반응형
HIPS 기반의 사전방역 보안 제품인 'DriveSentry 3.3' 제품을 간단하게 리뷰해보도록
하겠습니다.
저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 가지고
이 글을 작성하는 것이 아니므로, 이 글에 오류가 있을 수 있음을 밝힙니다.
하겠습니다.
저는 보안 전문가가 아니며 해당 프로그램에 대하여 전문적이고 기술적인 지식을 가지고
이 글을 작성하는 것이 아니므로, 이 글에 오류가 있을 수 있음을 밝힙니다.
▶ 보안 제품 리뷰 모음
1. 개요
이번에 소개할 DriveSentry는 2005년도에 영국과 미국에 기반을 두고 창립한 신생 보안 업체입니다.
업체명을 제품명으로 그대로 사용하고 있는 DriveSentry 3.3은 무료/유료 제품을 갖춘 상용 제품이며,
국내외에서 인지도는 거의 없는 제품입니다.
이 제품은 바제2 카페의 한 회원분께서 소개하여 주셔서 알게되었는데, 개인적으로 지금까지 다룬 일반
적인 보안 제품에서 벗어나 뭔가 색다른 제품을 경험해보기 위하여 리뷰를 계획하였습니다.
DriveSentry는 일종의 HIPS 기능을 바탕으로 어플리케이션을 통제하며, WhiteList(신뢰 항목)를 기준으
로 어플리케이션을 구분하여 자동적으로 시스템 접근 권한을 부여하도록 구성된 제품입니다.
DriveSentry에서 제공되는 Whitelist를 제공하는 HIPS 기능은 카스퍼스키의 System Security 기능이나
에프시큐어의 DeepGaurd 기능에서도 유사하게 보이고 있습니다.
USB 보안 제품도 제공하고 있으나 이번 리뷰에서는 따로 언급하지 않도록 하겠습니다.
- 홈페이지 : http://www.drivesentry.com/
- 다운로드 : http://www.drivesentry.com/AntiVirus-download-free-Firewall-products-for-computers.html
2. DriveSentry의 기능 분석
DriveSentry(이하 DS)는 'Anti-virus, Anti-Rootkit, Anti-Spyware' 기능을 실시간 감시 및 수동 검사 기능
으로 구현하고 있으며, 아래와 같은 4가지 특징을 갖고 있습니다.
① 네트워크 연결에 관하여는 통제하지 않고 있으며, 오로지 사용자 PC의 내부 시스템 접근만을 통제.
② WhiteList를 중심으로 하여 자동 처리를 기본 처리 방침으로 구현
③ WhiteList/BlackList 기능은 어플리케이션 구동시 DriveSentry 사용자들이 해당 어플리케이션의 실행
을 허용했는지 차단했는지에 대한 통계치로 구분
④ 악성코드 DB를 이용한 실시간 감시 및 수동 검사를 지원하며, 이는 HIPS 기능의 약점을 보완하기
위한 수단으로 제공, 기본적으로 사전 방역 기능에 초점을 맞춘 제품.
통합형 형태의 제품을 접하다가 이 제품이 제공하는 기능 항목을 보면 다소 당황스러울 수 있습니다.
그러나 신생업체의 제품으로 점차적으로 발전하고 있는 제품이라는 것과 시그니처 엔진이 주가 아닌
HIPS 기능을 이용한 사전방역을 기본으로하는 제품임을 고려하면 기능의 단순함을 이해할 수도 있을 것
같습니다. 다만, 방화벽이 없는 것은 문제점이라고 생각되어지는데, 앞으로 방화벽을 따로 구현할 계획
이 있다고 제작사에서 밝히고 있습니다.
위의 4가지 특징들을 하나씩 살펴보도록 하겠습니다.
(1) DS의 HIPS 기능 설명 - ①번 항목
DS의 HIPS 기능은 Drive(파일과 폴더)에 대한 Write Access 탐지, 레지스트리 변경 등을 통제합니다.
보호되고 있는 항목들(폴더/파일/레지스트리)
폴더 보호는 보호 항목에 포함된 폴더내의 파일 등의 변경을 행동을 감시하고, 파일 보호는 파일 확장자
로 규정된 보호 항목에 포함된 확장자를 가진 파일을 수정하려는 행동을 감시하며, 레지스트리 보호는
규정된 레지스트리 값을 변경하려는 행동을 감시합니다. 이 3 가지의 보호 기능은 어플리케이션의
신뢰/비신뢰 여부에 따라 행동을 허용/차단합니다.
