▶ 보안 제품 리뷰/:: Returnil

Returnil System Safe 2011 pro 리뷰 (1) - 개요 / 가상화 모드

물여우 2010. 10. 8. 19:17
반응형
가상화·복구 기능을 중심으로 안티 바이러스 엔진이 추가된 색다른 보안 제품 Returnil System Safe를 살펴봅니다.






1. 제품 설명

최근에 유료 제품들의 무료 프로모션을 진행하는 "Giveaway of the Day"에서 Returnil 최신 버전 제품의 프로모션이 있었습니다.

핀란드의 보안 업체인 Returnil은 가상 모드를 주로 다루는 업체입니다. 그러나 최근 들어 안티 바이러스 기능을 추가하면서 가상화·복구·악성코드 진단이라는 3가지 기능을 통합한 제품을 선보이게 됩니다.

제가 볼 때, 안티 바이러스 엔진의 추가는 안티 바이러스 시장에 본격적으로 뛰어들려는 목적은 아닌 것 같습니다. 비슷한 가상화 보안 제품인 Deep Freeze가 안티 바이러스 제품을 포함시킨 사례와 제품 종류는 다르지만 유명 복구 프로그램인 Acronis의 트루 이미지가 비트디펜더 엔진을 추가한 제품을 선보였던 것처럼 Returnil의 주력 시장인 가상화 시장에서 경쟁력을 갖추기 위한 시도로 보입니다.

이번에 살펴볼 제품은 최근에 출시된 "Returnil System Safe 2011 Pro" 제품입니다. Returnil에서는 무료 제품도 함께 제공하는데 무료 제품과 Pro 제품간의 차이는 아래 표를 참고 바랍니다.  무료에는 악성코드 진단과 제한된 가상화 기능만 지원합니다.


참고로 유료 버전에서 홈 버전과 상업용 버전의 차이는 원격 지원의 차이인데, 리뷰하는 제품은 상업용 제품이나 프로모션으로 제공되는 것 때문인지 원격 지원은 사용할 수 없었습니다.


Returnil System Safe 2011 Pro(이하 Returnil)의 기능 구성은 아래와 같습니다.

1. 악성코드 진단 - F-Prot 엔진 사용, 바이러스 및 스파이웨어 진단
2. 가상화 기능 - 시스템을 가상화 환경에서 구동 
3. 시스템 복구 기능 - 특정 시점으로 복구


2. 메인 화면 및 트레이 아이콘 UI

메인 화면


Returnil의 메인 화면입니다. 무난하면서 전통적인 UI를 갖고 있다 생각합니다. 안티 바이러스의 실시간 감시와 가상화 모드, 시스템 복구, 메세지(자체 프로그램 관련 메세지)의 현재 상태와 라이센스 기한 정보 등을 한눈에 살펴볼 수 있습니다.

우측 (1) 표시된 부분을 클릭하면 각 항목의 설정 화면(좌측 메뉴 탭)으로 이동합니다. 

상단 (2) 표시된 버튼을 클릭하면 일반 설정 화면창을 활성화 시킵니다.

"Start Scan"을 클릭하면 수동 검사의 "Full Scan"을 시작합니다.

좌하단의 "Details"는 라이센스의 세부 정보를, 우하단의 "Enable password protection"은 설정 변경 방지 등을 위해 암호를 설정, 관리자 기능을 활성화시키는 기능입니다. 


아래는 트레이 아이콘 메뉴입니다.



1. Open Returnil System Safe 2011 
   - 메인 화면을 활성화 시킵니다.
2. Change Preferences
   - 제품의 일반 설정 항목을 활성화 시킵니다.
3. Turn OFF/On Real-time Protection
   - 안티 바이러스의 실시간 감시를 비활성화/활성화 합니다.
4. Start Full Scan
   - 수동 검사 항목 중 "Full Scan" 실행
5. View Log
   - 진단 내역 살펴보기
6. Start/Stop Virtual Mode
   - 가상화 모드 활성화/비활성화
7. Save files to real disk
   - 가상화 모드 상에서 생성/변경된 파일 실제 디스크에 저장
8. Check for Update
   - 수동 업데이트 시작
9. Enable password protection
   - 기능 설정 변경용 암호 설정
10. Show desktop bar  
   - 위젯 형태의 바 바탕 화면에 보이기/숨기기 

데스크탑 바는
  바탕 화면에서 트레이 아이콘의 우클릭 메뉴를 대신할 수 있도록 하는 것으로 비스타나 윈7의 위젯과 유사한 역활을 한다고 보시면 됩니다.


3. 가상화 모드 (Virtual Mode)

(1) 가상화 모드란??


