COMODO Internet Security&COMODO Firewall Hips 모니터링 설정 방법

꿈을꾸는 파랑새

컴퓨터를 이용해서 인터넷을 사용하면 정말 다양한 정보 등을 얻을 수 있는 장점도 있지만 이에 반대로 단점도 있을 것입니다. 오늘은 저번 시간에 이어서 코모도 인터넷 시큐리티와 코모도 방화벽에 있는 Hips 설정 중에서 모니터링 설정을 하는 방법에 대해 알아보겠습니다. 일단 코모도 방화벽은 정말 무료로 제공되고 있지만 테스터에서 우수한 성적을 보이는 제품입니다. 다만, 아직은 한국어가 공식적으로 지원되지 않는다는 것이 조금은 아쉬운 점이 아닐까 생각이 됩니다.

물론 경제적인 여유가 조금만 있으면 유료 버전을 구매를 통해서 추가적인 보안 기능을 사용할 수가 있습니다. 그리고 무료 버전에서는 기본적으로 인터넷시큐리티 제품군에서는 방화벽 안티바이러스(백신프로그램), 사전 방역기능을 지원하고 있기 때문에 유료 버전하고 무료 버전하고 크게 차이점이 없고 꾸준히 오랫동안 사랑을 받는 제품입니다.

그럼 Hips 설정을 보는 방법은 저번 글에서 잠시 설명을 했기 때문에 이 부분은 생략을 하도록 하겠습니다. 그럼 모니터링 설정 부분에 대해 적어보도록 하겠습니다. 해당 부분을 실행을 시켜주면 아래와 같은 화면을 볼 수가 있습니다. 보시는 거와 같이 기본적으로 설정된 부분도 있을 것이고 사용자가 필요에 따라 설정하는 부분도 있을 것입니다. 물론 해당 기능들을 사용하면 컴퓨터를 사용하면서 보안 쪽에서는 높아질 수가 있겠습니다.

먼저 Interprocess Memory Access: 해당 기능은 악성코드 프로그램이 키보드 입력을 기록하는 행위 등 다양한 악성행위에 대한 악의적인 코드를 삽입을 통한 메모리 공간의 변경 응용프로그램 동작을 변경하려면 하나의 프로세스에서 다른 프로세스 중 하나에 중요한 정보를 전송함으로 민감한 데이터 개인정보 포함 훔치는 프로세스 ID 또는 위장 공격을 하는 것입니다. 이 부분은 기존의 백신프로그램(안티바이러스프로그램) 및 침입탐지에서 어려운 부분을 탐지해서 응용프로그램이 다른 응용프로그램에 할당된 메모리 용량을 변경을 시도할 때 경고하는 기능입니다.

Windows/WinEvent Hooks: 해당 기능은 Windows OS에서 Hooks들이 응용프로그램에 도달하기 전에 함수가 이벤트(메시지, 마우스, 키스트로크)를 감청할 수 있는 메커니즘인 이 함수는 이벤트를 작용하고 어떤 경우에는 변경하거나 취소를 할 수가 있습니다. 정품 소프트웨어 개발자보다 편리한 응용프로그램을 개발할 수 있도록 한 Hooks 기능이 악성코드를 만드는 데 악용이 되고 있고 이로 말미암아서 악성코드가 키보드의 모든 입력을 기록할 수 있거나 마우스의 움직임을 기록 및 컴퓨터에서 일어나는 일들을 모니터링과 변경 그리고 원격에서 컴퓨터를 키보드 값과 마우스 움직임을 통해서 개인정보유출이 될 수 있는 문제를 차단할 수가 있습니다. 즉 그리고 컴퓨터를 사용하는 사용자가 신뢰할 수 없는 응용프로그램 Hooks를 실행할 때마다 사용자에게 경고를 보내는 부분입니다.

Device Driver Installations: 해당 기능은 응용프로그램 및 운영체제는 컴퓨터의 하드웨어 장치와 상호작용하는 것을 허용하는 부분입니다. 예를 들어서 하드웨어장치에는 그래픽카드, 무선랜, CPU, 마우스, 키보드 등이 포함돼 있습니다. 하지만, 완벽하게 좋은 장치드라이버 설치는 시스템 불안정으로 이어질 수 있는 다른 드라이버와 충돌, 악성드라이버 설치는 악의적인 목적이 있는 사람에게 해당 장치의 제어권한을 전달할 수 있어서 해당 부분을 설정해두면 Hips에서는 신뢰할 수 없는 응용프로그램이 설치할 때마다 사용자에게 경고메시지를 보냅니다. 즉 Defense+ Monitor와 다른 응용프로그램을 종료하려는 시도가 있는 신뢰할 수 없는 응용프로그램에 대한 경고입니다.

Processes `Terminations: 프로세스는 프로그램 실행 중인 인스턴스입니다. 예를 들어서 Ctrl+Alt+Del 키를 눌러보면 현재 실행이 되는 시스템목록을 볼 수가 있습니다. 이 부분은 악성코드가 Comodo Firewall과 Comodo Internet security를 강제종료하는 것을 방지해주는 기능을 합니다.

Process Execution: 루트킷과 키로거같은 악성코드는 단독으로 실행되고 백그라운드에서 프로세스를 실행합니다. 이를 악용해서 컴퓨터를 사용하는 사용자의 개인정보 신용카드 번호 비밀번호등을 훔치는 기능을 하고 있습니다. 해당 부분은 HIPS에서 모니터프로세스를 통해서 신뢰할 수 없는 응용프로그램이 호출할 때마다 경고를 표시하는 부분입니다. Windows Messages: 해당 부분은 코모도 인터넷 시큐리티 모니터를 의미하고 다른 응용프로그램의 동작을 변경하는 특별한 윈도우 메시지를 보내 하나의 응용프로그램의 시험하는 기능

DNS/RPC Client Service: widows DNS 서비스에 액세스하려고 하는 경우 해당 설정은 경고하는 기능입니다. DNS recursion attack.A 공격등에 DNS 클라이언트 서비스를 악용하는 악성코드를 방지할 수 있습니다.

Physical Memory: 응용프로그램과 프로세스를 통해서 직접 접근하는 컴퓨터의 메모리를 모니터링 하는 기능입니다.

Computer Monitor: 해당 기능은 코모도 인터넷 시큐리티에 경고 프로세스에 직접 접속을 하지만 신뢰할 수 있는 응용프로그램은 이런 접속은 필요하지만, 악의적인 목적을 가지고 잇는 프로그램에 대한 경고라고 생각하시면 됩니다.

Disk: 예를 들어 해당 기능은 실행 중인 프로세스에 의해서 직접 액세스를 모니터링을 악용한 악성코드로부터 보호하는 기능입니다. 예를 들어서 해당 하드디스크를 검색 또는 하드디스크를 파괴하는 행위에 대한 보호를 해주는 기능입니다.

Keyboard: 해당 기능은 키보드를 감시하는 키로거들은 사용자의 개인정보를 훔치려고 모든 입력을 기록할 수가 있습니다. 해당 설정을 해주면 응용프로그램이 키보드에 직접접근을 시도할 때마다 경고를 표시합니다. 일단 제가 아는 지식수준에서 글을 적어 보았습니다.


이 글을 공유합시다

facebook twitter googleplus kakaostory naver

본문과 관련 있는 내용으로 댓글을 남겨주시면 감사하겠습니다.