▶ 보안 제품 리뷰/:: Symantec

Norton 360 5.0 리뷰 (6) - PC 보안 : 침입 탐지(IPS) 및 브라우저 보호 / Safe Web

물여우 2011. 3. 19. 19:08
반응형
노턴의 네트워크 보안 기능인 침입 탐지와 브라우저 보호 기능을 살펴봅니다.



5-2. 침입 탐지 및 브라우저 보호

침입 탐지 기능은 nIPS(network Intrusion Prevention System)를 번역한 것으로 방화벽이 시스템 간의 네트워크 연결을 관리한다면, IPS는 시스템으로 유입되는 패킷을 분석, 시스템 공격을 목표로 하는 패킷을 차단하는 역할을 합니다. 

일반적으로 IPS 기능은 간단한 dos 공격이나 웜 등의 취약점 공격 등을 차단합니다. 그러나 노턴의 침입 탐지는 타 제품의 그것(소프트웨어)보다 훨씬 발전된 형태입니다. 최근들어 악성코드 유포 방법 중 가장 광범위한 공격 방법인 웹사이트를 통한 취약점 공격 등 기존의 침입 탐지 기능에서는 차단할 수 없는 제로 데이 공격을 노턴에서는 차단할 수 있습니다.

브라우저 보호는 웹브라우저(IE, FF)에 특화된 기능으로, 해당 웹브라우저와 관련된 취약점 공격을 전문적으로 차단합니다.

침입 탐지와 브라우저 보호 기능은 네트워크 단에서 이루어지는 강력한 보호 기능으로, Real World Test 등에서 그 성능을 입증하고 있습니다.


(1) 침입 탐지(IPS) 및 브라우저 보호 -  환경 설정



침입 차단은 '침입 자동 차단', '침입 시그니처', '통지', ' 제외 목록'의 설정 항목이 존재하고, 브라우저 보호는 활성화/비활성화 항목만 존재합니다. 

하단부의 다운로드 인텔리전스는 앞서 악성코드 진단 항목에서 살펴보았던 다운로드 인사이트 관련 설정입니다. 


▶ 침입 자동 차단 
  -  시스템 공격을 목표로 하는 악성 패킷이 보내지는 특정 시스템과 사용자 시스템을 설정한 기간 동
     안 자동으로 연결을 차단하는 기능



▶ 침입 시그니처
 - 시스템 침입용 악성 패킷에 대한 시그니처를 관리합니다. 정상 패킷을 오진할 경우 해당 진단명의
   시그니처를 제외할 수 있습니다. 그러나 웹사이트 이용에 문제가 없을 시 시그니처 제외는 하지 않
   는 것이 보안상 좋습니다.



▶ 통지 : 침입 차단 알림 팝업창 활성화 여부 설정
▶ 제외 목록 : IPS 검사를 제외시킨 시스템 목록을 삭제합니다. 이 설정은 다음 글에서 다룰 내트워크
  보안 맵 기능에서 자세히 살펴봅니다.

아래 그림처럼 사용자가 설정한 신뢰 항목 중 ISP 검사 제외를 '아니오' 변경 시킵니다. 


 



(2) 침입 차단과 브라우저 보호의 차이점


두 기능은 기본적으로 악성 공격용 파일을 다운 전에 차단합니다. 다만 진단 항목과 적용 어플리케이션에 대해서 차이점이 존재합니다.

침입 차단 기능은 네트워크 연결이 이루어지는 대부분의 어플리케이션에서 사용할 수 있으며, 알려진 어플리케이션의 취약점 공격을 대부분 차단하기 때문에 진단하는 공격 시그니처의 종류도 매우 많습니다.

그러나 브라우저 보호는 말그대로 웹브라우저 보호를 위한 기능입니다. 그 중에서도 Ineternet explorer(7버전 이상)와 FireFox(2버전 이상)에만 사용할 수 있는 기능으로 차단할 수 있는 공격도 해당 웹브라우저 취약점 공격에 대한 것에 그칩니다. 따라서 브라우저 보호는 크롬은 물론 웹마와 같은 IE 기반 웹브라우저에서는 사용이 불가능합니다.

그런데 실제로 악성코드 유포를 위해 변조된 웹사이트를 통해 실험을 해보면 IPS와 브라우저 보호가 차단하는 항목이 서로 다릅니다. 따라서 노턴의 네트워크 보안 기능을 완벽하게 사용하려면 IE와 파이어폭스만을 사용해야하는 단점이 존재합니다.



(3) 침입 차단과 브라우저 보호 진단 팝업창


아래는 침입 차단과 브라우저 보호의 진단 팝업창입니다.


         침입 차단 알람창                                    브라우저 보호 진단 팝업창

침입 차단 알람창은 악성코드 진단 팝업창처럼 트레이 아이콘 위에 나타나며, 브라우저 보호 진단 팝업창은 Safe Web 툴바 하단에서 나타납니다.

두 진단의 로그 기록은 세부 경로에 대한 기록에 대해서 차이가 존재함을 알 수 있습니다.