Returnil의 중점 기능인 가상화 모드에 대해서 살펴보기 전에 가상화 모드가 무엇인가에 대해 간단하게 설명하도록 하겠습니다.

Returnil의 가상화 모드는 실제 시스템에 가상의 공간을 형성하여 시스템의 변경점을 따로 저장하여 재부팅 등을 수행하면 변경점이 모두 초기화되어 실제 시스템에 아무런 영향없이 가상 공간 생성 시점으로 돌아갈 수 있도록 하는 기능입니다. 유명한 DeepFreeze나 Shadow Defender의 그것과 동일하며 보통 "시스템 가상화" 기능이라 불립니다.

보통 간단한 가상화 기능을 제공하는 SandboxIE와 유사하게 보일 수 있지만 사용자 시스템 전체를 가상화 모드안에서 구동하기 때문에 가상화 기능의 규모가 다르며, 가상화를 통한 전체 시스템 보호 및 복구 기능으로 생각하시는 것이 좋습니다. 두 제품의 가상화의 차이를 아주 간략화 시킨 아래 그림을 참고하시면 이해하기 쉬울 듯 합니다.



위 그림에서처럼 SandBoxIE는 자신을 통해서 구동된 프로그램을 실제 환경과 격리시키는 방법으로 가상화 환경을 만들어줍니다. 그러나 Returnil은 전체 시스템을 가상화 환경으로 바꿈으로써 시스템을 보호하게 됩니다. 일반적으로 SandboxIE에 비해 훨씬 안전한 가상화 환경을 지원합니다.

Returnil의 가상화 모드는 시스템 부팅시, 또는사용자가 원하는 시점 어느 때라도 적용할 수 있습니다. 반대로 가상화 모드를 비활성화하거나 재부팅을 하게되면, 변경되었던 항목들이 모두 초기화됩니다. 

또한 사용자가 특정 파일을 보존하고자 할 때를 대비하여, 실제 환경이나 또 다른 격리된 가상 공간에 안전하게 보관할 수 있는 기능이 포함되어 있으며, 시스템 변경점을 실제 환경에 그대로 반영할 수 있는 기능도 포함되어 있어 윈도우 업데이트나 사용자의 시스템 설정 변경 등 보존이 필요한 항목들을 유지할 수도 있습니다.



(2) 가상화 모드 (Virtual Mode)  활성화 / 종료


 

가상화 모드 메인 화면


가상화 모드의 메인 화면(OverView 탭)입니다. 빨간색 버튼(Start Virtual Mode)를 클륵하면 가상화 모드를 활성화시키거나 비활성화 할 수 있습니다.

가상화 모드 구동 중


가상화 모드는 사용자가 직접 활성화시킬 수도 있지만 "Virutal Mode Always On" 항목을 체크하여 윈도우 부팅시 자동으로 가상화 모드가 활성화되도록 할 수 있습니다. 이는 공공 PC나 가정에서 클린 시스템을 유지해야할 경우 사용할 수 있는 매우 유용한 기능입니다.

가상화 모드를 활성화 시키면 시스템의 모든 변화는 따로 가상 공간에 기록되며, 재부팅 또는 가상화 모드를 종료할 때 모두 초기화됩니다. 단, 가상화 모드 종료시 자동으로 재부팅될 뿐더러 시스템이 초기화 됨으로 중요 작업은 모두 종료해야 합니다.

가상화 종료시 나오는 경고 문구




(3) 가상화 모드 설정


가상화 모드의 세 번째 탭인 "Settings" 항목에서 가상화 모드에 대한 일반 설정을 조정할 수 있습니다.

가상화 모드 일반 설정


각각의 설정은 아래와 같습니다.

▶ Additional Protection Options 
 - 가상화 모드 구동 시에 실제 디스크에서 정상적으로 실행될 항목들을 설정합니다. 이 기능은
   "Anti-Excute" (이하 AE)기능이라고도 하며, 실제 디스크에 저장된 프로그램들의 구동에 영향을
   미칩니다. 단지 구동에만 영향을 미칠 뿐, 특정 프로그램이 실행되었다 할지라도 시스템 변경 사항
   은 실제 디스크에 기록되지 않습니다. 따라서 일종의 제한적인 HIPS 기능이라고 생각하시면 됩니다
   해당 기능으로 인해 일부 실행 파일, 드라이버 모듈 등이 정상적으로 구동되지 않을 수 있습니다. 

   ※ 해당 기능의 목적은 가상화 모드를 우회할 수 있도록 설계된 악성코드  등을 실행 단계에
       서 차단함으로써 시스템의 안정성을 높이기 위함입니다.

