▶ 보안 제품 리뷰/:: DefenseWall HIPS

DefenseWall HIPS v2.56 간단 리뷰 (3) - 사용법 및 총평

물여우 2010. 1. 3. 20:10
반응형
DefenseWall HIPS - 디펜스월 제품에 대한 마지막 리뷰입니다.




4. 간단한 사용법 소개

디펜스월은 사용자의 시스템에서 실행되는 객체를 신뢰/비신뢰 항목으로 나누어 관리하는 프로그램입니다. 신뢰 항목은 정상적으로 사용자 시스템에서 실행되지만 비신뢰 항목은 가상화 환경에서 실행되어, 사용자 시스템에서 행동한 내역(파일 생성, 변경, 레지스트리 키 추가, 변경 등)이 저장/관리하게 됩니다.

앞선 리뷰에서 기능 항목을 설명하면서 대부분 언급이 된 내용이지만 간단하게 디펜스월을 사용하는 방법에 대해서 살펴보도록 하겠습니다.

디펜스월을 사용하기 위해서는 기본적으로 2가지만 알고 있으면 됩니다. 첫 번째는 비신뢰 항목에 대한 처리 방법이고 두 번째는 비신뢰 항목을 신뢰 항목으로 변경하는 것입니다. 

고급 탭에 존재하는 File and Registry protection Exclude/Secure Files/Download Areas/Resource Protection 기능들은 디펜스월을 매우 폭넓게 사용할 수 있도록 해주는 기능들이지만 해당 기능을 사용하지 않더라도 사용자 시스템의 보안 수준이 낮아지지 않습니다.


4-1. 비신뢰 항목에 대한 처리 방법

사용자 시스템에서 활동 중인 비신뢰 항목에 대해서 사용자의 처리 방법은 간단하게 보면 2가지 입니다.


1. 실행된 프로세스의 강제 종료


비신뢰 항목의 일괄적인 강제종료

개별 프로세스의 강제 종료



물론 프로세스가 처음 실행되거나 여러 행동 중에 나타나는 행동 차단 팝업창을 통해서도 강제 종료가 가능합니다.

위험한 행동에 대한 경고 팝업창





2. 비신뢰 항목의 행동 결과물들을 시스템에서 삭제

비신뢰 프로그램들의 결과물 삭제




4-2. 신뢰 항목으로의 변경

안티 바이러스처럼 사용자가 신뢰 항목으로 지정하고 싶은 프로그램들이 있다면 어떻게 해야할까요? 실제로 안티바이러스 제품의 경우 비신뢰 항목으로 지정된 경우 정상적으로 설치되지가 않습니다. 이는 디펜스월의 가상화 시스템 상에서 안티 바이러스 같은 제품들이 정상적으로 동작되지 못하며, 디펜스월의 보호 기능으로 인해 안티 바이러스의 중요 레지스트리 키값들이 제대로 생성되지 못하기 때문입니다.

이런 경우가 발생될 경우 방법은 신뢰 항목으로 상태를 변경시키던가 신뢰 항목으로 임시 실행을 시켜야합니다.

1. 신뢰 항목으로 상태 변경


아쉽게도 비신뢰 항목을 신뢰 항목으로 상태를 완전히 변경시키는 것은 마우스 우클릭 쉘 메뉴에서만 가능합니다.

마우스 우클릭 쉘메뉴


쉘메뉴 항목은 아래와 같습니다.

  • Run as untrusted : 비신뢰 항목으로 실행
  • Change status to untrusted : 비신뢰 항목으로 상태 변경
  • Allow to be modified by untrusted also : 비신뢰 항목 객체에게 해당 파일의 수정 권한 부여
  • Run as trusted : 신뢰 항목으로 실행
  • Change status to trusted : 신뢰 항목으로 상태 변경
  • Allow to be accessed by trusted only : 신뢰 항목 객체만 해당 파일에 접근 권한 부여
  • File properties : 해당 파일에 대한 디펜스월 설정을 확인 (아래 그림 참고)

    신뢰/비신뢰 상태, 파일 보호 적용 여부, 비신뢰 항목의 수정 권한 여부



2. 비신뢰 항목이지만 실행시 신뢰 항목으로 설정


위에서 설명한 마우스 우클릭 쉘메뉴를 사용해도 되고 아래와 같이 비신뢰 관리 항목의 기능을 사용해도 됩니다.

