그 동안 많은 독자들로부터 안티 바이러스뿐 아니라 방화벽에 대한 리뷰 요청 메일을 받았습니다. (이 글을 일고 있는 여러분 중에는 필자에게 메일을 보낸 분들도 있으리라 봅니다..^^) 그러나 그간 리뷰를 뒤로 미루었는데, 그 이유 중 하나는 바로 만족할만한 방화벽이 없었기 때문입니다.

현재 많은 이들이 사용하고 있는 존알람, 아웃포스트, 룩앤스탑 등은 방화벽들은 고유의 문제점이 하나씩 있었으니, 가장 큰 문제는 인터넷이 느려지는 것이고, 그 다음은 일반적인 초보 사용자가 사용하기에 다소 어렵다는 것입니다. 이는 방화벽이 포함된 안티 바이러스 툴에서도 마찬가지 입니다.

때문에 여러 시간동안 이러한 단점들을 모두 충족시켜줄 수 있는 방화벽을 찾아 보았습니다. 그러던 중 접하게 된 것이 바로 이 Comodo Firewall입니다. 인터넷을 느리게 하거나 시스템에 부하를 주지 않는 것은 마치 윈도우에 기본으로 내장된 방화벽을 연상시키고, 일반 사용자들도 쉽게 이용할 수 있는 것은 안티 바이러스에 내장된 방화벽을 연상시키며, 강력한 방어 기능은 아웃포스트나 존알람을 연상시킵니다. 게다가 이 모든 장점을 일체의 비용 없이 즐길 수 있다는 프리웨어라는 것 또한 무시하지 못하는 장점입니다.

▲ 리뷰 프로그램 프로필

1. 프로그램 설치

다운로드 페이지 로 이동하면 맨 먼저 이름과 이메일 주소를 기입해야 합니다. 이름이야 임의로 적어도 무방하지만 이메일은 정확하게 기입하여야 합니다. 등록된 이메일을 통하여 무료로 사용할 수 있는 활성 코드(Activation Code)가 발송되기 때문입니다. 제작사에서는 30분 이내에 메일을 전송시켜준다고 하지만 대부분의 경우 수분이 채 안되어 금새 메일이 도착합니다. 이렇게 받은 코드는 인스톨이 끝나고 프로그램 실행 시 입력합니다. 이 때 반드시 인터넷에 연결되어 있어야 합니다.

▲ 이름과 이메일 기입

▲ 라이센스 키를 발송했음을 알림

이후 무난하고 간단한 설치 단계를 거치면서, 마지막 단계에서는 아래 그림과 같은 "Firewall Configuration Wizard(방화벽 설정 마법사)"가 나타납니다. Comodo Firewall의 각종 설정을 자동으로 수행해 주고, 윈도우 방화벽을 끄거나, DEP를 활성화시켜 주는가 여부를 묻는 곳입니다.

두 개의 방화벽을 사용하면 시스템에 문제가 발생하므로 반드시 윈도우 방화벽은 꺼 주어야 합니다. 또한 윈도우 고질적인 문제인 Buffer OverFlow 공격을 막기 위해서도 DEP는 반드시 켜 줍니다. 결국, 일반 사용자들이라면 아래 그림처럼 세 곳에 체크된 기본값 그대로 설치하면 되겠습니다.

버퍼 오버플로우 취약성 (Buffer Overflow Vulnerability)

버퍼 오버플로우를 한글로 번역하면 "버퍼 넘침"입니다. 일시적으로 데이터가 저장되는 곳이 버퍼인데, 이 버퍼가 넘치는 것을 흔히들 물잔이 담긴 컵에 비유합니다. 즉, 악의적 해커가 악성 프로그램을 이용하여 시스템의 버퍼를 넘치게 합니다. 마치 컵에서 물이 넘처 흐르듯, 사용자의 데이터는 넘쳐 나가게 되며, 해커는 이를 수집합니다. 이렇게 수집된 데이터에는 신용카드 번호나 아이디/패스워드 등의 개인정보가 있을 수 있고, 악성 프로그램을 재 전파하는 수법으로도 이용됩니다.

▲ Firewall Configuration Wizard(방화벽 설정 마법사)

온전히 설치가 끝나면 시스템을 재부팅 하고, 마침내 Comodo Firewall의 메인 화면을 볼 수 있습니다.

▲ Comodo Firewall 메인 화면

2. 주요 인터페이스와 기능.

Comodo Firewall의 메인 화면은 'Summary', 'Security', 'Activity' 등 크게 세 가지로 탭으로 분류되어 있습니다. 맨 처음 사용자를 반기는 'Summary'에서는 방화벽의 전반적인 설정을 한 눈에 볼 수 있게 해 줍니다.

