 것을 고려했기 때문인지, 지원하는 언어도 매우 다양합니다. 심지어 한글까지 지원합니다.


Zemana Antilogger(이하 안티로거)에서 제공하는 기능은 아래와 같습니다.

- Keylogger Protection : 사용자의 키보드 입력값을 훔치는 악성코드의 행동 차단
- Screen Logger protection : 사용자 화면을 캡쳐하여 유출하는 악성코드의 행동 차단
- SSL Logger protection : SSL(Secure Sockets Layer)를 통한 보안 연결을 시도할 때, 보안 연결을 위한
                                 암호화를 하기 전에 데이타를 유출하는 악성코드의 행동 차단
- Webcam Logger protection : 사용자 시스템에 설치된 웹캠을 이용하여 사용자 정보를 탈취하는 
                                 악성코드의 행동 차단
- Clipboard Logger protection : 복사(Ctrl+C)등을 위한 임시 저장소인 클립보드 내의 데이타를 탈취하
                                 는 악성코드의 행동 차단
- System Defense : 루트킷 설치나 DDL injection 등 시스템 보호를 위한 기타 HIPS 기능



1. 기능 설명 및 사용법

HIPS 기능은 일반적으로 '프로세스의 특정 동작을 감시->사용자에게 알림->차단' 순으로 사용하게 되는데, UI와 관리 항목 복잡도에 따라 편의성이 결정됩니다.

안티로거는 진단 시 나타나는 UI는 개인용 방화벽 등에 포함된 HIPS와 별 차이는 없지만, 사용자에개 요구하는 작업 처리의 수준이 낮고 관리 항목 부분이 매우 간단하게 구성되어 있습니다. 이로 인하여 제목에서 언급한 것처럼 '쉽게 HIPS를 이용할 수 있는 제품' 입니다.

보호 항목은 SSL 보호를 제외한 나머지 5개로 구성되어 있습니다. SSL 보호 기능은 그것 자체가 하나의 기능이기도 하지만, 다른 행동 기반 진단 기능들을 이용합니다.

SSL 연결 시에 데이타가 유출되는 장면-Zemana 홈페이지 출처


위의 그림은 SSL 연결 시에 암호화되기 전 데이타가 유출되는 모습을 나타내고 있습니다. 아래는 위와 같은 SSL 로거를 다른 진단 기능(여기서는 시스템 방어 항목)을 이용해서 진단하는 모습입니다.

SSL 로거가 실행시 진단되는 모습-Zemana 홈페이지 출처


 

1-1. 메인 화면


안티로거의 메인 화면입니다. 5개의 보호 기능 정보를 총괄하고 있으며, '시작/중지' 버튼으로 보호 기능을 활성화 비활성화 할 수 있습니다. 하단 부분에는 현재 허용된 프로그램(프로세스, DDL, SYS 등 시스템 파일 포함)들의 수와 허용된 객체의 이름이 표시되고 있습니다.

5개의 보호 기능 또한 각각 메인 화면과 동일한 구조를 갖고 있습니다.




1-2. 진단 팝업창 및 사용법

5개의 보호 기능에서 감시하는 행동이 감지되면 아래와 같은 팝업창이 나타납니다. 이때, 디지털 인증서의 존재 여부와 자체 화이트 리스트에 포함 여부 등이 고려되서 '안심/의심' 정보가 표시됩니다.

아래는 디지털 인증 등의 존재로 '안심' 판정을 받는 경우입니다.



'상세 정보 보기'를 클릭하면 아래와 같이 프로세스와 인증서 정보 등을 살펴볼 수 있습니다.


아래는 '의심' 판정을 받았을 때의 팝업창입니다.


세부 정보 보기 모습



사용법은 다른 HIPS와 동일합니다. 진단창 내의 프로세스 이름과 파일명을 살펴본 후 신뢰할 수 있는 객체라면, 실행을 허용하면 됩니다. 이때, 하단 부분의 '이 결정을 규칙에 추가 및 기억하기'를 체크하면 사용자의 처리 내역이 규칙화되어 저장되고 이후 동일 프로세스에게 항상 적용됩니다. 

1-3. 진단 규칙 관리


사용자가 특정 객체의 행동을 '허용/차단'한 내역은 '규칙' 항목에 저장됩니다.


한 가지 아쉬운 것은 허용/차단 항목을 수정할 수 없다는 점입니다. 규칙을 수정하려면 규칙을 삭제(우클릭 삭제 항목 클릭)한 후 프로그램을 실행시켜 다시 규칙을 생성해야합니다. 간단한 항목인데 다소 아쉬운 UI입니다. 

규칙 항목과 별도로 '격리' 항목이 따로 존재합니다. 이는 확실하게 키로거 등의 악성코드로 진단된 객체를 격리하는 공간입니다. '로그' 항목은 작업 처리 내역이 저장되는 항목입니다.



 

1-4. 환경 설정




'일반 설정'에서는 언어와 부팅시 자동 시작, 디지털 인증 및 신뢰 리스트 사용 등을 설정할 수 있습니다. 또한 SSL 로거와 사운드 레코더 악성코드 차단 기술 등을 활성화 할 수 있습니다.

