편집토론기록

COMODO Internet Security: 두 판 사이의 차이

잔글 (→‎기타: 추가바람)
68번째 줄: 68번째 줄:
# 백업한 설정파일을 가져오기로 불러와 적당한 이름으로 저장한 다음 불러온 설정값을 활성화한다.
# 백업한 설정파일을 가져오기로 불러와 적당한 이름으로 저장한 다음 불러온 설정값을 활성화한다.
# 훈련모드 상태에서 재부팅을 한번 한다.
# 훈련모드 상태에서 재부팅을 한번 한다.
# 윈도우 필수파일들에 대한 기본적인 설정값이 만들어졌다. 모드를 '청정PC방식' 이상으로 설정한다.
# 윈도우 필수파일들에 대한 기본적인 설정값이 만들어졌다. 모드를 '안전모드(Safe Mode)' 설정한다.
# 방화벽도 '안전방식' 이상으로 설정한다.
# 방화벽도 'Safe Mode' 이상으로 설정한다.


이후 규칙에 없는 파일을 실행할때 알림창이 나오게 된다. 웹브라우저의 경우 통신에 관한 방화벽 알림이 나오고 디펜스의 경우 DLL호출이나 레지스트리 접근 등의 알림이 자주 나오게 된다. 간단한 설명이 같이 나오니 참고해 허용/차단 여부를 결정해 규칙을 만들어나가면 된다. 보통 일주일 정도면 충분하다. 또한 훈련모드에서 재부팅할때 설정된 규칙이 사라져버리는 버그가 있기때문에 한번 만들어진 규칙은 중간 중간 '내보내기' 기능으로 백업을 해둘 필요가 있다.
이후 규칙에 없는 파일을 실행할때 알림창이 나오게 된다. 웹브라우저의 경우 통신에 관한 방화벽 알림이 나오고 디펜스의 경우 DLL호출이나 레지스트리 접근 등의 알림이 자주 나오게 된다. 간단한 설명이 같이 나오니 참고해 허용/차단 여부를 결정해 규칙을 만들어나가면 된다. 보통 일주일 정도면 충분하다. 또한 훈련모드에서 재부팅할때 설정된 규칙이 사라져버리는 버그가 있기때문에 한번 만들어진 규칙은 중간 중간 '내보내기' 기능으로 백업을 해둘 필요가 있다.

2017년 3월 10일 (금) 15:36 판

Comodo v10.png

COMODO의 개인용 보안 프로그램. 안티바이러스와 휴리스틱 탐지, 가상화 기술, 방화벽을 포함하고 있으며 유료 버전 외에 무료 버전도 제공하고 있다. 무료 버전 사용자도 유료 서비스인 geekbuddy를 사용할 수 있으나 한국어는 지원하지 않는다.

기능

백신과 방화벽, HIPS, 샌드박스, Viruscope로 이루어져 있다.

안티바이러스 (Antivirus)

실시간 검사와 휴리스틱 기능이 포함되어 있으며 검사 제외, 클라우드 검사, 루트킷 스캐너 등 다양한 기능을 가지고 있지만 방화벽에 비해 백신의 성능은 아직 부족한 편이다. 그래도 구버전에 비해 많이 개선되어 검사하다 시스템이 뻗는 증상은 없어졌지만 여전히 싱글코어만 사용한다던가 오진이 많다던가 하는식으로 타사 백신에 비해 부족한점이 있다. 실시간 검사에 악성으로 의심되는 파일이 검출되었을 경우 기술지원 서비스를 선택할 수 있는 창이 뜬다. 물론 영어.

업데이트가 진행되면서 기능이 추가되고 있다. 파일 평판 검사가 그 예로서 구버전에는 없던 기능이다.

