▶ 보안 제품 리뷰/:: AVAST

AVAST Internet Security 7 리뷰 (6) - 가상 환경 (샌드박스/세이프 존)

물여우 2012. 3. 31. 08:30
반응형
어베스트의 각종 가상 환경 실행 기능을 살펴보도록 하겠습니다.



6. 가상 환경 실행 - 샌드박스 외

샌드박스 기술을 이용한 가상 환경 실행 기술은 최근 들어 대부분의 보안 제품에서 채택하고 있는 보안 기능입니다. 샌드박스 기능은 샌드박스 하에서 실행된 프로그램을 실제 시스템과는 격리시키되 구동에는 문제가 없도록 하는 것을 목적으로 합니다. 따라서 보안 제품의 시그니처 진단과 행동 기반 진단에서 진단하지 못한 악성코드의 시스템 침입을 막는 최후의 보루로써 사용되고 있습니다.

어베스트의 샌드박스 기능은 구동 환경에 따라 크게 '샌드박스와 세이프 존' 등 2개로 나뉘어져 있습니다.
1. 샌드박스 :
  - 자동 샌드박스 : 실시간 감시와 연계된 기능으로 의심되는 어플리케이션 실행시 자동으로 가상 환경에서 실행되게 합니다.
  - 샌드박스 : 사용자가 특정 어플리케이션을 직접 샌드박스 하에서 구동시킵니다. (유료)
  - 웹브라우저 보호 : 특정 웹브라우저를 샌드박스 상태에서 실행시킵니다. (유료)

2. 세이프 존 : 특정 어플리케이션이 아닌 시스템 전체를 격리시켜 안전한 환경을 구축합니다. (유료)
※ '유료' 표시가 된 기능들은 유료 제품군에만 포함되어 있습니다.


6-1. 샌드박스

(1) 자동 샌드박스


자동 샌드박스는 파일 시스템 감시와 연계되어 구동되는 기능입니다. 특정 조건하에 의심되는 파일이 실행될 때 어베스트에서 해당 파일을 샌드박스 내에서 자동으로 구동하거나, 사용자에게 질문하게 됩니다.

아래는 메인 화면에 있는 자동 샌드박스 항목이며, 이곳 자체에는 특별한 것이 없습니다.

실제 자동 샌드박스를 사용할 때 볼 수 있는 것은 아래와 같은 팝업창입니다.

설치시 제공되는 기본 설정에서는 자동 샌드박스가 '자동'으로 실행됩니다. 즉, 특정 조건을 만족시키는 의심 파일일 경우 위와 같은 팝업창이 나타나며 샌드박스 내에서 구동되는 것입니다.

어베스트의 샌드박스 기능도 타 제품의 그것과 비슷해서 아래와 같이 외부에 선(빨간색)이 보일 경우 샌드박스 내에서 구동된 것을 의미합니다.

그런데 위 팝업창의 '기간' 항목을 보면 샌드박스 내에서 구동된 시간을 보여주고 있습니다. 개인적으로는 이해가 잘 안가는 부분인데, 최초로 샌드박스 내에서 구동되어 아무런 규칙이 없는 파일인 경우 보통 15초 정도가 지나면 자동으로 종료가 됩니다. 그 후 아래와 같은 팝업창이 나타나며 해당 파일을 샌드박스로 구동할 것인지 실제 시스템에서 구동할 것인지를 질문합니다.

안전 여부와 상관없이 악성 파일인 경우 추가적인 작업이 이루어지기 전에 강제 종료를 하는 것이 올바르겠습니다만, 일단 샌드박스내에서 구동이 된 상태면 기본적으로 시스템은 안전한 상태인데, 이를 사용자가 종료하기 전에 강제로 종료시킬 필요가 있는지는 의문입니다.