안티 사운드 레코더는 사용자 시스템에 설치된 마이크 등을 이용해 사용자의 음성 등을 탈취하는 악성코드의 행동을 차단하는 기능입니다. 해당 악성코드의 활동은 늦게나마 기사에서 이슈가 되기도 했습니다. 최근에는 노트북 등에 웹캠과 마이크가 기본적으로 내장되기 때문에 Trojan 등과 함께 사용되곤 합니다.


개인적으로 테스트 하고 싶었으나, 관련 샘플을 구하지 못해 어떤 방식으로 동작하는지는 확인하지 못하였습니다.


'보안 작동' 항목은 디지털 인증 여부에 따른 자동 허용 등을 관리합니다. 리뷰 여건 상 인증 관련 항목들을 모두 사용자 처리와 자동 차단 등으로 설정했습니다. 일반적으로 사용할 때에는 굳이 이런 설정을 할 필요는 없습니다. 특히, '인증서 없음' 항목은 절대로 '자동 차단'으로 설정하지 않기를 바랍니다. ^^

한가지 하단 부분의 빨간 박스 부분은 개인적으로 체크하고 사용하기를 권장합니다. 한글화가 조금 이상하게 되었는데, 마지막 항목도 모든 키로거에 대해 인증서 무시(즉, 항상 사용자 알림) 기능입니다.


나머지 환경 설정은 별다른 내용이 없어 스샷으로 남깁니다.

 

 


 

2. 성능과 한계


안티 로거는 안티 바이러스와 방화벽 기능이 존재하지 않는 순수한 HIPS 기능입니다. 그러다보니 각종 테스트는 물론 Matousec등의 사전 방역 테스트에 사용되지도 않고 있어 성능에 대해 객관적인 자료는 찾기가 어렵습니다.

안티로거에서 제공하는 HIPS 항목들은 사실 다른 개인용 방화벽의 HIPS와 거의 동일합니다. 키로거 등에 기능이 특화되어 있고, 나머지 기능들은 시스템 방어에 뭉뚱그려 포함되어 있지만, 세부적으로 관리하는 항목이 차이날지언정 기본적으로 감시하는 항목은 거의 유사합니다.

그러나 감시 항목이 유사하다고 해서 성능이 유사한 것은 아닙니다. 동작되는 수준과 감시 명령어, 이를 차단 관리할 수 있는 수준 등이 다르기 때문입니다.

실제로 악성코드 샘플로 테스트를 하다보면 코모도나 피시툴즈처럼 '안티 바이러스 없이도 시스템을 보호할 수 있다.' 의 수준이 절대 아닙니다.

테스트 여건 상 Sandboxie를 사용하긴 했지만 아래의 테스트 결과를 보면, 안티로거는 단순 보조 제품이지 안티바이러스를 대체하거나 안티 바이러스급의 비중을 가질 제품이 아니라는 것을 알 수 있습니다.

테스트는 test.exe와 test2.exe라는 악성코드 샘플 두 개로 진행하였습니다. 이 중 Test.exe는 아예 진단이 되지 않았으며, test2.exe는 생성 라이브러리의 코드 인젝션은 차단하였으나 드라이버 파일 생성 및 로딩 등을 전혀 차단하지 못하였습니다.

test2.exe 차단 모습


아래는 test.exe 파일이 차단없이 실행된 것을 나타냅니다.


아래는 test.exe(빨간색)와 Test2.exe(파란색)으로 인해 생성된 악성코드들의 모습입니다.

사실 오래된 샘플과 신규 샘플, 총 10개로 테스트를 진행할 생각이었는데, 처음 두 개 샘플(구형)에서 테스트를 마쳤습니다. 기본적으로 시스템 방어 항목에서 대부분 차단해야할 행동들이지만, 테스트 상으로 거의 차단하지 못하는 것을 확인할 수 있었습니다. 아쉽게도 위 항목들은 코모도나 피시툴즈과 같은 방화벽 제품의 HIPS기능으로 모두 차단 가능합니다.

여기서 유추해볼 수 있는 것은, 결국 키로거 등을 비롯한 특정 악성코드의 행동에 대해 특화되어 있을 지언정, 시스템 방어 항목은 타 제품의 그것보다는 성능이 떨어진다는 점입니다.

즉, 안티로거는 반드시 안티 바이러스 제품과 함께 사용해야하는 보조 제품이며, 사용자가 어느 정도 지식을 갖추고 있다면 개인용 방화벽에 포함된 전문적인 HIPS를 사용하는 것이 좋아 보입니다. 예를 들어 얼마 전에 리뷰한 피시툴즈는 안티로거만큼 쉽게 사용할 수 있습니다.



보조 제품이라는 점은 사실 제작사에서도 밝히고 있는 점입니다. 하지만 일반적인 상황에서 악성코드에 대한 방어 수준이 생각보다 다소 떨어지다보니, 추천한다면 '무료' 제공되는 개인용 방화벽 제품을 추천하고 싶습니다.

하지만 일반적인 HIPS 기능 탑재 방화벽보다 사용법이 쉽다는 점, 호환성 부분에서 훨씬 유리하다는 점(테스트 해본 봐로는 게임가드를 비롯해서 보안 제품과의 충돌이 거의 없었습니다.)등 은 이 제품만의 장점입니다. 시그니처 진단 위주의 국내외 무료 제품들과 함께 사용한다면 시너지 효과를 낼 수 있다고 봅니다.

비록 유료 제품이지만, 라이센스 프로모션이 종종 열리므로 큰 문제는 아닙니다. :)


- 이상입니다.

반응형