쉽게 말해서 Disk에 무엇인가 생성하려고 할 때를 감지 이를 통제하는 방식인데 개인적으로 HIPS에
관련된 지식이 부족해서 자세하게 설명할 수는 없지만, 코모도나 카스퍼스키의 HIPS 기능과는 상당히
기능적으로 차이가 있는 것으로 보입니다. 예를 들어 DS는 특정 프로세스가 다른 프로세스에 Hooking
하는 것을 통제할 수 없습니다. 또한, Low level Drive Access 등도 관리가 불가능 하다고 합니다만
Write Access 방식과의 차이점은 알 수가 없습니다.
물론 제작사에서는 DS의 Write Access 통제 기능만을 가지고도 루티킷의 '설치'까지도 예방할 수 있다
고 합니다. 어찌되었건 Disk에 무언가를 생성하는 것을 감지하기 때문입니다.
그러나 타사의 HIPS 기능에 비하면 빈틈이 많은 것으로 생각됩니다.
물론 실행시 AV 제품을 무력화 시키는 등의 강력한 기능을 갖춘 악성코드가 아닌 일반적인 Trojan 등은
HIPS 기능으로 거의 대부분 차단이 가능합니다. 이런한 것을 고려하면 제작사에서 말하는 사전방역의
개념을 갖춘 제품임에는 틀림없어 보입니다.
(2) WhiteList - ②, ③번 항목
HIPS 기능의 최대 단점은 사용자가 윈도우 시스템과 어플리케이션에 대해 비교적 상세한 정보를 알고
있어야 한다는 점인데, DS의 HIPS 기능은 WhiteList를 기반으로 하여 사용자 판단이 필요한 부분을
최소한 줄일 수 있도록 구성됩니다.
위의 그림은 신뢰할 수 있는(White List) 어플리케이션 기능을 보여주고 있습니다.
DS의 WhiteList 정보를 구성하는 기술을 'Tri-Security Technology' 라고 부르는데 여기서 'Tri'는
Good Program, Bad Program, Advisor Community Information을 의미합니다.
Good/Bad Program을 구분하는 것은 DS의 분석에 따라 이루어지는 것으로 생각되며 타사의 HIPS 기능
에도 사용되는 방법입니다. 특이한 부분은 Advisior Community Information 항목입니다. 이 기능은 DS를
사용하는 다른 사용자들이 해당 어플리케이션의 행동을 허용/차단한 정보를 수집하여 통계치를 작성 후
이를 바탕으로 현재 시스템에서 어플리케이션의 행동을 허용/차단하는 것입니다. 과거 안랩의 빛자루의 그레이제로 기능을 떠올리시면 될 듯 합니다.
White List를 통한 자동 규칙 생성
WhiteList에 DB가 없거나 DS의 설정에 따라 자동처리를 사용자 처리로 변경한 경우 아래와 같은
알람창이 활성화됩니다.
사용자 처리창 - 두 가지 모드가 존재, 현재 기본 모드
WhiteList를 기반으로 하는 것과 BlackList를 기반으로 하는 것은 별 차이가 없어 보이기도 합니다만,
개념적으로 큰 차이가 있습니다.
예를 들어 시그니처 DB를 이용한 백신 제품은 BlackList를 기반으로 합니다. BlackList를 기반으로하는
보안제품에서 DB(휴리스틱 진단도 포함)에 포함되지 않은 어플리케이션은 행동의 위험성에 상관없이
기본적으로 신뢰할 수 있는 요소로 인식되어집니다. 이와 반대로 WhiteList 기반의 제품은 DB에 포함되
지 않은 모든 어플리케이션은 잠재적인 위험 요소로 인식됩니다. 대체로 HIPS로 구분되는 행동기반탐지
방식은 Whitelist 기반의 기능이라 볼 수 있으며, DriveSentry 경우는 이를 구체적인 형태로 구현하고
있다고 생각합니다.
다만, DS에서 제공하는 WhiteList를 작성하는 방식 중 Advisior community 기능은 구조적인 문제가
있다고 생각합니다. .
과거 빛자루에 포함된 그레이제로 기능에 관하여 논의된 것을 바탕으로 설명해보도록 하겠습니다.