                   침입 차단 로그 기록                                         브라우저 보호 로그 기록

 

침입 차단 항목에서는 제로데이 공격용 스크립트가 담긴 htm 서버 경로 정보도 로그 기록에 포함시키고 있음을 알 수 있습니다.


5-3. Norton Safe Web


노턴 세이프웹은 피싱 및 악성코드 유포 정보를 수집 악성 또는 위험 사이트의 접근을 차단하는 기능입니다. 유사한 기능으로는 맥아피의 사이트 어드바이저와 안랩의 사이트 가드 등이 있습니다. 

또한 브라우저 보호 기능과 함께 연동되어 동작하며, 동작하는 웹브라우저도 브라우저 보호랑 동일해서 IE와 FF에서만 사용이 가능합니다. 점유율이 무척 낮은 오페라나 사파리는 그렇다고 쳐도 크롬의 경우는 2011년도에 발표된 제품에서도 지원을 안한다는 것이 매우 의외입니다.

노턴 세이프웹의 위험 사이트 진단은 아래의 웹페이지를 통해서도 사용할 수 있습니다.


노턴 세이프웹 설정은 '설정'->'신원보호' 항목에서 아래와 같이 조정 가능합니다. 참고로 피싱 차단 기능은 세이프웹과는 별도의 기능입니다만, 따로 설명하지는 않겠습니다.


또는 툴바 형태로 존재하는 IE에서 직접 조정할 수도 있습니다.


일반적으로 위험 사이트에 접속할 경우 아래와 같이 접속을 차단시킵니다.

침입차단이나 브라우저 보호가 위험 요소만 차단하고 웹사이트 접속 자체를 막지를 않는 것과는 확연히 다릅니다. 특정한 사이트에 대해 위험 정보가 오래되어 이전 위협 요소만 있다고 판단될 경우 접속이 허용되는데, 위험 요소가 있다면 IPS나 브라우저 보호에서 차단하게 됩니다. 

아래는 브라우저 보호에서 위협 요소를 차단한 팝업창입니다.


안전한 사이트이거나 노턴에서 직접 분석하고 VeriSign 등에서 신뢰한 사이트의 경우 아래와 같이 표시됩니다.



아래는 구글 등에서 검색시 검색 결과의 링크의 안전을 표시하는 기능입니다.


아쉽게도 국내 포털(다음, 네이버)등은 지원되지 않습니다.


개인적으로 세이프웹 같은 기능은 효율성이 떨어진다고 봅니다. 웹사이트 접속시 실시간으로 위험 요소를 분석하는 것이 아니기 때문입니다. 따라서 위험 요소가 삭제된 상태에서도 위험 사이트로 접속을 차단하는 반면, 위험 요소가 새로 생성되었음에도 안전한 사이트 혹은 미분석 사이트로 분류, 접속을 허용할 수 있기 때문입니다.

실제 악성 요소가 존재하는 서브 경로가 아닌 메인 경로를 진단하기 때문에 생기는 문제도 있습니다. 웹차단을 표시한 위 그림에서 보듯이 nate 메일의 첨부 파일 서버가 차단되어 있는데, 이는 특정 사용자가 첨부한 악성코드로 인하여, 서버 전체가 위험 사이트로 표시되어 위험 요소가 전혀 없는 사용자의 첨부 파일 서버접속이 차단되었기 때문입니다.

외국 피싱 사이트 차단 등에는 도움이 되겠지만, 국내 환경에서는 거의 도움이 안되고, 다른 네트워크 진단 기능이 워낙 훌륭해서 굳이 세이프웹을 실행할 필요가 있나 하는 생각도 듭니다.



타 제품과 비교할 때 침입 탐지와 브라우저 보호는 소나와 함께 노턴에서 가장 경쟁력 있는 기능이라고 봅니다. 

진단 결과만을 보면 침입 탐지나 브라우저 보호는 내부적인 알고리즘은 다르지만, 타 제품에서 안티 바이러스 엔진이나 웹가드 기능을 통해 시그니처 진단 방식으로 취약점 코드를 진단하는 것과 동일하다고 할 수 있습니다. 그러나 알려진 또는 알려지지 않은 취약점 공격에 대한 시그니처 대응이 매우 빠르다는 점과, 제작사에서 밝힌 내용이지만 동일한 역할을 하는 취약점 코드의 변종을 진단(제너릭 진단)하는 기능이 매우 뛰어나기 때문에 타 제품들과 차이가 발생하는 것 같습니다.

실제로 대응이 빠르다는 국내 제품들도 취약점 공격을 시도하는 코드가 새로 발견되거나 변종이 유포될 시, DB에 없을 경우 진단에 추가될 때까지 약간의 시차가 존재하지만 노턴에서는 이런 시차가 거의 느껴지지 않습니다. 각종 테스트에서도 높은 점수를 받았지만 체감적으로도 성능이 매우 뛰어납니다.

이와 반대로 노턴의 시그니처 진단에서는 취약점 코드에 대한 진단이 거의 없습니다. 따라서 노턴 사용자는 해당 기능들을 반드시 사용하기 바랍니다.



- 다음 글에서는 고급 이벤트 모니터링 기능을 살펴봅니다.
반응형