COMODO Internet Security: 두 판 사이의 차이

COMODO의 개인용 보안 프로그램. 안티바이러스와 휴리스틱 탐지, 가상화 기술, 방화벽을 포함하고 있으며 유료 버전 외에 무료 버전도 제공하고 있다. 무료 버전 사용자도 유료 서비스인 geekbuddy를 사용할 수 있으나 한국어는 지원하지 않는다.

기능

백신과 방화벽, HIPS, 샌드박스, Viruscope로 이루어져 있다.

안티바이러스 (Antivirus)

실시간 검사와 휴리스틱 기능이 포함되어 있으며 검사 제외, 파일 등급 클라우드 검사 등 다양한 기능을 가지고 있지만 방화벽에 비해 백신의 성능은 아직 부족한 편이다. 그래도 구버전에 비해 많이 개선되어 검사하다 시스템이 뻗는 증상은 없어졌으니 다행. 실시간 검사에 악성으로 의심되는 파일이 검출되었을 경우 기술지원 서비스를 선택할 수 있는 창이 뜬다. 물론 영어.

업데이트가 진행되면서 기능이 추가되고 있다. 파일 평판 검사가 그 예로서 구버전에는 없던 기능.

방화벽 (Firewall)

개인에게 무료로 배포되는 방화벽치고는 기능과 성능이 상당하다. 각 프로세스의 입출력을 따로 제어할 수 있으며 규칙도 상세하게 설정할 수 있는 데다 전역 설정으로 기본적인 규칙을 정한 다음 프로그램별 설정을 따로 적용할수도 있다. IPv6을 지원한다.

하위 메뉴

1. 방화벽 설정(Firewall Settings)' : 방화벽 모드와 경고창 설정, ARP스푸핑 방어 등 전반적인 기본 설정이 모여 있다.
2. 프로그램 규칙(Application Rules) : 시스템에 설치된 프로그램들의 상세 접속 설정을 할 수 있다. 경고창에서 선택사항을 기억시키면 여기에 기록된다.
3. 전역 규칙(Global Rules) : 시스템 전체에 적용되는 규칙을 정한다. 위에 있는 규칙일수록 우선권이 주어진다. 맨 아래에 모든 통신을 차단하는 규칙을 기록하고 그 위에 허용될 영역을 정하는 식으로 설정한다. '스텔스 포트' 기능으로 기본 전역 규칙을 재설정할 수 있다.
4. 규칙(Rulesets) : 프로그램 규칙에 사용할 기본 규칙모음이 들어 있다.
5. 네트워크 영역(Network Zones) : 규칙에 사용될 네트워크 영역을 지정할 수 있다.
6. 포트모음(Portsets) : 규칙에 사용될 포트 영역을 지정할 수 있다.
7. 웹사이트 필터링(Website Filtering) : 특정 웹 주소를 차단할 수 있다.

디펜스+ (HIPS)

윈도우 비스타와 윈도우 7의 UAC와 비슷한 기능으로 프로세스의 활동을 모니터링하고 각 행동에 따라 문의·허용·차단을 결정하는 기능.

프로그램별 규칙을 설정할 수 있으며 이런 설정의 백업도 가능하다. 보안 옵션에 따라 거의 모든 활동을 제어할 수 있기 때문에 알려지지 않은 악성 코드의 감염을 사전에 방지할 수 있으며 COMODO Internet Security의 보안 성능 중 상당한 부분을 차지하는 게 이 HIPS 기능이다. 프로세스의 레지스트리 접근이나 수정, DNS접근, 실행파일 실행, DLL호출등을 전부 제어할 수 있으며 윈도우 필수 프로세스와 자주 사용하는 프로그램에 대한 규칙을 훈련모드로 기억시킨 다음 약간만 다듬는 것으로 개인적인 규칙세트를 만들 수 있다. 이렇게 프로그램별로 규칙을 직접 설정하게 되면 이후 악성코드에 감염되었을때 발생하는 이상 증상을 확인하고 활동을 제한하는것이 더 쉬워지게 된다.