기본적으로 그레이제로나 DS의 Advisior 기능은 사용자들이 참여하여 특정 어플리케이션의 신뢰/비신뢰
여부를 판단하는 것입니다. 여기에는 세 가지 문제가 있을 수 있습니다.
첫째, 특정 어플리케이션은 사용자에 따라 신뢰/비신뢰 여부가 달라질 수 있다는 점.
둘째, 어플리케이션의 신뢰/비신뢰 통계치가 조작될 가능성이 있다는 점
셋째, 사용자의 대응에 오류가 누적될 수 있다는 점 등입니다.
첫 번째 문제는 애드웨어나, 리스키웨어 등 사용자와 환경에 따라 적용되는 기준이 달라질 수 있다는
것 때문에 발생합니다. 이와 달리 두 번째 문제는 의도적인 행위에서 비롯되는 데 특정 어플리케이션에
대해 일반적인 사용자의 대처 방법과 달리 의도적으로 위험요소가 있는 제품을 계속 허용하거나, 정상
적인 특정 제품을 계속 차단하는 등의 행위를 반복하여 위험요소 판단 기준을 왜곡시키는 것입니다.
물론, DS에서 현재까지 이러한 문제가 발생했던 경우는 없는 것으로 보이며, DS는 허용/차단 정보 수집
시에 계정 정보를 같이 수집하기 때문에 비정상적인 정보를 지속적으로 보내는 계정을 차단함으로써
비정상적 정보를 중간에서 차단할 수 있을 것으로 생각합니다.
세 번째 문제는 신규 어플리케이션에서 발생할 가능성이 있는데 신규 어플리케이션을 사용하는 초기
사용자들의 대응 오류로 잘못된 정보를 제공했을 때 이후 사용자들도 이를 바탕으로 잘못된 대응을
하게되어 결과적으로 위험요소로 판명나거나 그 반대의 경우가 일어나는 상황을 의미합니다.
이러한 문제가 있긴 합니다만, 앞으로 사용자와 DS 제작사 사이에 WhiteList에 대한 피드백 기능이
추가되고 활성화 된다면 크게 문제가 되지는 않아보입니다.
(3) DS의 시그니처 엔진과 HIPS - ④번 항목
DS의 시그니처 엔진의 실시간 감시 기능은 '보통'으로 설정된 알약의 실시간 감시 기능과 동일한
성능을 갖고 있습니다. 따라서 시그니처 엔진을 주 기능으로 사용하는 보안 제품과 비교하여 미흡하다
할 수 있습니다. 그러나 DS의 시그니처 엔진은 HIPS 기능을 보조하기 위한 기능으로 사용되기 때문에
큰 문제는 없다고 생각합니다만, 상황에 따라 다소 문제가 있을 수 있습니다.
기본적으로 악성코드는 자동 처리(삭제)가 됩니다만 설정에 따라 사용자 처리로 변경이 가능합니다.
악성코드를 시그니처 엔진에서 진단했을 때의 사용자 처리창
DB에 없는 악성코드 실행시 HIPS 기능으로 인한 차단
DS의 시그니처 엔진은 아래와 같이 수동 검사 기능도 지원합니다.
수동 검사 기능
그러나 압축 파일 설정을 비롯한 세부적인 설정도 없고, 특정 파일 포맷만을 검사하기 때문에
부가적인 용도로 밖에 사용할 수 없습니다. 특히, DS의 시그니처 엔진은 휴리스틱 기능이나
루트킷 탐지 기능이 없으므로 최근의 보안 제품과 비교하면 상당히 미흡할 수 밖에 없습니다.
재밌는 사실은 시그니처 엔진에서 진단되는 악성코드의 진단명의 상당수가 카스퍼스키의 진단명을
갖고 있다는 사실입니다. 제작사에서 악성코드 시그니처를 자체적으로 분석을 하는지 아니면, 아니면
다른 보안업체의 도움을 받고 있는지는 알수 없습니다만, 제작사에서 밝히는 악성코드 DB의 수는 약
250만개 가량 됩니다. 개인적인 테스트에서는 최근에 유포된 악성코드를 진단하지 못하나, 한 두달
전이나 그보다 오래된 과거 악성코드는 상당수 진단하는 것으로 나타났습니다. 결론적으로 DS는
시그니처 방식으로 일반적인 보안업체의 대응 속도나 진단율과 경쟁할 수 없다는 점은 명백합니다.
