기본 콘텐츠로 건너뛰기

안전한 테스트 환경 구축을 위한 Sandboxie

일반적으로 컴퓨터에 어떤 제품을 설치해서 테스트 할 경우 여러모로 참 난감한 경우가 많다.

특히나 윈도우 환경에서 제품을 설치하고 삭제하고 재설치하는 과정을 반복하다 보면 레지스트리가 엉키면서 윈도우를 재설치 해야할 경우도 많다.

일반적으로 어떤 제품을 설치하여 테스트 할 때 가장 많이 사용하는 방법은 VirtualBOx와 같은 가상 머신을 설치하고 그 안에 여러 환경을 가정하여 테스트를 한다.

하지만 그런 경우를 제외하고 동일한 환경에서 설치와 삭제를 여러번 반복해야 할 경우 약간의 문제가 생긴다.
대표적인 것이 드라이버나 레시스트리가 엉키면서 윈도우를 재설치 해야할 경우이다. 이런 불편함을 해소할 수 있는 가상 머신과는 다른 가상화 기술이 있다.

하드디스크의 일정 영역에 진짜 모래통과 같이 단단히 밀봉된 리소스 영역을 만드는 샌드 박스 기술입니다.
샌드 박스 기술을 응용한 제품은 검색을 해보면 의외로 많은 제품을 찾을 수 있다.
오늘 소개할 제품은 그 중 가장 유명한 제품 중 하나인 Sandboxie 입니다.

이 제품은 개인은 무료로 사용할 수 있지만 기업은 돈을 내고 라이센스를 구입해야만 합니다.
자세한 라이센스는 아래 주소에서 확인할 수 있습니다.

http://www.sandboxie.com/index.php?EndUserLicenseAgreement

Sandboxie는 설치 후 30일동안은 제한 없이 사용이 가능하지만 30일이 지나면 처음 시작할 때 아래와 같은 팝업이 뜹니다.
실제 영문 제품의 메시지는 어떤지 알 수는 없지만 번역을 한 분의 센스가 참 돋보이는 것 같습니다.

최근 많은 서비스와 제품들의 경고 메시지가 위와 같이 어떤 소비자의 감성에 호소하거나 재미있는 메시지를 출력하는 경우가 많은데.. 위 메시지를 매일 매일 보고 있자니 정말 너무 너무 마음이 아파서 실제 제품을 구매했습니다.

그런데 웬만한 백신보다도 값이 싸다는 건 좀 허풍이 심한 것 같습니다. 현재 제품 가격은 47,207원입니다. 웬만한 백신 가격보다는 확실히 비싼 가격 같지만.. 평생 라이센스를 보장하기 때문에 1년에 한번씩 라이센스를 업데이트 해야하는 백신보다는 확실히 싼거 맞습니다.

구매 페이지는 한글로 제공되고 무엇보다 좋은 것은 어떤 Active X도 없이 아주 편안한게 일사천리로 제품을 구매할 수 있습니다. 써보시고 유용하다 생각되시는 분들은 구매 대열에 동참해 주시면 좋을 것 같습니다. 다른 오픈 소스 제품들에 기부는 안하면서 저 메세지에 중독되어서 제품을 덜컥 질러버린 저도 참..

그나저나 우리 나라도 Active X 없이 물건 좀 살 수 있는 날이 얼릉 왔으면 좋겠네용.. 사설은 여기까지 그만하고..

제품에 대한 설명은 홈페이지에 비록 영문이지만 자세히 나와 있습니다.
이 제품은 꼭 테스트 환경 구축을 위해서만 쓸 수 있는 건 아닙니다.

우리나라에서 인터넷을 돌아다니면서 시도때도 없이 설치를 요구하는 Active X 와 같은 믿지 못할 설치 프로그램을 시범적으로 설치해서 확인하는 용도로도 쓸 수 있습니다.