 ① Allow Programs to run normally : 모든 프로그램이 정상적으로 구동 
    - 프로그램에 대한 제한이 없어 가장 높은 호환성을 가집니다. 특정 악성코드에 가상화 기능의 무
      결성이 깨질 수 있지만, 다른 설정 시에 특정 프로그램의 실행에 문제가 있다면 해당 기능을 설정
      하기를 바랍니다.
 ② Trust system services from real disk only : 신뢰 서비스 항목만 정상적으로 구동
    - 기본 설정값이며 특정 프로그램 및 설정 변경을 제외하고는 대부분의 프로그램이 정상적으로 구
      동됩니다.
 ③ Trust programs from the real disk only : 신뢰 프로그램 항목
    - 가장 제한적인 설정이며, 다수의 프로그램이 정상적으로 구동되지 않을 수 있습니다.



실제 디스크에서 실행 차단


위 팝업창은 AE에 의해 비신뢰 프로그램의 실행을 차단했다는 것을 알려주는 경고 팝업창입니다. 2 번째 설정 상태에서 진단된 것인데 MS의 Process Explorer의 드라이버 모듈의 실행을 차단한 것입니다. 드라이버 모듈의 실행과 상관없이 PE는 일단 정상적으로 실행은 되었으나, 진단/차단된 다른 프로그램의 경우는 정상적으로 실행되지 못하여 아래와 같은 알람창이 나타나는 것을 확인하였습니다.


자체적인 기준에 따라 신뢰·비신뢰가 나뉘는 것 같은데, 이에 대한 정보는 찾지 못하였습니다.


Exit from Virtual Mode
  - 가상화 모드 종료시 시스템의 변경점을 어떻게 처리할 지를 설정합니다.

 ① Drop all changes : 모든 변경점을 가상화 모드가 구동되기 전 상태로 초기화시킵니다.
 ② Save all changes : 모든 변경점이 실제 시스템에 그대로 남습니다.

2번과 같은 설정은 윈도우와 써드 파티 어플리케이션들의 업데이트, 시스템 설정 변경, 새로운 프로그램 설치, 디스크 조각 모등 등 초기화가 되면 곤란한 항목들을 실제 환경에 그대로 저장하기 위한 설정입니다.


▶ Advanced
  - 가상화 모드의 변경점이 기록 지점(Cache)의 크기와 강제 캐쉬 삭제 등을 설정합니다.

 ① Wipe all disk changes at computer startup 
   - 가상 모드시 시스템 변경점이 기록되는 캐쉬를 시스템 부팅 시 강제로 삭제합니다.
 ② Percentage of free disk space used for the Virtual Mode
   - 가상화 모드에 사용될 캐쉬의 크기를 결정합니다.

 ③ Protected disk
   - 가상화 모드를 통해 보호하는 디스크 정보를 표시합니다. (C 드라이브로 고정)

Returinl에서 밝히기로는 가상화 모드의 캐쉬가 가득차면 자동으로 재부팅하여 캐쉬를 비운다고 합니다. 따라서 하드디스크의 용량에 여유가 있다면 50% 이상으로 설정하는 것이 좋을 것 같습니다. 

※ 캐쉬 위치 XP 기준 
 ( C:\Documents and Settings\All Users\Application Data\Returnil\RVS3\RVSYSTEM.CCH )

1번 설정은 캐쉬 파일을 "Overwrite"(여러번 덮어 씌우기지우기 반복)해서, 복구 불가능하게 하는 기능입니다.


(3) 가상화 모드를 위한 유용한 기능들


이번에 살펴볼 File Manager나 Virtual Disk, Access Real Disk 등은 대부분 유료 제품에서만 제공되며, 사용자가 가상화 모드를 다양하게 설정하여 관리할 수 있게하는 기능들입니다.

▶ File Manger & File Protection

File Manager 화면


▶ File Manager 
  - 가상화 모드내에서 특정 파일·폴더의 변경점이 실제 디스크에 자동으로 저장되도록 관리하는 기능

Save Files 클릭시 실제 환경에 저장되는 모습



파일 매니저 기능은 가상화 모드에서 사용자가 원하는 특정 항만을 실제 환경에 저장할 때 사용하는 기능입니다. "Define List"를 이용하역 특정 폴더·파일의 변경점을 항상 실제 환경에 저장하도록 설정할 수 있습니다.

일반적으로 안티 바이러스의 DB 업데이트나 다른 써드파티 프로그램의 변경점, 또는 내 문서 폴더 같은 작업 폴더의 내용을 보호하기 위하여 사용합니다.

