Internet connection share(인터넷 연결 공유) Hosts.ics는 왜 생길까?

Internet connection share
Hosts.ics는 왜 생길까?

Hosts 파일 경로

C:\Windows\system32\drivers\etc 폴더에 기본적으로 hosts, Imhosts.sam, networks, protocol, services 라는 총 5개 파일이 기본적으로 있습니다.
(윈도우 기본 설치의 경우)

Hosts.ics의 경우, Windows의 기능에서 인터넷 연결 공유기능을 이용하기 위해서 생성 될 수 있기도 하지만, 특별한 사용자의 기능 추가가 아닌 이유로 해당 파일이 생겼을 경우, 해킹의 결과로 생겼을 수 있기 때문에 가끔 확인해 줘야 하는 파일입니다.

Hosts 파일 점검

This video was made with Movavi Video Suite 17. (https://www.movavi.com)
이 영상은 Movavi Video Suite 17을 이용하여 제작되었습니다.

Notepad ++ 라는 GNU 프로그램을 사용하면, 한 번 열어둔 파일은 Notepad ++ 프로그램을 종료하고 다음에 프로그램을 실행해도 그대로 확인이 가능합니다. 한 번만 hosts 파일이 있는 경로로 찾아가서 각 파일들을 각각 열어두면 다시 해당 파일의 내용을 확인할 때 상당히 편리합니다.

Hosts.ics 파일에 생성된 ip 주소가 172.xxx.xxx.xxx로 시작하는 private ip의 경우, Windows에서 자동으로 생성된 주소이며, WSL, Hyper-V, Sandbox, Windows defender application guard 등에서 인터넷 연결을 사용하기 위해서 자동으로 생성됩니다. 따라서 부팅시 마다 해당 IP 주소가 변경됩니다.

172.xxx.xxx.xxx로 시작하는 IP 주소가 아닌 외부 주소가 입력되어 있는 경우, 해킹을 당했을 가능성이 높습니다.

hosts.ics와 관련된 Windows 기능

hosts.ics가 생성되는 주요 기능은 Hyper-V, Linux용 Windows 하위 시스템, Microsoft Defender Application Guard, Windows 샌드박스, 가상 머신 플랫폼 입니다.
해킹을 당한 경우에도 hosts.ics 파일이 생성되며, 다만 차이점은 hosts.ics에 외부 IP가 생성된다는 점입니다. 따라서 내부 ip의 경우는 안심해도 되지만, 외부 IP가 입력된 경우 이벤트 로그를 확인하여 외부 접속 유무 및 외부 접속 IP 확인이 필요합니다. 또한 컴퓨터 포맷도 필요하겠지요.

이벤트 로그 확인하는 방법은 추후에 별도의 글을 포스팅 하도록 하겠습니다.

#10 라인에 있는 172로 시작하는 IP 주소는 Windows 샌드 박스에서 사용하는 ip 주소입니다.

부팅 시마다 변경되며, cmd 터미널에서 ipconfig /all을 입력해서 해당 아이피가 일치함을 확인할 수 있습니다. (Windows 샌드 박스의 cmd 또는 Powershell에서)

#11 라인에 있는 172로 시작하는 IP 주소는 WSL에서 인터넷 연결을 위해 사용되는 IP입니다.

네트워크 어댑터 "공유"

Hosts.ics 파일이 있다면, 네트워크 어댑터에 "공유"라는 항목 역시 추가로 확인이 가능합니다.

"다른 네트워크 사용자가 이 컴퓨터의 인터넷 연결을 통해 연결할 수 있도록 허용(N)"은 체크박스 해제 상태가 Default 값 입니다. 사용자가 체크하지 않았음에도 별도로 체크박스에 체크가 된 경우 해킹 위험성도 있습니다. 이 부분은 해제해주세요.

네트워크 어댑터 확인

사용자가 이용하는 기능에 따라 vEthernet 어댑터가 추가로 자동 생성됩니다.

Linux용 Windows 하위 시스템 기능을 활성화시킨 이후에, vEthernet(WSL) 어댑터가 추가되었습니다.

hosts.ics 파일에 자동으로 관련된 private IP 주소가 등록됩니다.