Sandboxie는 진짜 모래통과 같이 단단히 밀봉된 리소스 영역을 정해두고 그 속에서 프로그램을 실행합니다.

최초에는 프로그램 실행을 위해서 실제 시스템으로부터 데이터를 읽어들지만 그 후에는 데이터를 저장하거나 변경할 때 실제 시스템에 저장되는 것이 아니라 샌드박스내의 가상 시스템에 적용을 하게 됩니다. 즉, 만들어진 보호버퍼는 기존의 시스템과 분리된 완전히 새로운 시스템이 되는 것입니다. 나중에 해당 보호버퍼가 필요없다면 보호버퍼를 삭제하는 것만으로 모든 것을 해결할 수 있습니다. 따라서 의심스러운 프로그램이나 Active X와 같은 것들이 기존의 시스템에 영향을 미치는 것을 원천적으로 봉쇄할 수 있습니다. 또한 보호버퍼에 설치되는 프로그램이 관리자 권한을 요구하는 어떤 행위를 할 때 메시지를 출력함으로써 해당 프로그램이나 Active X의 위험성에 대해 미리 판단할 수도 있습니다.

국내에서 가장 악독한 녀석은 역시 nProtect 입니다. 때문에 Sandboxie 에서 구동할 수 없는 프로그램이나 Active X 도 꽤 많습니다. 물론 프로그램의 설정을 조금만 변경하면 사용할 수는 있지만 그렇게 되면 Sandboxie를 사용하는 의미가 많이 퇴색되겠죠.

사용 방법은 매우 간단합니다. 보호버퍼에서 실행하고자 하는 프로그램을 마우스로 우클릭하여
보호 모드로 열기만 선택해 주시면 됩니다.

예를 들어 보호버퍼에서 인터넷 익스플로러를 실행한 모습입니다. 프로그램 제목줄에 [#] ~ [#]로 샌드 박스 내에서 실행중이라는 표시가 되어있습니다. 나머지는 평상시에 IE를 사용하는 것과 아무런 차이가 없습니다.

만약 보호버퍼에서 무엇인가를 저장하거나 설치할 때에는 변경 사항에 관해 아래와 같은 경고창이 뜹니다.
가져오기는 기존의 시스템에 해당 파일을 저장하거나 설치를 하는 것이기 때문에 만약 기존 시스템에 영향을 줄 의사가 없으시다면 그냥 닫기를 선택해 주시면 됩니다.

그냥 닫기를 선택하신다면 저장한 파일이나 설치한 프로그램은 기존의 시스템에서 아무리 찾아보셔도 찾으실 수 없으실 겁니다.

그리고 보호버퍼에 설치된 파일이나 다운로드 받은 파일이 나중에 기존의 시스템에 반영되기를 원하는 경우에도 쉽게 보호버퍼에서 기존의 시스템으로 적용시킬 수 있습니다. 이 때 전부 또는 개별적으로 선택해서 옮길 수 있습니다.

트레이 아이콘에서 팝업을 통해 버퍼에서 가져오기를 선택합니다.
그러면 아래와 같은 창이 뜨고 해당 창에서 원하는 부분을 선택해서 기존 시스템에 반영할 수 있습니다.

지금까지 간단하게 Sandboxie를 사용하여 안전하게 데이터를 가두고, 가두어둔 영역내에서 데이터를 실행하는 것 까지 살펴보았습니다. '가져오기' 만 남발하지 않는다면 악성코드라든가 하는 문제에 있어서는 조금 더 안전한 환경을 만들 수 있을 것입니다.

그리고 Sandboxie에는 이외에도 정말 많은 기능들이 숨어 있습니다. 그러한 기능은 여러분이 직접 찾아보시기 바랍니다.