▶ File Protection
 - 파일 열기, 내용 수정 등 대부분의 파일·폴더에 대한 접근을 차단 (※ 삭제는 제외)

접근이 차단된 모습


파일 매니저 기능과 달리 가상화 모드 내에서 특정 파일·폴더의 변경만을 차단하기 위해 사용합니다.
그러나 "삭제"와 같은 접근은 차단하지 못하는 등 다소 제한적인 수준의 차단 기능임으로, 이 기능을 너무 신뢰하지 않기를 권장합니다.


- Define List : 파일 매니저나 파일 프로텍션에서 파일·폴더 등을 관리할 때 사용

리스트 관리 화면



※ 파일 매니저를 사용할 때 가급적 실행중인 프로세스 등을 모두 종료하는 것이 좋습니다.


▶ Virtual Disk

가상 디스크 화면


가상 디스크(Virtual Disk)는 가상 파티션을 생성하여 가상화 모드 내에서 저장하고 싶은 파일들을 임시로 백업하는 용도로 사용하는 기능입니다. 가상화 모드 내에만 파일이 존재하지만 시스템을 재부팅하거나 가상화 모드를 해제한 후해도 가상 파티션에 남아있는 데이타는 저장되어 있습니다. 실제 환경에 저장하기에는 다소 거북하거나 잠시 동안 저장하고 싶은 파일들을 임시로 저장하는 용도로 사용됩니다.


가상 디스크 생성



※ 가상화 모드에서는 가상 디스크를 생성할 수 없습니다.



▶ Access Real Disk


가상화 모드에서만 동작하는 기능으로, 가상화 모드에서 실제 환경에 저장되어 있는 파일과 레지스트리를 확인할 때 사용합니다.

실제 환경이나 가상화 모드 내의 파일을 비교할 수 있을 뿐, 수정·이동 등의 처리는 불가능합니다.

파일 비교



레지스트리 비교



※ 레지스트리는 HKLM(HKEY_LOCAL_MACHINE)의 항목만 볼 수 있습니다.






개인적으로 Returnil 제품을 처음 사용해봤습니다. 그러나 Deep Freeze나 Shadow Defender를 사용했었기 때문에 가상화 모드 사용에 큰 어려움은 없었던 것 같습니다.

'가상화 모드 내의 작업에 대해서 실제 환경이 제대로 보호가 되는 가'에 대해 다양한 실험을 진행하였고, 이에 대한 결과는 개인적으로 만족스러웠습니다.

다만, Returnil의 가상화 기능은 C 드라이브만을 보호하기 때문에, 다른 파티션의 파일을 보호하지 못한다는 점이 무척 아쉬웠습니다. 

한가지 언급하고 싶은 것은 가상화 모드는 말그대로 시스템을 가상화 기술을 이용하여 보호하며, 현재 기술로는 완벽하게 실제 시스템을 격리시켜 보호할 수 없다는 점입니다. 따라서 시스템 복구를 위한 기본적인 조치와 안티 바이러스 등의 설치가 반드시 필요합니다. 

이전에 소개한 가상화 기능을 이용하는 순간 복구 프로그램들의 한계글에서도 밝혔듯이 기술적으로 우회하는 방법이 분명히 존재합니다.



또 실제로 경험한 일을 이야기 해보면 가상화 모드를 살펴보면서 오류가 난 적이 한 번 있었습니다. 하필 오류가 프로그램 주 설치 폴더(Programs Files) 전체를 파일 매니저를 이용하여 실제 환경에 저장시킬 때 발생했는데, 이 오류로 인해 실제 환경으로 되돌아가지 못하는 사태가 발생했었습니다. 예상컨데, 가상화 모드를 종료할 때 실제 환경이 "Mount"되어야하지만, 파일 매니저 기능이 파일을 복사하는 과정에서 생긴 오류로 인해 실제 환경에 대한 정보가 사라졌기 때문으로 봅니다.

복사 과정에서 가상화 모드의 프로그램 주 설치 폴더 내의 모든 파일이 삭제되었고, 가상화 모드가 종료가 되지 않고 계속 유지되었기 때문에 결국 시스템이 엉망이 되었습니다. 실제 환경 정보를 되살릴 방법이 없었기 때문에, 다른 전문 복구 프로그램의 백업된 이미지로 시스템을 복구할 수 밖에 없었습니다.

이 오류로 몇 시간을 허비했습니다. ㅠ-ㅠ
 
가상화 모드가 매우 뛰어나고 편리하지만, 언제나 예상치 못한 상황이 발생할 수 있으므로 기본적인 시스템 안전 조치는 취해야 한다는 한 가지 예가 되지 않을까 싶습니다.



- 이상입니다.

반응형
1 2 3 4