◆ SUMMARY

① Security Monitoring : Comodo Firewall을 구성하는 네 가지 방어 기능의 바로가기를 제공하고 있으며, 동시에 활성화 여부를 간단히 알려줍니다. 이 네 가지 주요 기능에 대해서는 아래에서 상세히 설명합니다.

② Computer Security Level : 방화벽 설정에 대한 강도를 표기하는 곳으로, 크게 의미는 없습니다. 사용자가 임의로 세세한 하나라도 수정했을 경우 Custom으로 지정되기 때문입니다. 'Allow All'은 모든 설정을 완전히 해제하여 방화벽을 꺼 두는 것과 같고, 'Block All'은 모든 네트워크를 차단하여 인터넷을 이용하지 않겠다는 말과 유사합니다.

③ Traffic : 트래픽 히스토리를 그래프로 표현하여 줍니다. 'Applications'과 'Network' 두 가지 탭으로 나뉘어져 있는데, 전자에서는 위로부터 가장 많은 트래픽을 이용한 응용 프로그램을 보여주고, 후자는 네트워크 프로토콜을 보여줍니다. 필자의 경우 WebMa만을 이용하였으므로 다른 것은 나타나지 않고 있습니다.

④ System Info : 이더넷 아답터(랜카드)의 모델명과, 내 시스템의 IP와 서브넷 마스크 등의 네트워크 정보를 알려줍니다.

위에서 잠깐 언급했듯이 Comodo Firewall의 주요한 기능은 크게 네 가지로 정의할 수 있습니다. 이들에 대한 이해가 없으면 올바로 사용할 수 없으므로, 각 부문들이 다루는 내용과 설정에 대하여, 인터페이스와 윈도우 화면을 중심으로 상세히 소개해 보겠습니다.

◆ SECURITY

Tasks, Application Monitor, Network Monitor, Advanced 등 모두 다섯가지 하위 카테고리로 분류되어 있으며, Comodo Firewall의 핵심 기능들을 모두 제어할 수 있는 곳입니다.

▲ SECURITY

(1) Task (작업)

◆ Define a New Trusted/Banned Application

신뢰할 수 있는 프로그램, 또는 신뢰할 수 없는 프로그램에 대한 규칙을 자동으로 만들어 주는 곳입니다. 'Specify Application'에 원하는 프로그램을 등록시켜 주는 것 만으로 간단하게 규칙이 생성되며, 아래에 언급하는 'Application Monitor (응용 프로그램 모니터)'에 '허용(Allow)' 또는 '차단(block)' 으로 등록됩니다. 'Specify Parent Application'은 역시 아래에서 자세히 언급할 'Component Monitor (구성요소 모니터)'와 연관이 있는 것으로, 신뢰할 수 있는 응용 프로그램으로 등록된 것의 상위 프로세스(Parent Process)를 함께 추적하여 각종 멀웨어들이 해당 프로그램에 침입하는 것을 막아줍니다. 물론, 아래 그림과 같은 FTP 클라이언트의 경우에는 독립적으로 구동되는 툴이기 때문에 해당 사항이 없습니다만, Internet Explorer 등과 관련된 것이라면 참고해 볼만 합니다.

▲ Define a New Trusted/Banned Application

◆ Add/Remove/Modify a Zone

네트워크 Zone을 정의하고 확인하는 곳으로 대부분의 경우 랜카드에 대한 정보가 나타납니다. Edit를 눌러서 네트워크 존을 지정할 수 있습니다.

▲ Add/Remove/Modify a Zone

필자의 경우 아래 그림에서처럼 C클래스 전역을 이용하는 일반적인 설정을 사용 중이지만, 좀 더 보안에 신경을 쓰고 싶은 유저라면 원하는 범위(Range)만을 제한적으로 지정할 수 있습니다.

▲ Zone 범위 지정

◆ Send files to Comodo for analysis

백신 프로그램을 사용하다가 바이러스인지 아닌지 확실히 알 수 없는 것을 발견하고는 제작사에 파일을 보내어 분석을 요구한 경험이 있을지 모릅니다. Send files to Comodo for analysis는 이와 비슷한 개념으로, 의심 가는 프로그램을 Comodo Firewall 제작사에게 전송하여 문의하는 것입니다.

▲ Send files to Comodo for analysis

한편, 일상적인 컴퓨팅 중에 빈번히 뜨는 알림 창에서 Allow/Block을 단정짓기 어려울 때도 제작사에게 문의할 수 있습니다. 아래 그림과 같이 빨간 타원에 있는 'Send to COMODO for analysis'를 클릭합니다.

