본문 바로가기

벌새::Software

nProtect Anti-Virus/Spyware 3.0 : 개인용 방화벽

국내 보안 업체 잉카인터넷에서 서비스하는 유료 백신 nProtect Anti-Virus/Spyware 3.0 버전에서 새롭게 추가된 "개인용 방화벽" 기능에 대해 살펴보도록 하겠습니다.

참고로 전문적 용어와 관련된 부분은 nProtect AVS 3.0 제품에서 제공하는 도움말 정보를 참고하였음을 밝힙니다.

1. 설정

nProtect AVS 3.0 고급 모드에서 제공하는 "개인용 방화벽" 메인 화면에서는 프로그램(프로그램 인증), 공유(파일 / 프린터 공유), 방화벽(침입 차단 시스템, 침입 방지 시스템)으로 구분되어 있습니다.

● 네트워크 중지

개인용 방화벽 메뉴를 선택할 경우 메인 화면 상단에는 "네트워크 중지" 버튼이 생성되는 것을 확인할 수 있습니다.

해당 버튼을 클릭하면 현재 PC와 연결된 네트워크(나가기, 들어오기) 통신을 중지시키는 긴급 비상용 버튼입니다.

● 개인용 방화벽 사용

사용자가 실시간 검사와 마찬가지로 개인용 방화벽의 사용 여부를 ON/OFF 슬라이드바를 이용하여 결정하실 수 있습니다.

● 방화벽 상태

제품 기본값에서는 프로그램 인증과 파일/프린터 공유 기능을 중지한 상태로 배포하고 있으며, 보안을 위해서는 해당 두 기능을 사용하시는 것을 권장합니다.

● 실시간 트래픽 정보

실시간 트래픽 정보는 미니 모드에서와 마찬가지로 Incoming, Outgoing 트래픽을 그래픽으로 볼 수 있습니다.

[연결 보기] 버튼을 클릭하시면 "nProtect Network State" 창을 통해 현재 실행 중인 프로세스별 네트워크 연결 정보를 확인할 수 있습니다.

방화벽을 통해 확인된 네트워크 정보를 바탕으로 [IP 추적] 버튼을 클릭하여 "nProtect Network Tools" 창에서 제공하는 Trace Route, Name Lookup, DNS Lookup, Whois 정보를 통해 특정 호스트에 대한 추가적인 정보를 확인할 수 있습니다.
  1. Trace Route : 지정한 호스트(Host)까지 패킷이 거쳐가는 라우터(Router)를 조사합니다.
  2. Name Lookup : 지정한 호스트 IP에서 호스트 이름 또는 호스트 이름에서 호스트 IP를 알아냅니다.
  3. DNS Lookup : IP 주소 또는 도메인 이름을 지정한 DNS에 질의하여 저장된 정보를 알아냅니다.
  4. Whois : 선택한 Whois 서버를 통해 지정한 IP 주소의 사용자 정보를 조회합니다.

실제 IP 추적 방법의 예시를 살펴보면 그림과 같이 PC를 사용하던 중 nProtect Security Alert 창이 생성되며, 개인용 방화벽에서 222.189.238.114 IP가 들어오려다가 차단되었다는 메시지가 뜹니다.

해당 경고창의 "IP 추적" 버튼을 클릭하면 자동으로 nProtect Nerwork Tools의 Whois 기능을 이용하여 해당 IP의 사용자 정보가 나오는 것을 확인할 수 있습니다.

[트래픽 설정] 기능에서는 실시간 트래픽 그래픽에 표시될 Incoming, Outgoing 트래픽 표시와 관련된 옵션을 설정하실 수 있습니다.

2. 프로그램 인증

프로그램 인증 기능을 사용하시면 현재 사용자 PC에 설치된 각종 프로그램(파일)이 네트워크와 연결을 시도할 경우 허용 여부를 결정할 수 있습니다.(※ 침입 차단 시스템 중 스텔스 방화벽과 함께 사용할 수 있습니다.)

실제 프로그램 인증 기능이 동작하는 모습을 살펴보면 다양한 프로그램이 인터넷에 연결을 시도하거나 서버로 동작하려고 할 경우 허용 또는 차단 여부를 사용자가 결정할 수 있습니다.

기본적으로 설치된 프로그램에 대한 신뢰성이 바탕이 된다면 프로그램 실행시마다 반복적으로 프로그램 인증창이 생성되는 것을 예방하기 위해 [이 설정을 기억합니다.] 항목에 체크를 하시고 "허용"을 하시면 됩니다.

반대로 사용자가 알 수 없는 특정 파일이 통신 연결을 시도할 경우에는 파일 경로를 확인한 후, 임시로 차단을 한 후 추가적인 악성 여부를 체크하시기 바랍니다.

프로그램 인증창에서 제공하는 [등록 정보] 버튼을 클릭할 경우 연결을 시도하는 파일 속성을 확인할 수 있습니다.

프로그램(파일)이 서버로 동작하려고 할 경우에는 스텔스 방화벽(외부에서 자신의 PC를 완전히 감추고 사용자가 허락한 접속만을 허용하는 허용(White List) 목록 방식의 방화벽) 모드에서도 예외 사용이 가능하도록 허용 범위를 사용자가 지정하실 수 있습니다.