방화벽 (Firewall)

개인에게 무료로 배포되는 방화벽치고는 기능과 성능이 상당하다. 각 프로세스의 입출력을 따로 제어할 수 있으며 규칙도 상세하게 설정할 수 있는 데다 전역 설정으로 기본적인 규칙을 정한 다음 프로그램별 설정을 따로 적용할수도 있다. IPv6을 지원한다. 또한 내부 네트워크를 감지해 자동으로 신뢰영역으로 지정해 최소한의 규칙을 만들어주는 기능도 있고 직관적인 인터페이스로 윈도우 방화벽에 비해 규칙을 만들어 적용하는게 쉬우며 클라우드 기반 행동분석, 이벤트로깅, 프로토콜수준의 행동분석, 드라이브 바이 다운로드에 대한 보호기능, 버퍼오버플로우 방지, 안전한 응용프로그램 무결성 검사 데이터베이스, 웹 URL필터등 고급기능들이 포함되어 있다.

하위 메뉴

  1. 방화벽 설정(Firewall Settings)' : 방화벽 모드와 경고창 설정, ARP스푸핑 방어 등 전반적인 기본 설정이 모여 있다.
  2. 프로그램 규칙(Application Rules) : 시스템에 설치된 프로그램들의 상세 접속 설정을 할 수 있다. 경고창에서 선택사항을 기억시키면 여기에 기록된다.
  3. 전역 규칙(Global Rules) : 시스템 전체에 적용되는 규칙을 정한다. 위에 있는 규칙일수록 우선권이 주어진다. 맨 아래에 모든 통신을 차단하는 규칙을 기록하고 그 위에 허용될 영역을 정하는 식으로 설정한다. '스텔스 포트' 기능으로 기본 전역 규칙을 재설정할 수 있다.
  4. 규칙(Rulesets) : 프로그램 규칙에 사용할 기본 규칙모음이 들어 있다.
  5. 네트워크 영역(Network Zones) : 규칙에 사용될 네트워크 영역을 지정할 수 있다.
  6. 포트모음(Portsets) : 규칙에 사용될 포트 영역을 지정할 수 있다.

디펜스+ (HIPS)

윈도우 비스타윈도우 7의 UAC와 비슷한 느낌의 기능으로 프로세스의 활동을 모니터링하고 각 행동에 따라 문의·허용·차단을 결정하는 기능. 프로그램이 메모리에 로드되기 전에 무결성을 확인하며 클라우드기반 분석기능과 핵심OS파일, 레지스트리등을 보호하고 프로세스를 모니터링하며 루트킷, 메모리 인젝션, 키로거등의 악성코드들의 공격에 시스템을 보호한다. UAC와 비교할때 이런 고급기능들을 제외하고 차이점을 하나 뽑자면 파일단위로 규칙을 기억시켜 경고창이 뜨지 않게 운영할 수 있다는것이 다른점이다. HIPS는 규칙을 기억시킨다면 한번 물어본건 다시 물어보지 않는다. (계속 물어보게 할수도 있다.)

프로그램별 규칙을 설정할 수 있으며 이런 설정의 백업도 가능하다. 보안 옵션에 따라 거의 모든 활동을 제어할 수 있기 때문에 알려지지 않은 악성 코드의 감염을 사전에 방지할 수 있으며 COMODO Internet Security의 보안 성능 중 상당한 부분을 차지하는 게 이 HIPS 기능이다. 프로세스의 레지스트리 접근이나 수정, DNS접근, 실행파일 실행, DLL호출등을 전부 제어할 수 있고 윈도우 필수 프로세스와 자주 사용하는 프로그램에 대한 규칙을 훈련모드로 기억시킨 다음 약간만 다듬는 것으로 개인적인 규칙세트를 만들 수 있다. 이렇게 프로그램별로 규칙을 직접 설정하게 되면 이후 악성코드에 감염되었을때 발생하는 이상 증상을 확인하고 활동을 제한하는것이 더 쉬워지게 된다.

다만 강력한만큼 사용이 까다로운게 단점이라 버전업이 될 때마다 이 기능을 좀 더 쉽게 쓸 수 있는 부가기능들이 추가되고 있다. 7~8버전대에서는 미리 정의된 제조회사들의 목록과 같이 샌드박스를 적극적으로 사용하는 방식으로 변경되었고 10버전에서는 CleanPCMode삭제로 옵션이 하나 줄었다.