실행시 신뢰항목으로 설정




4-3. 트레이 아이콘 메뉴 사용법

디펜스월의 트레이 아이콘에는 메인창의 기능 목록에는 없는 특별한 기능인 "Expert mode""Go Banking/Shopping" 항목이 있습니다.


디펜스월 보호 기능 종료는 디펜스월의 프로세스는 그대로 상주하는 가운데 감시 활동만 종료하는 것이고 완전 종료는 서비스 관련 프로세스는 존재하나 디펜스월의 작업 프로세스가 종료되는 기능입니다.


"Expert mode"는 말그대로 고급 사용자 모드입니다. 일반 사용자 모드에서는 비신뢰 항목에서 생성하는 파일들은 모두 비신뢰 항목으로 자동 지정되지만 고급 사용자 모드에서는 사용자가 직접 이러한 파일의 신뢰/비신뢰 여부를 결정해야합니다.

"Go Banking/Shopping"는 인터넷 뱅킹과 쇼핑을 위한 특별한 모드로 웹브라우저를 제외한 나머지 비신뢰 항목을 모두 강제 종료시키게 되며, 고급탭의 환경 설정에서 지정한 웹브라우저만 활성화시킵니다.

인터넷 뱅킹 및 쇼핑 모드의 경고알림



Stop Attack 기능과의 차이점은 온라인 뱅킹과 쇼핑을 위해 모든 비신뢰 항목을 강제 종료한 후 특정 웹브라우저를 새롭게 구동시킨다는 점입니다. 국내처럼 액티브x로 웹보안을 책임지는 경우에는 해당 모드에서 신뢰 항목으로 웹브라우저를 구동시키면 웹 보안 프로그램들의 오작동을 어느 정도는 막을 수 있습니다. 


제가 실험해본 것은 대부분의 은행과 ISP 및 안전 결제 등을 사용하는데에 문제는 없지만 여러 보안 모듈 중 일부 모듈과는 다소 문제가 있는 것 같습니다. 특히 국내 온라인 게임에서는 문제가 많이 발생하는 것으로 보입니다. 아눈 기본적으로 웹에서 실행되는 경우 해당 모듈들을 신뢰 상태로 실행하기가 어렵기 때문에 생기는 문제입니다.



5. 총 평

디펜스월은 HIPS 기능을 전문적으로 제공하는 프로그램으로 비교적 고급 사용자를 위한 보안 프로그램입니다. 관리라는 측면에서 UI 구조가 다소 불편하긴 하지만, 기본적인 사용법은 매우 간단한 프로그램입니다.

단순히 가상화 기능만을 제공하는 것이 아니라 키로거 차단을 비롯한 위험 행동에 대한 차단 기능이 존재하기 때문에 이론적인 컨셉은 매우 훌륭한 제품이라고 생각합니다.

키로거 차단을 위한 키 입력 감시



또한, 신뢰/비신뢰 항목을 디펜스월에서 자동으로 구분하는데 웹브라우저 등의 일부 프로그램을 제외한 대부분의 정상 프로그램은 신뢰 항목으로 구성되어 사용에 문제가 없다는 점은 큰 장점입니다. HIPS 기능을 갖춘 제품들이 정상 프로그램에 대한 행동 허용 등에 사용자의 수고가 많이 들어간다는 점을 생각해보면 주목할 만한 부분입니다.

아래는 디펜스월의 메모리 점유율을 보여주고 있습니다. 부팅시 순간적으로 메인 작업 프로세스(트레이 아이콘과 연계)의 메모리 점유율이 30메가 정도를 사용하지만 곧바로 하락하여 서비스 항목의 프로세스와 더불어 10메가 전후의 메모리 사용율을 갖고 있습니다.


단순히 메모리 점유율만 적은 것이 아니라 핸들, 쓰레드 수와 DISK I/O에 대한 읽기/쓰기도 안티 바이러스 제품에 비하면 거의 없다 시피 합니다. 실제 사용하면서 느끼는 무게감도 매우 가볍게 느껴집니다. 고사양의 인코딩 작업 시에도 무게감이 느껴지지 않습니다. 리뷰를 진행하며 안티버 제품과 같이 사용을 해봤지만 안티버 제품 하나를 사용하는 것과 큰 차이가 없었습니다.