▲ Send to COMODO for analysis

◆ Wizards

하단에 위치한 Wizard에는 두 가지의 옵션이 있습니다. 하나는 'Define a new Trusted Network' 다른 하나는 'Scan For Known Applications' 입니다. 전자는 신뢰할 수 있는 컴퓨터나 웹사이트를 등록하는 것으로, 여기에 등록된 것은 내 시스템에 자유롭게 출입이 가능하며, 스텔스 모드 역시 작동하지 않습니다. 후자는 Comodo Firewall 제작사에서 자체적으로 분석한 신뢰할 수 있는 프로그램들을 자동으로 추가해 주는 것입니다. 방화벽을 설치한 후 Internet Explorer, FireFox, MSN Messenger 등의 널리 쓰이는 프로그램을 일일이 등록하는 것이 귀찮은 유저라면 한 번 스캔하여 주는 것도 좋습니다.

▲ Wizards

(2) Application Monitor (응용 프로그램 모니터)

Application Monitor은 네트워크 지식이 별로 없는 일반 사용자들이 이용하기 편하게 만든 기능이며, Comodo Firewall를 비롯한 대부분의 방화벽이 채택하고 있습니다. 윈도우에 설치된 것들 중, 인터넷과의 연결을 시도하는 모든 응용 프로그램을 모니터링 합니다. 상단에 위치한 네 개의 탭으로 컬럼으로 각각의 프로그램에 대한 정책을 만들거나 모니터링 할 수 있습니다.

▲ Application Monitor

▲ Application Monitor 컬럼 항목 설명

(3) Component Monitor (구성요소 모니터)

Comodo Firewall가 지니고 있는 유용한 기능 중 하나입니다. Component란 개별 프로그램(Application)과 함께 로드되어, 그것과 동일한 권한을 가지며 네트워크에 접속하는 것을 의미합니다. 대표적인 것으로 다이나믹 링크(dynamic link libraries : DLL 파일)와 액티브X(ActiveX) 등이 있습니다.

액티브X를 예로 하면, IE와 함께 로드되어 동일한 권한으로 네트워크에 접속되는 경우가 많습니다. 이 때 IE는 신뢰할 수 있는 프로그램이므로 가장 낮은 수준의 보안으로 설정되게 마련인고, IE의 구성요소 중 하나로서 동일한 권한을 갖는 액티브X도 마찬가지로 모니터링에서 배제되기 쉽습니다. 일반적인 액티브X라면 크게 염려할 바는 없지만, 독자들도 아시다시피 악성 코드를 유포하는 액티브X가 남발되므로 이 기능이 더욱 빛을 발하는 것입니다. Comodo Firewall에서는 원하는 구성요소만을 차단할 수 있으므로, IE의 보안설정은 유지하면서 특정 액티브X만을 배제할 수 있습니다.

▲ Component Monitor

▲ Component Monitor 컬럼 항목 설명

(4) Network Monitor (네트워크 모니터)

네트워크에 대한 다소간의 지식이 있는 유저 또는 고급 유저들이 주요 이용할 곳입니다. 방화벽에 대한 일반적인 "규칙(Rule)"이 생성되는 곳이기도 합니다. TCP, UDP, ICMP, IP 등의 다양한 프로토콜을 이용하여 룰을 만들고 삭제, 수정할 수 있습니다. 여느 방화벽과 마찬가지로 가장 상단에 위치한 0에서 n번 순으로 규칙의 우선순위가 정해집니다. 따라서 맨 위에 위치한 (숫자가 가장 작은) 순으로 우선적으로 규칙이 적용되며, 이 순서는 'Move Up' 또는 'Move Down' 버튼을 이용하여 조정할 수 있습니다.

▲ Network Monitor

▲ Network Monitor 컬럼 항목 설명

(5) Advanced Security Configuration (고급 보안 설정)

네트워크 침입을 막고 방어하는, Comodo Firewall가 자랑하는 핵심 기능 중 하나입니다. 네트워크 패킷을 분석하여 그것이 알려진 공격인가, 또는 그와 유사한 패턴인가를 지능적으로 판단한 후 Block 여부를 정합니다. 하부 상세 설정으로는 Application Behaviour Analysis, Advanced Attack Detection and Prevention, Miscellaneous 등 세 가지가 준비되어 있습니다. 대부분의 사용자라면 가급적 기본값 그대로 이용하는 것이 바람직합니다.

▲ Advanced Security Configuration

◆ Application Behaviour Analysis (응용 프로그램 행동 분석)

네트워크에 접속되기 전, 개별 응용 프로그램의 행동을 분석하여 의심스러운 것들을 차단합니다. 앞에 설명한 바 있는 Application Monitor (응용 프로그램 모니터)의 설정과 관계가 있는 것으로, 흔히들 칭하는 트로이 목마(Trojan)와 연관이 깊습니다. 이번 버전에서는 과거 보다 더욱 많은 종류의 트로얀을 탐지할 수 있다고 제작사는 밝히고 있습니다.