HIPS룰을 까다롭게 설정하기보단 샌드박스와 병용해 사용하는 것으로 구버전에선 샌드박스 기능의 완성도가 떨어지고 불안정해 쓰기 힘들었지만 8버전에서는 상당히 안정되었으며 10버전에서는 700%의 속도향상으로(제작사 주장) 좀더 편하게 샌드박스를 이용할 수 있어 알려지지 않은 파일을 샌드박스에서 가상화로 실행시키는 것으로 백신의 부족함을 보완해도 큰 불편함이 없게 되었다. 물론 예전처럼 HIPS기능 위주로 '까다롭게' 관리할 수도 있다. 이럴 경우 explorer.exe가 실행시키는 프로세스도 관리할 수 있다. 상대적으로 떨어지는 백신의 성능을 보완하는 기능이며 방화벽과 함께 COMODO Internet Security의 핵심 기능이라고 할 수 있다.

하위 메뉴

  1. HIPS 설정(HIPS Settings) : HIPS모드와 팝업창 설정, 기능설정이 모여 있다.
  2. HIPS 규칙(HIPS Rules) : HIPS 프로그램 규칙이 기록되어 있다. 경고창에서 선택사항을 기록하면 여기에 들어간다.
  3. 규칙(Rulesets) : HIPS 기본 규칙이 들어 있다.
  4. 보호된 객체(Protected Objects) : HIPS에서 보호하는 중요 영역들이 들어 있다. 사용자가 추가할 수도 있다.
  5. HIPS그룹(HIPS Groups) : '보호된 객체'와 비슷하게 시스템에서 보호될 필요가 있는 영역들의 목록이 들어 있다.

제한구역실행 (Sandbox)

  1. 제한구역실행 설정(Sandbox Settings) : 샌드박스 가상화처리에 대한 전반적인 설정. 예외설정도 여기서 한다.
  2. 자동-제한구역실행(Auto-Sandbox) : 알려지지 않은 프로그램의 자동 가상화 처리에 대한 설정.

가상화

구버전의 샌드박스에서 시작해 버전8에서는 자동화된 샌드박스 + 데스크탑 가상화가 합쳐진 기능으로 업그레이드 되었다. 구버전의 샌드박스는 설치프로그램의 경우 오류가 발생되는 경우가 잦았고 그 때문에 단순한 실행파일을 실행시키는 것 정도만 가능했지만 이젠 설치부터 실행까지 대부분의 프로그램들을 지원할 정도로 호환성과 안정성이 향상되었다.

기본적으로 알려지지 않은 미확인 실행파일은 모두 가상화상태로 실행되며 이때 시스템에 변경점이 생긴다 해도 샌드박스 밖의 원래 호스트시스템에는 영향을 미치지 않는다. 파일 평판을 통해 가상화 실행 여부를 선택하지만 잘 알려지지 않은 프로그램의 경우 열에 아홉은 가상화로 실행되는 단점이 있다. 이 경우 파일을 예외처리해도 가상화 실행되는 경우가 있으며 이를 피하기 위해서는 해당 파일을 '신뢰' 등급으로 설정해 주어야 한다.

파일 시스템과 레지스트리를 가상화시키며 가상화 상태에서 실행되 파일들이 생성한 파일 역시 시스템에서 격리된 상태로 저장된다. 시스템 저장소의 VTRoot 라는 폴더에 데이터가 저장되며 하위폴더로 각각의 저장소(SSD, HDD등) 의 폴더가 들어 있다. 가상 데스크톱에서 웹 브라우저를 실행시켜 임의의 파일을 다운로드 받는다면 해당 파일은 가상화 시스템에서 보여지는 폴더가 아닌 VTRoot 하위의 해당 저장소 폴더 내에 저장된다. 가상데스크톱에서 웹브라우저의 설정을 바꾸거나 확장기능을 설치한다 해도 원래의 본체에는 영향이 없으니 북마크 추가나 확장기능 설치, 설정 변경은 가상테스크톱 밖에서 해주어야 한다. 가상화상태에서 파일을 수정할 경우 원본파일의 사본을 만들어 수정하게 된다. 이때 가상화/샌드박스를통해 수정된 파일은 VTRoot 하위폴더에서 찾아야 한다.