(5) 무료 제품 사용 및 라이센스 구입
DriveSentry는 라이센스의 구입과 관련되어 또 하나의 큰 특징을 갖고 있습니다.
다른 보안 제품들이 기본적으로 년 단위로 라이센스를 판매합니다만 DriveSentry 경우 한번 라이센스를
구입하게 되면 추가적인 구입이 필요없습니다. 무료 제품과 유료 제품의 차이는 자동 업데이트와 고객
지원 서비스를 유무입니다.
개인적으로는 무료 제품이더라도 모든 보안 기능을 사용할 수 있고, 업데이트가 다른 보안 제품에 비해
중요성이 떨어지는 제품이기에 무료 제품군을 이용하여도 큰 불편은 없을 것 같습니다.
부팅시에 업데이트 창이 뜨고 수동으로 업데이트를 시켜야 하는 점이 조금 불편합니다만
(라이센스 비용은 10달러 정도인데 신생업체로써 불가피한 사정도 있겠지만 라이센스 비용과 구입 방식을 가지고 수익을 제대로
낼 수 있을지는 조금 의문입니다.)
3. 총평
DriveSentry 홈페이지에 있는 선전 문구 중에 'living Symantec’s dream' 문구가 있습니다.
이는 2007년도 CBC News의 한 기사에서 언급된 WhiteList를 기반으로하는 보안 제품의 보호 방식을
의미합니다. 당시에는 HIPS 기능같은 행동기반탐지 기능이 개인용 제품에까지 대중화되던 시기는 아니
었으므로 일반 사용자에게는 상당히 새로운 컨셉의 개념이 아니었을까 생각해봅니다.
현재에도 HIPS 기능이 추가된 제품들은 많지만 이 기능이 주가되어 WhiteList를 기반한 보안 방식을
제공하는 제품은 흔하지 않은 것 같습니다.
DS는 방화벽과 기타 보안 기능들이 미흡하기도 하지만 HIPS 기능이 완벽하지 못하다는 점이 많이 지적
되는 것 같습니다. 개인적으로는 깊은 지식이 없어서 DS의 HIPS 기능이 보안적으로 얼마만큼의 성능을
갖고 있고 취약점은 얼마나 갖고 있는지는 알 수 없습니다만, 일반 사용자 입장에서 크게 부족하다고는
생각하지 않습니다.
다만, HIPS 기능으로 인해 전체적으로 아직까지 국내외 전문 보안업체에 제공하는 무/유료 제품과 비교
하면 사용 편의성 측면에서 많이 떨어지는 것이 사실입니다. 사용편의성도 문제자만 국내외에서 인기가
높은 무료 제품과 비교 했을 때 안정적인 성능을 보여주지는 못하는 것 같습니다.
DS의 시스템 퍼포먼스 감소는 상당히 적은 편입니다.
아래의 그림은 메모리 사용율 및 핸들, 쓰레드 수 등을 보여주고 있습니다.
DS는 다수의 기능들이 추가된 제품이 아니기 때문인지 상당히 가벼운 제품입니다. 필자의 컴퓨터도
오랜만에 가벼운 제품을 만난 듯 합니다. 다만 HIPS 기능의 특성상 어플리케이션 로딩시 순간적인
딜레이는 있습니다.
결론적으로 일반 사용자에게 추천하기에는(특히 국내에서) 아직 어려운 제품이라 생각합니다.
그렇지만 국제적인 보안 제품의 흐름이 DS의 컨셉과 유사한 부분을 갖고 있기에 국내의 보안 제품에서
도 이러한 컨셉의 기능이 추가되기를 희망해 봅니다. 또한, DriveSentry가 유명 보안 제품들과 어깨를
나란히 할 수 있을 만큼 발전하기를 바랍니다.
- 이상 DriveSentry 3.3의 리뷰를 마칩니다.
반응형
'▶ 보안 제품 리뷰 > :: ETC' 카테고리의 다른 글
노턴 제품의 네이버 카페 및 블로그 오진 문제 (21) | 2009.07.08 |
---|---|
Nod32 2.7 네이버 오진 제외하기 (10) | 2009.06.05 |
Eset Nod32의 제외 설정 문제 <재수정> - 네이버 오진 (12) | 2009.06.04 |
안랩의 클라우딩 백신 Ahnlab Smart Defense (beta) (10) | 2009.06.01 |
Norman security sute ScreenShot (6) | 2009.01.27 |