블랙아이스 사용법

Source : http://hackersnews.org/hn/read.cgi?board=hn_hack3&y_number=34

 

인터넷 인구가 급증하면서 인터넷은 일상생활에서 중요한 부분을 차지하고 있다. 지난해 12월말 현재 국내 유무선 인터넷 이용자는 1904만 명으로 전체인구의 2.5명당 1명이 한 달에 한 번 이상 인터넷을 사용하는 것으로 조사됐다. 이렇게 많은 사람들이 인터넷을 활용하고 생활화되고 있지만 보안에 대한 생활화는 아직 미흡한 부분이 많다. 지난해에 해킹바이러스상담지원센터에 신고되는 해킹신고중 개인pc의 경우 악성프로그램을 이용한 공격이 75%이고 사용자도용이 24%를 차지하고 있다. 사용자도용 또한 악성프로그램을 이용해서 사용자의 ID와 password를 빼내가는 경우가 많기 때문에 악성프로그램에 대한 대책이 시급한 실정이다. 그러나 대부분의 개인 pc사용자들이 보안에 대한 마인드 부족으로 별 다른 대책 없이 인터넷을 사용하고 있다. 악성프로그램은 사용자 본인이 설치하지 않아도 인터넷이나 통신상에서 자료를 다운 받을 때 숨어서 들어오는 경우도 있기 때문에 그런 악성프로그램에 대한 주의도 필요하다.

이러한 악성프로그램에 대한 대비책으로 요즘 들어 개인 사용자들에게 유용한 보안툴들이 많이 나오고 있고 돈을 주고 구입을 하는 프로그램들도 있고 그 중에는 한 달 동안 무료 사용할 수 있도록 배포하는 것들도 많이 있다. 그중 많은 사람들이 사용하고 있는 "블랙아이스"에 대해서 이야기 하고자 한다.

해킹바이러스상담지원센터에 신고되는 개인pc사용자들 중에서 블랙아이스를 사용하는 사용자들이 43%를 차지하고 있다. 블랙아이스는 자신의 컴퓨터를 외부의 사용자로부터 보호할 수도 있고 침입ip에 대해 자료도 수집할 수 있고 옵션 설정 등이 복잡하지 않아서 초보자들도 쉽게 사용할 수 있다는 장점이 있다. 우선 블랙아이스의 옵션 설정에 대해서 살펴보자.

블랙아이스의 main화면에서 Tool을 클릭해서 Edit BlackICE Settings으로 들어가면 옵션을 설정할 수 있다. 우선 블랙아이스의 가장 강력한 기능을 가진 Back Trace 부분이다.

여기에서는 다른 사용자가 자신의 컴퓨터로 침입을 했을 경우 그에 관련된 정보를 수집하고 역추적하는 기능을 가지고 있다. 이 항목에서 침입자에 대한 역추적의 방법은 Direct Trace 와 Indirect Trace로 나뉜다.

먼저 Indirect Trace는 침입자의 시스템에 접속하지 않는 프로토콜을 사용하여 침입자의 정보를 다른 자료를 통해 간접적으로 정보를 수집하는 것을 말한다. 침입자의 패킷이 사용자의 시스템까지 올 때 여러 라우터를 거치게 되는데 이런 라우터에 남아있는 정보를 수집하는 방법이다. Indirect Trace에 있는 DNS lookup 이 체킹되면 BlackICE는 침입자에 대한 정보를 DNS로 변환하여 보여준다. Direct Trace는 침입자의 시스템으로부터 정보를 직접 가져오는 것으로 Indirect Trace보다 좀더 믿을 수 있는 자료를 수집할 수 있다. Direct Trace에 있는 NetBIOS nodestatus를 설정해놓으면 침입자의 컴퓨터가 로컬 시스템의 구성원으로서 각각의 컴퓨터와 구별을 하기 위해 컴퓨터 이름이나 작업그룹 같은 것을 체크하여 정보들을 불러온다. Threshold는 Indirect Trace와 Direct Trace에 모두 존재하는데 BlackIce에서 침입자의 위험도 레벨은 0∼20/20∼40/40∼80/80∼100의 4개의 등급으로 표현되는데 위험도를 사용자가 설정해놓은 수준을 넘을 경우에만 침입자의 정보를 수집한다.

Packet Log는 모든 Packet을 저장하게 되는 항목이다. Logging enabled에 체킹이 되면 시스템으로 들어오는 모든 log 파일을 기록하게 된다. File prefix에서는 로그 파일의 이름을 다른 이름으로 저장할 수 있게 해준다. Maximum size 에서는 로그 파일의 최대 크기를 설정할 수 있다. Maximum number of files에서는 로그 파일의 최대 생성 개수를 설정할 수 있는데 기본값으로 10개의 로그 파일을 설정할 수 있게 된다.

Evidence Log Tab 에서는 일단 침입이라고 예상하면 BlackIce는 침입에 대한 정보수집 작업에 들어가고 이러한 정보들은 모두 Evidence 파일에 기록된다. File prefix 항목에서는 로그 파일의 이름을 다른 이름으로 저장할 수 있게 해준다. Maximum size 에서는 Packet Log에서와 같이 로그 파일의 최대 크기를 설정할 수 있는 곳이다. Maximum number of files역시 로그 파일의 최대 생성 개수를 설정할 수 있는데 기본값으로 10개의 로그 파일을 설정할 수 있게 된다. Maximum number of secs 에서는 좀더 세부적인 옵션을 제공하고 있다. Evidence 파일을 계속 생성하면 방대해지기 때문에 이곳에 설정된 시간만큼만 기록을 하고 그 시간이 지나면 Evidence 파일은 지워지고 다시 생성된다. 화면에 있는 86400은 86400초로 24시간이다.