파일 등급 (File Rating)

  1. 파일등급 설정(File Rating Settings) : 파일등급에대한 전반적인 설정이 모여 있다. 클라우드 검색기능을 선택할 수 있다.
  2. 파일모음(File Groups) : 각종 기본 파일들의 목록이 저장되어 있다. 여기서 설정한 목록은 디펜스+ 룰 에서도 사용할 수 있다.
  3. 파일목록(File List) : 신뢰처리된 파일과 미인식 파일들이 모여 있다. 파일 등급을 여기서 설정되며 새로운 파일들이 자동적으로 등록된다.
  4. 제출된 파일(Submitted Files) : 분석을 위해 코모도로 전송된 파일들이 기록되어있다.
  5. 신뢰하는 공급자(Trusted Vendors) : 각종 소프트웨어 공급자의 목록이 있다. 원하지 않는 공급자를 신뢰목록에서 제거할 수 있다.

기타

  1. 바이러스스코프(Viruscope) : 현재 COMODO Cloud Antivirus 제품에 탑재되어 있으며, 이 기술은 실행프로그램을 샌드박스에서 자동으로 실행시킨다음 사용자에게 샌드박스로 실행시켰다고 말해준다. 이 기술로 안전하지 않은 프로그램은 거의 대부분 샌드박스로 실행되어 시그니처와 클라우드로 못 막는 바이러스를 막는다. 유튜브에 Comodo Cloud Antivirus에 대한 리뷰 동영상에서도 이 기술로 인해 바이러스 테스트 할때, 결론적으로 컴퓨터에 위협이 된거는 하나도 없었다.
  2. 웹사이트 필터링(Website Filtering) : 특정 웹 주소를 차단할 수 있다. 와일드카드를 지원하며 자바스크립트를 로드하는 주소도 막을 수 있다.
  3. 보안쇼핑(Secure Shopping) : 특정 쇼핑사이트에 접속할때 PC의 다른부분과 격리된 가상환경내에서 브라우저를 실행해 온라인뱅킹, 쇼핑세션에대한 추가적인 보안시스템을 구축하는 기능. 원격 해킹에 대한 보호와 추가적인 SSL인증서 인증을 제공한다고 소개되어 있다.

사용법

  1. 프로그램을 설치한다. 기술지원 서비스와 웹브라우저도 같이 선택되어 있으니 필요 없다면 해제한다.
  2. 방화벽과 디펜스+를 훈련모드로 설정한다.
  3. 자주 쓰는 프로그램을 한번씩 실행시킨 후 종료한다.
  4. 고급설정 > 일반설정 > 환경설정에서 현재 활성화된 설정을 우클릭 메뉴의 내보내기로 설정값을 백업한다.
  5. 백업한 설정파일을 가져오기로 불러와 적당한 이름으로 저장한 다음 불러온 설정값을 활성화한다.
  6. 훈련모드 상태에서 재부팅을 한번 한다.
  7. 윈도우 필수파일들에 대한 기본적인 설정값이 만들어졌다. 모드를 '안전모드(Safe Mode)' 로 설정한다.
  8. 방화벽도 'Safe Mode' 이상으로 설정한다.

이후 규칙에 없는 파일을 실행할때 알림창이 나오게 된다. 웹브라우저의 경우 통신에 관한 방화벽 알림이 나오고 디펜스의 경우 DLL호출이나 레지스트리 접근 등의 알림이 자주 나오게 된다. 간단한 설명이 같이 나오니 참고해 허용/차단 여부를 결정해 규칙을 만들어나가면 된다. 보통 일주일 정도면 충분하다. 또한 훈련모드에서 재부팅할때 설정된 규칙이 사라져버리는 버그가 있기때문에 한번 만들어진 규칙은 중간 중간 '내보내기' 기능으로 백업을 해둘 필요가 있다.