[Windows 시스템 프로그램 보이기] 항목을 체크할 경우 추가적으로 "Host Process for Windows Services"와 같은 프로그램이 추가적으로 표시가 됩니다.

[세부 정보 보이기] 항목을 체크할 경우 인증된 프로그램의 범위, 경로로만 인증 항목이 추가로 표시되는 것을 확인할 수 있습니다.

프로그램 목록에 등록된 항목을 선택하여 [세부 설정] 버튼을 클릭하면 프로그램 인증 세부 설정 창이 생성되며, 해당 프로그램에 대한 인터넷 연결, 서버 동작에 대한 허용, 차단, 질문 여부를 선택할 수 있습니다.

해시(Hash) 정보를 사용하지 않고 파일 경로만을 이용하여 프로그램을 인증할 수 있도록 설정할 수 있습니다.(※ 파일 경로로만 인증 사용을 이용할 경우 악의적인 파일 교체가 이루어질 경우 문제가 될 수 있으리라 판단됩니다.)

프로그램 예외에서는 스텔스 방화벽 모드인 경우 해당 프로그램을 예외 허용 처리하여 외부 통신을 허용할 수 있습니다.

3. 파일 / 프린터 공유

파일 / 프린터 공유 차단 기능은 사용자 PC와 공유 폴더를 통한 파일 및 프린터 공유를 허용할지 여부를 결정할 수 있으며, nProtect 개인용 방화벽에서는 사용자가 지정하거나 관리용으로 시스템에서 지정한 모든 공유 폴더의 공유 현황에서 보여줍니다.

[시스템 관리자용 공유 보이기] 항목을 체크하시면 모든 공유 폴더를 확인할 수 있습니다.

만약 실제 공유가 지정된 경우 그림과 같이 Users 공유 폴더가 특정 IP 사용자와 공유되고 있음을 확인할 수 있습니다.

사용자가 추가적인 공유 허용을 위해서는 [공유 허용(공유 차단 예외) - 추가] 버튼을 클릭한 후 "공유 허용 IP 추가" 창에서 세부적인 설정을 통해 공유를 허용할 수 있습니다.

4. 방화벽

● 침입 차단 시스템 : 스텔스 모드

침입 차단 시스템은 스텔스 모드, 접근 차단 모드로 구분되어 있으며, 스텔스 모드를 사용할 경우에는 앞서 언급한 것처럼 사용자가 허락한 접속만을 허용하는 방식의 방화벽입니다.

또한 외부에서 PC로 들어오는 모든 연결은 차단하지만, 사용자가 PC에서 실행하여 외부로 나가는 연결은 무조건 허용합니다.

스텔스 방화벽의 [빠른 설정] 항목을 보시면 사용자가 지정한 항목만을 선택하여 허용하도록 구성되어 있습니다.

스텔스 방화벽의 빠른 설정에서 추가적인 항목을 지정 및 수정할 수 있는 옵션을 제공하고 있습니다.

스텔스 방화벽의 [전문가 설정]에서는 빠른 설정과는 달리 모든 설정이 초기화되어 있으며 사용자가 지정한 항목만을 허용할 수 있도록 설정할 수 있습니다.

● 침입 차단 시스템 : 접근 차단 모드

침입 차단 시스템의 접근 차단 방화벽은 PC에서 모든 포트를 사용할 수 있도록 우선 허용하고, 사용자가 지정한 접근 차단 정책에 의해 시스템을 보호하는 차단(Black List) 목록 방식의 방화벽입니다.(※ 스텔스 방화벽과 비교하면 보안상 위험도가 높습니다.)

접근 차단 방화벽의 [빠른 설정] 항목을 보시면 사용자가 지정한 항목만을 선택하여 차단하도록 구성되어 있습니다.

접근 차단 방화벽의 [전문가 설정]에서는 사용자가 지정한 항목만을 차단할 수 있도록 설정할 수 있습니다.

전문가 설정의 추가 기능을 보시면 접근 차단 방화벽, 스텔스 방화벽에서 추가할 항목을 세부적으로 설정할 수 있도록 제공하고 있습니다.

● 침입 차단 시스템 : 전문가 설정 - 우선 순위 방화벽

우선 순위 방화벽은 접근 차단 방화벽과 스텔스 방화벽보다 항상 먼저 허용과 차단 항목이 적용되는 방화벽으로 전문가 설정에서만 따로 지정할 수 있습니다.

● 침입 방지 시스템

침입 방지 시스템은 알려진 웜(Worm)이나 백도어(Backdoor) 등의 공격을 시그니쳐(Signature) 기반으로 차단하는 기능을 의미합니다.

환경 설정(옵션)에서 보시면 네이트워크 침입 방지 사용과 사용자 PC에서 나가는 IP Spoofing된 패킷을 차단하여 사용자 네트워크를 보호하도록 되어 있습니다.

결론적으로 nProtect AVS 3.0 개인용 방화벽을 새롭게 추가하여 파일 기반 악성코드 진단 이외에 네트워크 기반의 방어까지 포괄할 수 있는 통합 보안 제품의 모습을 갖추었다고 볼 수 있습니다.