댓글

이 블로그의 인기 게시물

비츠 스튜디오 버즈 플러스(투명) 사용 후기

제 내자분은 아직도 유선 이어폰을 쓰고 있습니다. 그게 좋다고 하시더라구요. 작년에 혹시나 해서 앤커 사운드코어 라이프Q35를 구매해서 조공해봤지만 결국은 안쓰시더라구요. 그래서 작년 추운 겨울에 제가 귀마게 용으로 잘 사용해왔는데.. 여름이 되니.. 와.. 이건 너무 덥고 무거워서 못쓰겠더라구요. 아이폰도 사고 애플 워치도 샀으니.. 다음은 에어팟인데.... 노이즈 캔슬링이 된다는 에어팟 프로 2는 ... 네... 너무 비싸더라구요... 이건 내자분께 얘기해봐야 결제가 될리가 없어서... 고민하고 있던차에.. 네.. 저는 봐버리고 말았습니다. 비츠 스튜디오 버즈 플러스의 그 영롱한 투명 버전의 자태를... 급 뽐뿌가 왔지만.. 여전히 20만원의 고가더라구요... 초기 출시 시기에 이벤트로 16만원 정도 했던거 같은데.. 그정도 가격이면 선 결제 후 보고 하면 될거 같은데.. 20만원은 너무 너무 비싸서 침만 삼키던 차에.. 당근에 15만원에 올라온 물건을 덥석 물었습니다. 애플 뮤직 6개월 프로모션 코드도 사용하지 않은 따끈따끈한 제품이라서 그냥 질렀습니다. 이상하게 인터넷이 실제 리뷰 게시물을 찾기 힘들어서.. 고민을 잠깐 했지만.. 그 투명하고 영롱한 자태에 그만... 어쨌든 구매하고 한달 정도 사용해본 후기를 간단하게 남겨봅니다. 1. 노이즈 캔슬링은 기대한 것과는 좀 다르고 앤커 사운드코어 라이프Q35 정도 되는 것 같습니다. 노이즈 캔슬링은 활성화하면 이게 소리를 막아준다기보다는 주변의 작은 소음만 제거해준다고 생각하시면 됩니다. 그러니까 옆에서 소근 거리는 소리나 선풍기 바람 소리 같은 작은 소리들이 사라지고 음악 같은 내가 듣고자 하는 소리가 굉장히 뚜렸해지만 지하철 안내 방송 같은 조금 큰 소리는 그냥 들립니다. 그래서 주변음 허용 모드를 켜보면 너무 시끄러워서 안쓰게 되더라구요. 전 에어팟 프로 2를 사용해 본적이 없어서 비교할 수는 없지만.. 아주 못쓸 정도의 성능은 아니라고 생각됩니다. 2. 저는 귓구멍이 너무 작아서 XS 사이즈의 이어팁

테스트 케이스와 체크리스트의 차이가 뭐여?