다만 강력한만큼 사용이 까다로운게 단점이라 버전업이 될 때마다 이 기능을 좀 더 쉽게 쓸 수 있는 부가기능들이 추가되고 있다. 7~8버전대에서는 미리 정의된 제조회사들의 목록과 같이 샌드박스를 적극적으로 사용하는 방식으로 변경되었다. HIPS룰을 까다롭게 설정하기보단 샌드박스와 병용해 사용하는 것으로 구버전에선 샌드박스 기능의 완성도가 떨어지고 불안정해 쓰기 힘들었지만 8버전에서는 상당히 안정되었기에 이젠 알려지지 않은 파일을 샌드박스에서 가상화로 실행시키는 것으로 보완하고 있다. 물론 예전처럼 HIPS기능 위주로 '까다롭게' 관리할 수도 있다. 이럴 경우 explorer.exe가 실행시키는 프로세스도 관리할 수 있다. 상대적으로 떨어지는 백신의 성능을 보완하는 기능이며 방화벽과 함께 COMODO Internet Security의 핵심 기능이라고 할 수 있다.

하위 메뉴

1. HIPS 설정(HIPS Settings) : HIPS모드와 팝업창 설정, 기능설정이 모여 있다.
2. HIPS 규칙(HIPS Rules) : HIPS 프로그램 규칙이 기록되어 있다. 경고창에서 선택사항을 기록하면 여기에 들어간다.
3. 규칙(Rulesets) : HIPS 기본 규칙이 들어 있다.
4. 보호된 객체(Protected Objects) : HIPS에서 보호하는 중요 영역들이 들어 있다. 사용자가 추가할 수도 있다.
5. HIPS그룹(HIPS Groups) : '보호된 객체'와 비슷하게 시스템에서 보호될 필요가 있는 영역들의 목록이 들어 있다.

제한구역실행 (Sandbox)

1. 제한구역실행 설정(Sandbox Settings) : 샌드박스 가상화처리에 대한 전반적인 설정. 예외설정도 여기서 한다.
2. 자동-제한구역실행(Auto-Sandbox) : 알려지지 않은 프로그램의 자동 가상화 처리에 대한 설정.
3. 바이러스스코프(Viruscope) : 추가바람

가상화

구버전의 샌드박스에서 시작해 버전8에서는 자동화된 샌드박스 + 데스크탑 가상화가 합쳐진 기능으로 업그레이드 되었다. 구버전의 샌드박스는 설치프로그램의 경우 오류가 발생되는 경우가 잦았고 그 때문에 단순한 실행파일을 실행시키는 것 정도만 가능했지만 이젠 설치부터 실행까지 대부분의 프로그램들을 지원할 정도로 호환성과 안정성이 향상되었다.

기본적으로 알려지지 않은 미확인 실행파일은 모두 가상화상태로 실행되며 이때 시스템에 변경점이 생긴다 해도 샌드박스 밖의 원래 호스트시스템에는 영향을 미치지 않는다. 파일 평판을 통해 가상화 실행 여부를 선택하지만 잘 알려지지 않은 프로그램의 경우 열에 아홉은 가상화로 실행되는 단점이 있다. 이 경우 파일을 예외처리해도 가상화 실행되는 경우가 있으며 이를 피하기 위해서는 해당 파일을 '신뢰' 등급으로 설정해 주어야 한다.

파일 시스템과 레지스트리를 가상화시키며 가상화 상태에서 실행되 파일들이 생성한 파일 역시 시스템에서 격리된 상태로 저장된다. 시스템 저장소의 VTRoot 라는 폴더에 데이터가 저장되며 하위폴더로 각각의 저장소(SSD, HDD등) 의 폴더가 들어 있다. 가상 데스크톱에서 웹 브라우저를 실행시켜 임의의 파일을 다운로드 받는다면 해당 파일은 가상화 시스템에서 보여지는 폴더가 아닌 VTRoot 하위의 해당 저장소 폴더 내에 저장된다. 가상데스크톱에서 웹브라우저의 설정을 바꾸거나 확장기능을 설치한다 해도 원래의 본체에는 영향이 없으니 북마크 추가나 확장기능 설치, 설정 변경은 가상테스크톱 밖에서 해주어야 한다. 가상화상태에서 파일을 수정할 경우 원본파일의 사본을 만들어 수정하게 된다. 이때 가상화/샌드박스를통해 수정된 파일은 VTRoot 하위폴더에서 찾아야 한다.