개인적인 예상으로는 샌드박스 내에서 어플리케이션이 구동 될 경우 사용자가 작업한 내역이 실제 시스템에 남지 않으며, 현재 어베스트의 샌드박스 시스템으로는 가상 환경 내의 파일을 실제 시스템으로 이동하는 것이 거의 불가능하기 때문에 그런 것으로 보입니다. 이 예상이 맞다면 결국 시스템 상의 결점으로 나타나는 문제라 할 수 있습니다.

참고로 '정상적으로 열기'를 선택하면 자동 샌드박스 제외 항목에 추가되어 다음 실행 시 일반 시스템내에서 구동됩니다.

설정 상에서 아래와 같이 사용자가 직접 가상 실행 여부를 결정할 때에는 가상 환경내에서 구동시켜도 자동 종료되지 않습니다. 최초 구동시 자동으로 종료되는 것이 싫다면  '자동'처리 보다는 사용자 처리를 사용하시기 바랍니다.

사용자 처리 팝업창

'프로그램에 대한 응답 기억'을 선택하면 제외 규칙 등을 만들 수 있습니다.

아래와 같이 환경 설정을 열어보면 샌드박스 기능은 파일 시스템 감시 항목에 속해 있는 것을 확인할 수 있습니다.

 

'자동' 상태에서 '진행 정보 및 최종 추천 보기(앞서 설명한 팝업창 보기 기능)'를 해제하면 자동 샌드박스가 거의 구동되지 않습니다. 동일한 어플리케이션이 사용자 처리 상태에서 한 번이라도 샌드박스 내에서 구동하면 자동처리로 변경 시 다음부터는 샌드박스 상태로 구동되는 것을 보면 조건이 달라지기 때문은 아닌 것 같습니다. 이유는 모르겠으나 해당 항목은 가급적 체크하시기를 바랍니다.

'Reasons for AutoSandboxing' 항목이 자동 샌드박스가 구동되는 조건입니다. 아래와 같습니다.


1. Static analysis finds the file suspicious  : 정적 분석(어베스트 자체 분석) 결과 의심 파일로 보임
2. The file prevalence/reputation is low  : 평판이 매우 낮음
3. The file origin/source is suspicious : 파일의 원본 위치(다운로드 사이트 등)가 의심스러움
4. The file is executed from a remote/removable media : 원격 또는 이동 저장 장치에서 실행 시
5. Generic heuristics/suspicious context  :  유효하지 않은 디지털 인증이나 의심되는 이름을 가진 경우

어베스트 블로그에서는 이 외에도 암호화된 실행 파일 등 다른 항목들도 설명하는 것을 보면 상당히 다양한 조건들이 있는 것 같습니다. 물론 위 조건들이 정확하게 적용되는 것은 아닌 것 같습니다. 예를 들어 이동 저장 장치에서 실행하더라도 반드시 자동 샌드박스가 구동되는 것이 아닙니다. 세부적인 조건이 따로 있을 것이라 생각합니다.


(2) 샌드박스


샌드박스 기능은 앞서 설명한 자동 샌드박스와 동일한 기능입니다. 단, 자동 샌드박스가 특정 조건에 따라 자동으로 구동되는 방식이라면 샌드박스는 사용자가 직접 지정한 어플리케이션을 샌드박스로 구동한다는 점이 다릅니다. 샌드박스 기능이 본류라면 자동 샌드박스는 그 지류 정도가 된다 생각하시면 됩니다.

샌드박스 메인 화면


우클릭 메뉴의 샌드박스 실행 항목

좌하단의 '가상처리 실행' 버튼을 클릭하거나 우클릭 메뉴의 샌드박스 실행 메뉴를 이용하면, 특정 프로그램을 가상 환경 내에서 실행할 수 있습니다.

이때 가상 환경으로 구동된 어플리케이션은 위와 같이 샌드박스 메인 화면에 해당 정보가 표시됩니다. 이는 자동 샌드박스로 구동된 경우도 마찬가지 입니다.


샌드박스 환경 설정은 아래와 같습니다. 해당 설정들은 자동 샌드박스와 브라우저 보호에도 영향을 미칩니다.