이렇듯 여러모로 상당히 좋은 제품이긴 하나 디펜스월이라는 제품에 문제가 아예 없는 것은 아닙니다. 앞서 언급한 UI의 문제점도 있지만 이는 오히려 치명적인 단점은 아닙니다.

첫 번째 단점은 일부 국내 제작 프로그램(네이트온 등)의 신뢰/비신뢰 항목 지정에 오류가 있어 디펜스월의 기존 규칙대로라면 비신뢰항목으로 지정되어야할 것들이 신뢰항목으로 지정되는 경우가 존재한다는 것입니다. 이는 사용자 시스템 내에 들어온 일부 악성코드가 활성화될 때 신뢰 항목으로 지정될 가능성이 있다는 점을 의미합니다. 일단 제가 테스트한 악성코드들은 모두 비신뢰 항목으로 지정이 되었습니다만 제가 찾지 못한 경우가 있을 수 있지 않을까 약간 우려되는 부분입니다.

두 번째로 한글 지원이 없다는 점과 안티바이러스와 방화벽이 아닌 HIPS 기능만을 갖추고 있기 때문에 사용자에 따라 안티바이러스, 방화벽 기능을 갖춘 타 제품을 추가로 설치해야한다는 점입니다. 앞서 언급한 것처럼 타 보안 제품들도 신뢰 항목으로 상태를 변경하여 실행하면 혼용해서 사용했을 때 문제는 거의 없습니다.

세 번째부터는 매우 치명적인데, 실행중인 프로세스의 보호를 비롯한 파일 수정 방지 등의 자기 보호 기능이 매우 미약하다는 점과 네 번째로 온라인 보안 모듈과의 충돌 문제가 존재한다는 점입니다.  등은 디펜스월 제품의 단점으로 꼽을 수 있을 것 같습니다.  자기보호 기능의 미약함과 온라인 보안 모듈과의 충돌 문제는 시급히 개선해야할 문제입니다. 

개인적으로 PE 등을 이용한 프로세스 종료에도 대응을 못하는 것에서 다소 실망을 했습니다. 물론 PE가 신뢰 항목으로 지정되어 있기 때문에 디펜스월 프로세스에 대한 변경 권한이 있었기에 가능한 일이었습니다만, 기초적인 보호 기능이 없다는 것은 큰 문제라고 생각합니다. 참고로 비신뢰 프로세스들은 애초에 권한 자체를 부여받지 못하기 때문에 디펜스월을 비록한 신뢰 항목에 대한 수정이 불가능합니다.

온라인 보안 모듈의 경우 어렵긴 하지만 해당 모듈의 설치 파일을 다운받아 신뢰 항목으로 실행하면 문제가 상당수 해결됩니다. 단, 안랩의 보안 모듈하고는 유독 충돌 문제가 많이 발생하는데, 온라인 게임의 경우 신뢰 항목으로 해당 모듈을 설치해도 Clsid 값을 불러와 활성화 시킬 때 문제가 발생되어 정상적인 실행이 되지 않는 경우가 많았습니다.

어떻게 생각해보면 액티브x 기반의 보안 모듈과의 충돌 문제 등이 분명 문제이긴 하지만 코모도를 비롯한 HIPS를 외국 방화벽 제품들이 게임가드류의 보안 모듈과 종종 충돌을 일으키는 경우를 생각해보면 국내 환경에도 책임소재가 있는 디펜스월만의 문제는 아니라고 생각됩니다.



언제나 언급하는 내용이지만 현재의 보안 환경은 시그니처 기능의 안티바이러스 하나로 모든 것을 막기는 어려운 상태입니다. 쓸만한 안티바이러스 제품과 함께 디펜스월을 사용한다면 매우 큰 시너지 효과가 있을 것이라고 확신합니다. 결론적으로 몇 가지 부족한 부분이 존재하는 제품이긴 하지만 사용자 시스템을 보호하는데 매우 효과적인 제품임에 틀림없다 생각합니다.


이상으로 DefenseWall HIPS v2.56에 대한 리뷰를 마칩니다.
반응형