테스트 실무에서 가장 혼돈되어 사용되는 용어 중 하나가 테스트 케이스와 체크리스트입니다. 많은 경우 체크리스트를 테스트 케이스로 사용하는 경우가 많습니다. 실제로 인터넷 커뮤니티나 블로그, ISO, IEEE, ISTQB 등등을 검색해보시면 테스트 케이스와 체크리스트에 대한 구분이 다 제각각입니다. 각각에 대한 정의가 다 제각각입니다. 사정이 이러하다보니 많은 사람들이 테스트 케이스와 체크리스트를 잘 구분하지 못하고 혼동해서 사용하는 경우가 많습니다. 물과 기름처럼 테스트 케이스와 체크리스트를 정확하게 구분할 수는 없겠지만.. ISTQB를 기준으로 말씀드리면 설계 기법을 통해 도출된 것은 테스트 케이스 그렇지 않은 것은 체크리스트라고 생각하시면 쉽습니다. 예를 들면 아래는 결정 테이블 테스팅 기법을 통해 도출된 테스트 케이스의 예제입니다. 실제 테스트 케이스는 위보다 복잡하겠지만 어쨌든 얘기하고 싶은 것은 위와 같이 설계 기법을 통해서 도출된 것은 테스트 케이스라고 합니다. 그런데 딱 보시면 아시겠지만 실제 테스트에서는 저 정도로는 테스트 커버리지를 충분히 만족했다고 얘기하기 힘듭니다. 그렇습니다. 어떤 분들은 테스트 케이스가 전가의 보도, 은 총알 쯤으로 생각하시는데.. 테스트 케이스는 일종의 마지노 선이라고 보시면 됩니다. 최소한 제품을 테스트 할때 이정도는 해줘야 한다는 최후의 방어선 정도라고 보시면 됩니다. 전쟁에서 최후의 방어선은 물러설 수 없는 마지막 보루입니다. 하지만 최후의 방어선만 지킨다고 전쟁에서 승리할 수는 없습니다. 프랑스는 마지노 요새만 믿고 있다가 독일에게 깔끔하게 발렸던 과거가 있지요. 전쟁에서 승리하려면 앞으로 나가야하고 치밀한 전략과 전술이 뒷받침 되어야 합니다. 더 높은 커버리지를 도달하고, 충분히 좋은 테스트가 수행되려면 테스트 케이스는 기본이 되어야 하고 거기에 더해서 체크리스트가 따라와 줘야 합니다. 이러한 체크리스트는 팀의 경험과 과거 프로젝트의 데이

웹 애플리케이션의 보안 취약점을 찾기 위한 통합 침투 테스트 도구 - OWASP Zed Attack Proxy

웹 애플리케이션의 보안 취약점을 테스트하기 위해 그동안 Paros 란 프로그램을 사용해 왔었는데, 안타깝게도 이 프로그램이 업데이트가 되지 않은지 너무 오래돼서 최신의 보안 취약점 검사에는 한계가 있어 이번에 다시 한번 열심히 검색해서 제 나름 기준으로 꽤 좋은 도구를 하나 찾아서 소개해볼까 합니다. 분명 국내에는 저보다 더 능력이 되시는 많은 보안 테스터분들께서 더 좋은 도구를 가지고 테스트를 하시리라 믿습니다만.. 구글에서는 어찌 된 것이 아무리 검색해도 한글로 된 자료를 찾기가 참 어렵습니다. 아마 오늘 제가 소개해 드리는 이 프로그램도 제가 최초가 아닐까? 조심스럽게 생각해 봅니다. 그리고 저도 아직까지 이 프로그램의 모든 기능을 전문적으로 사용하고 있지 못하기 때문에 관련된 자료나 방법을 아시는 분은 같이 공유해주시면 고맙겠습니다. 오늘 소개해드리는 프로그램은 제가 OWASP 홈페이지를 검색하면서 찾아낸 도구입니다. 이 프로그램은 Paros에서 갈라져 나온 프로그램으로 기본적인 사용방법은 Paros와 거의 똑같습니다. 다만 Paros에는 없는 여러가지 기능들이 포함된 정말 종합선물세트와 같은 프로그램입니다. 이 프로그램이 무엇이냐? 바로 OWASP Zed Attack Proxy 라는 프로그램입니다. 이 프로그램에 대한 자세한 내용은 https://www.owasp.org/index.php/ZAP 에서 보실 수 있습니다. 프로그램 소개에는 한국어도 지원한다고 하지만 제 경우에는 아무리 해도 한국어로 나오지는 않네요. 프로그램을 다운로드 하셔서 설치하시고 Weekly Release도 같이 설치하시기 바랍니다. Weekly Release는 zip 파일의 압축을 해제하셔서 설치 디렉토리업 덮어쓰기 하시면 됩니다. 설치를 다 하셨으면 이제 이걸 쓰는 법을 알아보겠습니다. 우선은 브라우저에서 프록시 설정을 해주셔야 합니다. 프록시를 설정하시는 방법은 프로그램에서 F1을 누르셔서 도움말을 실행하신 후에 Getti