① 매개 변수


제한된 사용자 권한으로 권한을 제한하는 설정은 사용자가 관리자 권한으로 어플리케이션을 구동시켰다하더라도 가상 환경 내의 어플리케이션은 일반 사용자 권한을 갖도록 하는 것을 의미합니다.


② 샌드박스 저장 설정



어베스트의 가상 환경의 저장소는 왼쪽과 같은 폴더에 생성됩니다. 위 그림처럼 설정된 경우 가상 환경이 구동된 파티션에 모두 왼쪽과 같은 폴더가 생성됩니다.

모든 파티션에 지저분하게 폴더가 지저분하게 생성되는 것이 싫은 분은 두 번째나 세 번째 설정을 통해 따로 저장 경로를 설정하셔야 합니다.


③ 웹브라우저 설정



브라우저 보호와 연계된 기능입니다. 웹브라우저의 캐쉬와 예외 항목을 설정할 수 있습니다.

예외 설정을 사용할 때 북마크와 히스토리 쿠키 등을 가상 환경 내에서 수정할 때 실제 환경에서도 변경이 됩니다.


 

④ 가상 처리 설정


항상 가상 환경으로 구동시키고자 하는 어플리케이션을 등록할 수 있습니다. 브라우저 보호 등에서 웹브라우저를 체크하면 위 설정에 추가가 됩니다.

⑤ 접근 제한 설정 (Privacy)


가상 환경에서 구동되는 어플리케이션의 접근을 차단할 항목들을 관리합니다. 읽기만 가능하도록 설정하거나 접근 자체를 차단할수 있습니다. '추가' 버튼을 통해 사용자가 직접 특정 항목을 추가할 수 있습니다.


⑥ 예외


가상 환경으로 실행하지 않을 어플리케이션 등을 지정합니다.


⑦ 인터넷 액세스


가상 환경 내에서 실행된 어플리케이션들의 네트워크 연결을 관리합니다.

⑧ 보고서 파일


가상 환경 내에서 실행된 어플리케이션들의 구동 내역을 보고서로 남깁니다. 보고서는 아래 경로로 저장됩니다.

XP : C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\report
Vista 및 7 : C:\ProgramData\AVAST Software\Avast\report


(3) 브라우저 보호


브라우저 보호 기능도 샌드박스처럼 사용자가 직접 지정한 어플리케이션만 샌드박스 내에서 구동시키는 기능입니다. 다만 어플리케이션이 웹브라우저로 고정되어 있다는 점만 다릅니다. 따라서 브라우저 보호 항목은 특별히 다른 기능이라기 보다는 가상 환경내에서 실행하는 경우가 많은 중요 어플리케이션인 웹브라우저를 좀 더 쉽게 관리하기 위해 구성된 기능입니다.

위 그림의 크롬처럼 체크를 하면 크롬을 구동시 항상 샌드박스 상태에서 실행됩니다.

브라우저 보호 기능은 '공식적'인 웹브라우저만 지원합니다. 따라서 웹마와 같은 IE 기반 웹브라우저나 크롬 플러스 같은 브라우저는 샌드박스 기능을 이용해서 따로 구동을 해야합니다.

가상 환경에서 구동된 크롬


브라우저 보호 기능은 샌드박스 기능과 함께 아래와 같은 어베스트 평판 기능이 추가되어 있습니다. 평판 기능은 특별히 설명하지 않겠습니다.



브라우저 보호 설정은 플러그인 방식의 평판 기능등을 관리합니다.





6-2. 세이프 존

개별 어플리케이션을 가상 환경에서 구동시키는 샌드박스와 달리 세이프 존은 가상 환경 자체를 구동시켜 안전한 환경에서 특정 작업(웹브라우저)을 할 수 있도록 합니다.


메인 화면에서 세이프 존 전환 버튼을 누르거나 트레이 아이콘 메뉴의 세이프 존 전환 항목을 이용하면 세이프 존으로 시스템이 이동하게 됩니다.

