BlackICE 나 ZoneAlarm 과 같은 방화벽 프로그램을 사용하다 보면 실시간으로 자신의 컴퓨터에 접속을 시도하는 컴퓨터의 목록을 보여주는 침입 탐지 기능이 있다. 대부분의 사용자는 이러한 경고를 보게되면 많은 사람들이 자신의 컴퓨터를 공격 대상으로 지정, 공격하는 것으로 착각하는 경우가 많다.

사실 윈도우 탐색기에서 내 네트워크 환경/전체 네트워크/Microsoft Windows 네트워크를 클릭하면 동일한 대역의 IP를 사용하는 모든 컴퓨터의 그룹과 컴퓨터의 목록^주1을 볼 수 있다. 회사에서 사용하는 경우 이 기능은 상당히 편리한 기능이지만 xDSL이나 케이블과 같은 초고속 인터넷에 직접 연결된 컴퓨터의 경우 손 쉬운 해킹 대상이될 수 있다^주2.



익명 사용자가 컴퓨터 목록 상의 임의의 컴퓨터를 클릭하면 해당 컴퓨터에서 사용할 수 있는 자원 목록(예: Movie, 프린터 및 팩스)이 나타나게되는데, 대부분의 방화벽 프로그램은 이러한 접속 시도를 컴퓨터에 대한 행킹 시도로 보고 행킹 경고를 띄우는 것이다.

이련 침입 탐지 기능은 굳이 방화벽 프로그램을 사용하지 않아도 XP 자체 기능을 이용해서 얼마든지 구현할 수 있다. 다만 XP 자체 기능을 이용하는 경우 실시간 경고를 띄우지는 못하며 사용자가 원하는 시점에서 확인할 수 있다. 아울러 침입 탐지 기능에의해 탐지되는 모든 컴퓨터가 해킹을 위해 접속하는 것은 아니라는 점을 기억해 주기바란다.

모든 NT 계열의 OS에는 감사 기능이 있다. 기본적으로 이 팁에서 사용하는 기능 역시 NT 계열의 OS에서 제공하는 감사 기능을 사용한다. 절차는 다음과 같다.

• 침입 탐지 설정
  1. 시작/실행/secpol.msc를 입력하고 확인을 클릭한다.
  2. 좌측 패널에서 Windows 설정/보안 설정/로컬 정책/감사 정책을 클릭한다.
  3. 우측 패널에서 계정 로그온 이벤트 감사를 두번 클릭한다.
  4. 계정 로그온 이벤트 감사 등록정보 창에서 다음 시도 감사의 성공과 실패를 모두 체크하고 확인 버튼을 클릭한다^주3.
     
  
  
  
• 침입 탐지 확인
  1. 시작/관리 도구/이벤트 뷰어를 클릭한다.
  2. 좌측 패널에서 이벤트 뷰어/보안을 클릭한다.
  3. 우측 패널의 성공 감사와 실패 감사를 확인한다.
  
  
  
• 침입 정보
  1. 실패 감사 다음 그림에서 알 수 있듯 2004년 9월 22일 WIN2000-NQ63Q65라는 컴퓨터가 administrator 계정으로 로그온을 시도하다 잘못된 암호(0xC000006A)를 입력, 실패한 것^주4을 알 수 있다. 인터넷에 직접 물려있는 컴퓨터의 경우 이러한 실패 감사는 수 없이 나타난다.
     
  2. 성공 감사 다음 그림에서 알 수 있듯 2004년 9월 22일 WIN2000-NQ63Q65라는 컴퓨터가 Guest 계정으로 로그온에 성공한 것을 알 수 있다. Guest 계정의 로그온 성공이 컴퓨터에 심각한 피해를 주는 것은 아니지만 컴퓨터에 대한 여러가지 정보를 가져갈 수 있으므로 주의하는 것이 좋다.