Protection 에서는 BlackIce의 보안수준을 설정하는 곳으로 보안수준은 4개로 설정할 수 있고 일반적인 경우는 Cautious 수준으로 체크해 놓고 사용하면 된다.

Trusting로 설정해놓으면 BlackIce는 기본적으로 모든 공유 및 접촉에 대해 관대한 수준이다. Allow Internet file sharing를 체킹하지 않는 다면 외부의 시스템에서 사용자 시스템 파일을 다운로드 불가능하게 하는 것 외의 작업은 허용한다. Cautious로 설정해놓으면 시스템 포트와 TCP어플리케이션 포트로 침입하는 모든 작업을 방해하는 것으로 일반 사용자들이 쓰기에 적당한 수준으로 설정할 수 있다. Nervous 항목은 침입을 당했던 사용자가 설정하기에 적당한 항목으로 BlackIce는 시스템 포트와 TCP 어플리케이션 포트로 접근하는 모든 접속을 제한한다. 또한 이 항목을 설정하고 웹서핑을 하면 몇몇 인터넷 웹사이트는 접속이 불가능할 수도 있다. Paranoid 는 최상위 수준의 보안설정이다. 공격이 지속적으로 이루어질 때 Paranoid 설정하면 BlackIce는 모든 접속을 금지시킨다. 또한 매우 제한적인 시스템으로 설정되어 인터넷 웹서핑이나 TCP, UDP의 모든 포트를 제한하게 된다.

ICEcap 특정 URL에 접속하는 침입자를 감시할 수 있는 기능이다. 일반 사용자들은 거의 사용하지 않는 항목이다.

Blocked Addresses 항목은 특정 IP주소의 접근을 원천적으로 봉쇄하는 역할을 한다. 만약 어느IP주소를 거부항목에 추가해 놓으면 추가된 IP는 사용자의 컴퓨터로의 모든 접근이 거부된다. Attacks으로 침입IP가 들어 왔을 때 오른쪽 마우스를 누르게되면 Block Intruder에서 For an Hour, For a Day, For a Month, Forever로 하부 메뉴가 나오면 골라서 선택하면 특정 IP에 대한 접근을 봉쇄하도록 설정할 수 있다.

Trusted Addresses 는 지정된 주소에 대하여 BlackIce의 모든 방화벽 기능을 적용시키지 않게 한다. Blocked Addresses 와는 반대되는 기능이다.

Attack 에서는 BlackICE가 탐지한 침입자의 정보를 나타내 주는 역할을 한다. 위와 같이 침입이 시도되었을 때 해당 IP를 클릭하고 오른쪽 마우스를 누르면 침임에 대해서 무시하거나 Blocked Addresses에 추가가 가능하다. 침입의 수준에 따라 Informationa Event, Suspicious, Serious, Critical 의 4가지 아이콘으로 구분된다. 먼저 Informationa Event 는 녹색 아이콘으로 안전한 수준을 의미하고, Suspicious 는 노란색 아이콘으로 사용자의 시스템으로 접속을 시도할 가능성을 보이는 것을 나타내준다. Serious는 오렌지색 아이콘으로 심각한 피해를 입은 것은 아니지만 어느 정도 공격을 받았다는 신호이다. 가장 위험한 Critical는 빨간색 아이콘으로 침입수준이 어느 정도 심각한 수준으로 시스템이 크랙킹 되거나 데이터의 손실을 초래할 수 있다는 것을 보여준다. 사용자는 아이콘의 색깔만으로도 위험정도를 한눈에 알아 볼 수 있기 때문에 사용자의 편의를 제공하고 있다. 위의 화면에서는 Serious Event를 나타내고 있다.

위 화면의 오른쪽 하단에 있는 advICE는 각 공격메시지에 대한 도움말을 상세히 제공하고 있다. 해킹바이러스상담지원센터로 BlackICE에 나오는 메시지가 어떤 말인지 모르겠다는 문의가 상당히 많이 들어오는데 advICE가 많은 도움을 줄 것이다.

Attack 옆에 있는 Intruders 는 침입자에 대한 정보를 제공하고 특정IP의 거부도 할 수 있는 기능을 지니고 있다.

History 에서는 시간대별로 침입자를 알 수 있고 Attacks 과 Network Traffic 에 관해서도 도표로 보여주고 있다. Information 은 설치한 BlackICE에 대한 정보를 보여주고 있다.

지금까지 BlackICE의 옵션과 사용방법 등에 대해서 설명했는데 위에도 말한 것처럼 누구나 쉽게 사용할 수 가 있다. 보안툴의 사용도 중요하지만 보안툴을 설치했다고 해서 해킹으로부터 안전할 것이라고 믿는 것은 위험하다. 사용자의 컴퓨터에 해킹툴 서버가 설치가 되지 않는다면 실제적인 공격이 일어나기 어려우므로 해킹툴 서버가 설치되지 않도록 주의를 기울이고 최신 버젼 백신으로 컴퓨터를 주기적으로 점검해주는 것이 필요하다. 일반 컴퓨터 사용자들은 백신을 대수롭지 않게 생각하는 경향이 많은데 최근 나오는 백신은 바이러스뿐만 아니라 해킹툴 에 대한 점검도 가능하다. 물론 최신 버전으로 지속적인 업데이트가 필요하다. 개인pc사용자들이 인터넷에 대한 관심만큼 보안에도 관심을 조금만 기울이면 해킹을 예방할 수 있다.