세이프 존에서는 제공하는 웹브라우저는 안전 웹브라우저라고 해서 일반 브라우저의 플로그인 등이 모두 제한된 상태로 제공됩니다. 따라서 금융 증권 및 기타 중요한 웹상의 작업을 안전한 상태에서 진행할 수 있습니다.

아래는 세이프 존 실행 모습입니다. 검은색 바탕의 화면을 통해 실제 환경과 다른 격리된 가상 환경임을 나타내고 있습니다.

좌측의 윈도우 시작 버튼처럼 생긴 어베스트 아이콘은 아래와 같이 세이프 존 종료 버튼입니다. 우측의 화살표는 사용자의 일반 환경으로 세이프 존을 종료하지 않고 이동하는 버튼입니다.


세이프 존에 접속하면 아래와 같이 자동으로 세이프 존 전용 웹브라우저가 동작하게 됩니다.
위에 가상 환경으로 실행한 크롬과 달리 북마크와 플러그인 등이 모두 빠진 순수 상태의 크롬이며 어베스트에서 직접 수정한 특수한 브라우저입니다. 

따라서 외국이면 몰라도 국내에서는 사용이 거의 불가능합니다. 하나 은행 등 크롬에서도 접속이 가능한 은행 등을 실험해봤는데 관련 플러그인을 설치할 때 문제가 발생해서 로그인을 할 수가 없었습니다.


세이프 존 설정은 아래와 같습니다.

'세이프 존 재설정' 버튼을 누르면 세이프 존내에서 작업한 내역이 모두 삭제됩니다.




어베스트의 가상 환경 시스템을 알아봤습니다.

샌드박스IE처럼 샌드박스 내의 파일을 이동할 수가 없다는 점을 제외하면 관련 설정 등이 충실하고 호환성도 비교적 괜찮은 편이라 상당히 만족스러웠습니다. 카스퍼스키의 가상 환경에 비해서 훨씬 사용하기 편하다는 느낌을 받았습니다.

가장 아쉬운 것은 유료 제품에서만 제공하는 세이프존 기능이 국내에서는 무용지물에 가깝다는 사실입니다. 개인적으로 나름 기대했는데, 크롬을 이용한 자체적인 브라우저를 사용하다보니 익스 기반 사이트는 물론 크롬을 지원하는 사이트에서도 호환이 잘 안되 사용이 힘들었습니다.

국내 웹 환경이 문제라기 보다는 플러그인 방식의 보안 관련 프로그램들조차 제대로 사용할 수 없는 세이프 존 자체의 시스템적인 문제가 크다고 봅니다.
 
물론, 간단한 결제 시스템 등을 갖춘 외국에서는 세이프 존이 상당히 좋은 기능으로 평가받을 것 같습니다. 굳이 복잡한 가상 OS나 순간 복구 프로그램과 같은 가상 환경 프로그램을 이용할 필요 없이 간단하게 버튼 하나로 세이프 존을 이용하면 되기 때문입니다.


리뷰하면서 아쉬웠던 점은 웹사이트에서 유포되는 악성코드에 자동 샌드박스가 반응하는지를 살펴보지 못한 점입니다. 개인적으로 테스트할 여건이 안 되다보니 확인을 못했는데, 이런 취약점 공격을 통한 악성코드 유포를 진단, 가상 환경이 정상적으로 구동되어야 제대로된 기능이라 할 수 있겠습니다.

마지막으로 웹브라우저 등을 가상 환경에서 사용할 때 바탕화면에 특정 파일을 다운받거나 복사하면, 실제 환경에 저장이 되고 있습니다. 이에 대한 설정이 따로 존재하지 않다보니 버그인지 원래 그런 것인지는 알 수 없습니다. 하지만 특정한 설정이 없는 가운데 가상 환경에서 실 환경으로 넘어올 수 있는 경로가 존재한다는 점은  문제가 있다고 봅니다.


- 이상입니다.
반응형