주의사항

COMODO Internet Security는 방화벽과 가상화, 백신, 악성코드 방어(HIPS), 클라우드기능과 Killswich등의 고급 작업관리자 기능이 모두 무료판에 들어있는 훌륭한 보안프로그램이지만 개발된지 얼마 안되는 백신의 뒤떨어지는 성능과 8.X버전의 프리징버그와 같은 약간의 문제를 가지고 있다. 타사백신과 조합하는게 아닌 코모도의 백신을 쓰고있다면 웹브라우저의 버전과 코모도의 HIPS기능을 활용하고 인터넷에서 내려받은 프로그램의 실행에 주의하며 의심가는 프로그램인 경우 샌드박스와 HIPS의 기능을 활용해 시스템에 미치는 영향을 제한한 상태로 실행해 보는식으로 검증할 필요도 있다.

코모도는 방화벽과 HIPS가 훌륭하지만 백신은 그저그런수준으로 구버전에서는 검사하다가 시스템이 다운되는경우도 있을정도로 엉망이었다. 8.X 버전에서는 이부분이 개선되어 검사하다 다운되는 증상은 사라졌지만 실시간검사의 영향으로 프로그램 실행이 지연되는 문제는 여전하다. 프리징버그도 생겼는데 키보드가 먹통이되고 마우스커서는 움직이지만 클릭이 안되는 증상이 나타난다. 특정 프로세스가 System이나 Windows Operating System에 후킹을 시도할때 HIPS에 가로막혀 알림창이 떠야하는데 사용자의 입력 대기상태에서 버그로 알림창이 뜨지 않고 타임아웃시간동안 대기를 타는 현상으로 일반적으로는 타임아웃시간이 지나면 창이 자동으로 닫히면서 프리징이 풀리지만 열에 아홉은 다시 후킹을 시도하면서 창이 또 안떠서 다시 프리징에 걸린다. HIPS설정을 까다롭게 일일히 설정했을때 자주 걸리는 증상으로 포럼에도 보고가 된 버그지만 8.2 버전에서도 해결되지 않았다. 시스템에 문제가 생긴것은 아니기에 추가적인 검사를 할 필요는 없지만 그냥 무작정 기다리거나 리셋버튼을 누를수밖에 없다. 프로그램이 업데이트 되면서 다소 개선되기는 했지만 역시나 짜증나고 신경쓰이는 버그로서 HIPS의 적응하기 힘든 특성과 함께 COMODO Internet Security 의 큰 단점중 하나이다.

디펜스+ 프로그램 규칙을 '허용된 프로그램' 이나 '윈도우 시스템 프로그램' 등급으로 설정하면 다시는 알림창이 뜨지 않지만 이는 해당 프로그램이 하는 일을 '모두' 허용한다는 의미이기 때문에 취약점을통한 공격이나 DLL변조에 의한 공격에 취약해질수밖에 없다. 예를들어 '윈도우 시스템 프로그램' 등급은 특정 프로그램이 다른 실행파일을 실행시켜 새 프로세스를 만드는걸 허용하는데 이 등급을 아무 파일에나 적용시키면 해당 파일이 악성 프로그램을 내려받아 (방화벽에서도 허용되어 있을 경우) 실행시키는걸 막을 수 없다. 물론 새로 실행되는 프로그램은 반드시 알림창이 뜨게 되어 있어 바로 문제가 생기지는 않지만 '훈련모드'로 실행되어 있다거나 악성DLL을 불러오게 된다거나 하면 피해를 막을 수 없다. UAC를 끈다거나 OS업데이트를 바로 적용하지 않는 특수한 상황에서는 조금 귀찮더라도 아래의 프로세스는 '사용자 규칙묶음' 을 통해 관리하는 게 좋다.

  1. explorer.exe
  2. svchost.exe
  3. rundll32.exe
  4. conhost.exe
  5. cmd.exe
  6. 웹브라우저

참고 : https://help.comodo.com