네트워크 기반의 트로이 목마 프로그램과 같은 공격에 대한 최선의 방어는 데스크탑 방화벽이다. 하지만, 애플리케이션 제어 및 중앙 관리가 없다면 데스크탑 방화벽은 큰 소용이 없을 것이다. 우리가 테스트한 네 제품들 중 단 두 제품, 즉 사이버아머 스위트 및 사이게이트 시큐어 엔터프라이즈만이 기업에서 필요로 하는 사양 세트과 관리 기능들을 보유하고 있었다.

당신의 네트워크에서는 개별적인 데스크탑이 아마도 가장 큰 보안 구멍일 것이다. 여기에는 가정에서 재택근무자가 사용하는 것, 이동 근로자들이 사용하는 랩탑, 그리고 보통의 사무실 데스크탑 PC들 등 모든 종류의 데스크탑들이 포함된다.

공격에 대한 최선의 방어

봉건시대의 중세 도시들은 두꺼운 돌벽으로 둘러 쌓여 있었다. 공격자들이 가끔씩 변방의 이런 벽들을 공격하곤 했지만, 여기에는 많은 시간이 걸렸으며 위험한 일이기도 했다. 또한 많은 주의를 집중하지 않고서는 하기 힘든 일이기도 했다. 결국 공격자들은 공을 들여 내부의 누군가를 포섭하게 된다. 이 사람은 조용히 이웃의 물건을 약탈해 한 밤중에 벽 너머로 이것을 던져줄 것이다. 이렇듯 내부 작업은 언제나 더 나은 성과를 내는 법이다.

컴퓨터 보안의 현대시대에는 네트워크 기반 트로이 목마 프로그램이 마치 내부의 적과 같다. 바이러스 스캐너가 언제나 트로이 목마 프로그램을 식별해낼 수 있는 것은 아니며, 이는 특히 새로운 것이거나 서명이 발견되는 그리 많이 퍼지지 않은 것일 경우에 더욱 그러하다. 이런 종류의 공격에 대한 최선의 방어는 데스크탑 방화벽이다.

데스크탑 방화벽은 뿐만 아니라 주요 회선 뒤에 잠복해 있는 침입자를 효과적으로 막아준다. 패킷 모니터링, 침입 감지, 포트 차폐 및 애플리케이션 제어는 트로이 목마 바이러스나 기타 질 나쁜 프로그램들이 당신의 네트워크로 기어 들어오는 것을 막을 수 있게 도와준다.

누군가의 컴퓨터로 트로이 목마를 들여보내는 일은 어렵지 않은데, 주변을 돌아다니는 전자우편 바이러스나 웜(worm)들만 보아도 이는 쉽게 알 수 있다. 필요한 것은 춤추는 햄스터와 같이 귀여운, 무언가가 있는듯이 보이는 전자우편 첨부 파일 하나면 끝이다. 혹은, 정말 딴 속셈이 있는 사람이라면, 간단한 플로피를 이용해 트로이 목마를 띄우는 일은 충분히 쉬운 일이다. 이 분석기사를 위한 테스트를 시작하기 전에, 우리는 한 가지 비과학적인 실험을 해 보았다. 랩 안에서 PC까지 걸어가서 플로피 디스크로부터 서브7 트로이전(Sub7 Trojan)을 설치하고 휘파람을 불며 발길을 돌리는 데는 17초밖에 걸리지 않았다.

하지만, 명심해야 할 것은 방화벽이 시스템에서 모든 파일을 빼 가는 것을 목표로 하는 트로이 목마로부터 당신을 지켜주지는 못할 것이라는 사실이다. 개인용 방화벽과 함께, 안티바이러스 소프트웨어를 반드시 사용해야 한다.

4개 업체 참가

지난 해 실시했던 데스크탑 분석에서 우리는 F-시큐어(F-Secure Corp.), 인포익스프레스(InfoExpres), 사이버전 네트웍스(Sybergen Networks) 및 네트워크 ICE의 제품을 테스트한 바 있다. 올해 역시 이 네 업체들이 서로 경쟁하도록 했는데, 단 두 업체는 이름을 바꾸었다. 즉 네트워크 ICE는 최근 ISS(Internet Security Systems)에서 인수했으며, 사이버전은 이제 사이게이트 테크놀로지스(Sygate Technologies)로 불린다.

우리는 또한 시만텍에게 참가를 요청했지만, 이 제품에는 집중화된 보고 기능이 없다. 시큐리티(Securitae Corp.) 또한 초대되었지만, 그 제품은 테스트 당시 베타 버전 상태였다. 마지막으로, 존 랩스(Zone Labs)를 참가시키기 위해 노력했지만, 지난 번과 마찬가지로 이 회사는 여전히 집중화된 관리를 추가하는 작업 중이었다. 존얼람(ZoneAlarm)은 시큐리티와 마찬가지로 테스트 당시 베타 상태였다.

지난 해에는 인포익스프레스의 사이버아머 스위트 1.1이 우리 에디터스 초이스 상을 받았다. 사이버아머는 올해 최고의 방어 능력, 뛰어난 모바일 사용자 지원 및 좋은 정책 관리로 다시 한번 영광을 차지했다. 사이게이트 시큐어 엔터프라이즈는 지난해보다 크게 발전했으며, 이제 대부분의 기능에서 사이버아머와 어깨를 나란히 하고 있다. 인포익스프레스와 사이게이트 제품은 모두 오류내구성 서버를 지원하는 반면, 다른 두 제품은 그렇지가 못하다. ISS와 F-시큐어는 지난해에 비해 그리 많이 발전하지 못했으며, 경쟁 제품들보다 방어 능력이 떨어졌다.

데스크탑 방화벽 테스트 방법

우리는 중앙 서버로 컴팩컴퓨터의 프로라이언트 DL380(ProLiant DL380)을 사용했다. 이것은 이중 펜티엄 III 933MHz 시스템으로, 640MB 램과 세로 RAID 어레이에 있는 두 개의 9.1GB 울트라3 SCSI 드라이브가 장착돼 있었다. 운영시스템으로는 마이크로소프트 윈도 2000을 사용했으며, 필요에 따라 마이크로소프트 IIS나 SQL 2000을 사용했다. 클라이언트 PC는 윈도 98을 실행하는 델컴퓨터 옵티플렉스 GX1(OptiPlex GX)였다. 몇 개의 트로이 목마 바이러스와 인터넷에서 다운로드 받은 공격 프로그램뿐만 아니라 이페니 에케로(Ifeany Echeruo)에서 만든 쉽생크를 사용했다.

방화벽이 역동적 IP 어드레스를 처리할 수 있는지를 알아보기 위해, 레드햇 리눅스 8.1과 DHCP를 실행하는 델 옵티플렉스 GX1을 셋업했다. 매 5분마다 차용 기간이 만기되도록 했으며, 클라이언트가 새로운 차용 기간에서 새 IP를 받도록 강행시켰다.

복수 네트워크를 시뮬레이팅하기 위해, 시스코시스템즈 4700 라우터를 이용해 두 개의 서브넷을 만들었는데, 하나는 기업 랜, 다른 하나는 인터넷이었다. 라우터는 TCP/IP 패킷만을 전송시켰다. 초기 배치는 네트워크에서, 혹은 인트라넷 웹페이지 밖에서 CD로 배포될 수 있는 스탠드얼론 설치자로 이루어졌다.