파일 등급 (File Rating)

1. 파일등급 설정(File Rating Settings) : 파일등급에대한 전반적인 설정이 모여 있다. 클라우드 검색기능을 선택할 수 있다.
2. 파일모음(File Groups) : 각종 기본 파일들의 목록이 저장되어 있다. 여기서 설정한 목록은 디펜스+ 룰 에서도 사용할 수 있다.
3. 파일목록(File List) : 신뢰처리된 파일과 미인식 파일들이 모여 있다. 파일 등급을 여기서 설정되며 새로운 파일들이 자동적으로 등록된다.
4. 제출된 파일(Submitted Files) : 분석을 위해 코모도로 전송된 파일들이 기록되어있다.
5. 신뢰하는 공급자(Trusted Vendors) : 각종 소프트웨어 공급자의 목록이 있다. 원하지 않는 공급자를 신뢰목록에서 제거할 수 있다.

사용법

1. 프로그램을 설치한다. 기술지원 서비스와 웹브라우저도 같이 선택되어 있으니 필요 없다면 해제한다.
2. 방화벽과 디펜스+를 훈련모드로 설정한다.
3. 자주 쓰는 프로그램을 한번씩 실행시킨 후 종료한다.
4. 고급설정 > 일반설정 > 환경설정에서 현재 활성화된 설정을 우클릭 메뉴의 내보내기로 설정값을 백업한다.
5. 백업한 설정파일을 가져오기로 불러와 적당한 이름으로 저장한 다음 불러온 설정값을 활성화한다.
6. 훈련모드 상태에서 재부팅을 한번 한다.
7. 윈도우 필수파일들에 대한 기본적인 설정값이 만들어졌다. 모드를 '청정PC방식' 이상으로 설정한다.
8. 방화벽도 '안전방식' 이상으로 설정한다.

이후 규칙에 없는 파일을 실행할때 알림창이 나오게 된다. 웹브라우저의 경우 통신에 관한 방화벽 알림이 나오고 디펜스의 경우 DLL호출이나 레지스트리 접근 등의 알림이 자주 나오게 된다. 간단한 설명이 같이 나오니 참고해 허용/차단 여부를 결정해 규칙을 만들어나가면 된다. 보통 일주일 정도면 충분하다. 또한 훈련모드에서 재부팅할때 설정된 규칙이 사라져버리는 버그가 있기때문에 한번 만들어진 규칙은 중간 중간 '내보내기' 기능으로 백업을 해둘 필요가 있다.

주의사항

디펜스+ 프로그램 규칙을 '허용된 프로그램' 이나 '윈도우 시스템 프로그램' 등급으로 설정하면 다시는 알림창이 뜨지 않지만 이는 해당 프로그램이 하는 일을 '모두' 허용한다는 의미이기 때문에 취약점을통한 공격이나 DLL변조에 의한 공격에 취약해질수밖에 없다. 예를들어 '윈도우 시스템 프로그램' 등급은 특정 프로그램이 다른 실행파일을 실행시켜 새 프로세스를 만드는걸 허용하는데 이 등급을 아무 파일에나 적용시키면 해당 파일이 악성 프로그램을 내려받아 (방화벽에서도 허용되어 있을 경우) 실행시키는걸 막을 수 없다. 물론 새로 실행되는 프로그램은 반드시 알림창이 뜨게 되어 있어 바로 문제가 생기지는 않지만 '훈련모드'로 실행되어 있다거나 악성DLL을 불러오게 된다거나 하면 피해를 막을 수 없다. UAC를 끈다거나 OS업데이트를 바로 적용하지 않는 특수한 상황에서는 조금 귀찮더라도 아래의 프로세스는 '사용자 규칙묶음' 을 통해 관리하는 게 좋다.

1. explorer.exe
2. svchost.exe
3. rundll32.exe
4. conhost.exe
5. cmd.exe
6. 웹브라우저