▲ Application Behaviour Analysis

◆ Advanced Attack Detection and Prevention (진보된 공격 탐지와 방어)

'Intrusion Detection(침입 감지)'과 'Miscellaneous(기타)' 탭 두 가지로 분류되어 있는데, 전자만 간단히 알아보겠습니다.
'Intrusion Detection'은 Denial of Service (DoS) 공격을 방어하는 것으로, 악의적인 해커가 DoS 또는 Flood 방식으로 사용자의 네트워크에 과부하를 일으켜서 시스템을 다운시키는 것을 예방합니다. Comodo Firewall의 경우 아래 그림처럼 일정한 파라메타를 지정하는 방식으로 구현되고 있습니다.

그림을 참고하여 설정된 값을 해석하자면, 초당 50 패킷 이상의 데이터가 20초 이상 들어오면 Comodo Firewall는 비상 모드(emergency mode)로 전환되어 시스템을 보호합니다. 비상 모드에서는 초과한 패킷 이후부터의 모든 인바운드 트래픽은 차단합니다. 하지만 아웃바운드는 차단하지 않습니다. 대부분의 일반 사용자라면 모든 수치를 기본값 그대로 이용해도 무방합니다.

맨 하단의 'How long should the firewall stay in emergency mode...'에서 얼마나 오래 비상 모드를 지속시킬 것인가를 지정할 수 있습니다. 기본값은 120초입니다. 그 위에 있는 'How long should a suspicious host be...'는 의심나는 호스트로부터의 포트 스캔이 발견 시 자동으로 차단을 지속하는 시간을 지정합니다. 기본값은 5분으로, 이 시간동안 의심나는 호스트가 내 시스템에 접근하는 것이 거부됩니다. 물론, 내 시스템은 해당 호스트에 접근할 수 있습니다.

▲ Intrusion Detection

3. 마치며...

이상으로 강력한 무료 방화벽 Comodo Firewall에 대한 리뷰를 마칩니다. Comodo Firewall의 가장 큰 특징은 역시 일반 유저들이 사용하기 쉽다는 것과, 가볍고 빠르다는 것입니다. 어지간한 저 사양의 PC에서도 방화벽을 깔았다는 느낌을 받지 못할 정도이며, 네트워크에 대한 지식이 없는 유저들도 직관적인 Application Monitor (응용 프로그램 모니터) 기능으로 인하여 사용하기 쉽습니다. 인터넷에 접속을 시도하는 응용 프로그램이 발생할 때마다 알림 창이 뜨면서 사용자에게 경고하는 것이 이 기능의 핵심입니다. 물론, 이것이 귀찮다고 하는 유저들도 있을 지 모르고, 알림 창이 지나치게 남발되는 경향도 있습니다. 하지만 각 프로그램마다 최초에 Allow/Block 여부를 지정해 주고 'Remeber my answer for this application'에 체크하여 주면 다시는 물어보지 않고, 'Task → Wizard → Scan For Known Applications'를 한번 이용해 주면 알림 창을 좀 더 줄일 수 있습니다.

▲ Comodo Firewall의 응용 프로그램 알림 창

응용 프로그램 모니터링을 뛰어 넘어, Parent Process를 기반으로 한 DLL 파일이나 액티브X 등의 구성요소까지 제어하는 것은 발군입니다. 고급 사용자를 위하여 제공되는 IP 주소, 프로토콜, 포트 기반 TCP/IP 규칙 생성 기능도 만족스럽습니다. 전통적인 해킹 수법인 port scanning과 flooding 차단 기능도 우수하다고 알려져 있습니다. 하지만 사용자의 시스템에 따라 GMail, Google Reader 등과 같은 일부 웹기반 서비스와의 충돌이 보고되는 경우도 종종 있으며, 알림 창에서 특정 프로그램을 차단 시 세션이 종료될 때까지는 Parent Process 또는 관련 프로그램까지 접속이 불가한 것은 아쉽습니다. 네트워크 차단 시 'TCP and UDP' 항목도 있었으면 어땠을까 하는 개인적인 아쉬움도 있습니다.

그 외 여러 장단점이 있습니다만, 프리웨어 프로그램이 이렇게 강력하고 다양한 설정을 제공한다는 것은 놀라울 만한 것이라 여겨집니다. 한 달여 동안 사용해 온 필자는 마치 예전의 AVAST를 보는 것 같은 느낌을 받았을 정도입니다. 유료 못지 않은 강력하고 뛰어난 기능은 보안에 관심있는 많은 유저들에게 호응을 얻을 것이라 여겨집니다.