일단 악성코드에 대하여 설명해보겠습니다.
악성코드라는 말 그대로 악한 성질을 가지고 있는 코드(정확히는 악한 성질을 갖고 있는 프로그램이 되겠습니다.)입니다. 이러한 악성코드는 총체적인 단어로 사용이 되며, 세부적으로는 바이러스, 트로이목마, 웜바이러스, 애드웨어, 랜섬웨어 등이 존재합니다.
랜섬웨어란 몸값을 요구하는 프로그램입니다. 갑자기 이상한 소리하니 잘 이해가 안가시죠? 이 계열의 프로그램이 컴퓨터에 깔리게 되면 컴퓨터에 암호를 걸고 사용하지 못하게 한다거나, 특정 사이트나 메신져에 접속하지 못하게 하기도 합니다. 그렇게 한 후 대표적으로 팝업 사이트를 띄워 특정 사이트를 이용하거나 컴퓨터를 사용하고 싶으면, 어디로 돈을 보내라는 식의 요구를 합니다. 최근에는 가짜 백신으로 둔갑하여 허위로 컴퓨터에 바이러스가 감염이 되었으니 치료하고 싶다면 일정 금액을 결제하고 치료버튼을 누르라는 식으로 교묘해지고 있습니다. 그러나 실제로는 컴퓨터에 바이러스가 감염되지 않은 경우이겠지요. 그러므로 바이러스를 치료해준다거나, 애드웨어, 또는 악성코드를 제거해준다는 프로그램을 설치하고 사용하실 때에는 널리 사용되고 있는 제품을 사용하고, 또 다른 내용으로는 웹사이트를 서핑하다 액티브엑스 형식(은행 사이트에 들어가실때 프로그램 설치하라고 나오는 것 처럼)으로 프로그램을 설치하겠느냐고 나오는 것들에 대하여 내가 정말 필요한 프로그램인가 신중히 생각해보시고 결정하시길 바랍니다. 또는 정상적인 사이트인 경우에도 스폰서 제의를 통해 전혀 사이트 이용에 관련 없는 필요하지 않은 프로그램을 설치하라고 하는 경우도 있으니 대충 넘기셔서 설치하지 마시고 확인하고 설치하시기 바랍니다.
두 번째로 애드웨어가 있습니다. 애드웨어는 말 그대로 광고 프로그램입니다. 보통 때 처럼 컴퓨터를 사용하여 웹서핑을 하고 있는데 갑자기 광고 창이 뜨는 경우, 잘 웹서핑을 하고 있는 도중 갑자기 페이지가 바뀌면서 광고 페이지로 넘어가는 경우 애드웨어에 해당하는 프로그램이 설치되어 일정 시간 단위로 강제적으로 해당 사이트를 띄우거나 변경되도록 하는 경우라고 볼 수 있습니다.
이런 경우에 악성코드 제거 프로그램을 이용하여 고치는 경우가 다수입니다. 그래도 고쳐지지 않는 경우도 존재하는데, 이럴 때에는 제어판->프로그램추가/제거 메뉴로 가셔서 본인께서 사용하지 않는 프로그램이나 설치한 적이 없는 것 같은데 설치되어 있는 프로그램을 구분하셔서 제거하여 주시는 것이 좋습니다. 또한 액티브엑스로 설치가 된 경우에는 인터넷 익스플로러에서 제거를 해주셔야 합니다. 방법에 대하여서는 잘 모르실 듯 하여 프로그램을 이용할 수 있게 추천해드리겠습니다.
대표적으로 국가정보원에서 제작하여 배포하는 CleanAX라는 프로그램이 있습니다. 해당 프로그램은 일정 기간 사용하지 않은 액티브엑스를 삭제할 수 있습니다. 그러나 기간에 따른 자동 삭제 프로그램으로 세밀하지 못한 단점이 있기도 하지요 ^^ 다운로드는 http://www.ncsc.go.kr/Setup_CleanAX.exe 이나 포털 사이트에서 CleanAX를 검색하면 매우 많이 나옵니다.
두 번째로는 http://www.char.co.kr/ 사이트에서 받을 수 있는 불도저라는 프로그램을 추천합니다. 해당 프로그램은 액티브엑스 뿐만 아니라 설치된 프로그램과 BHO도 선택 삭제가 가능합니다. 액티브엑스에 대하여 뭘 삭제해야될지 모르시겠다면 액티브엑스 전체를 삭제하셔도 됩니다. 액티브엑스의 경우 삭제가 되어도 사용자가 다시 해당 사이트를 접속할 경우 설치가 되어 있지 않은 경우 설치하라고 뜨게 됩니다. 이때 설치하게 되면 예전처럼 정상적으로 이용이 가능해집니다. 그러므로 불필요한 액티브엑스는 제거되고 새롭게 정상적으로 이용되는 액티브엑스만 다시 설치가 되겠지요 ^^
세 번째로 트로이목마란, 정상적인 프로그램(트로이목마)안에 알게 모르게 악한 성질의 기능(트로이목마 안에 숨어있는 병사 정도?)을 감추고 있어서 사용자는 프로그램이 정상적인 기능을 하기 때문에 모를 수 있습니다. 하지만 내부적으로 사용자 모르게 어떠한 일처리를 수행하는 경우입니다. 예를 들면 내부적으로 사용자가 입력하는 비밀번호를 훔쳐서 특정 해커(크래커)의 이메일로 보낸다거나, 시작 프로그램이나 레지스트리에 컴퓨터가 시작될 때 어떠한 프로그램을 실행하도록 하는 것입니다.(트로이목마 뿐만 아니라 바이러스나 모든 악성코드들은 시작 프로그램이나 레지스트리 추가를 통하여 부팅시 프로그램이 자동으로 실행되어지도록 됩니다) 대체로 트로이 목마에는 백도어(Backdoor)라고 해서 해커(크래커)가 사용자의 컴퓨터에 접속할 수 있도록 사용자 모르게 뒷문을 열어두는 기능을 갖고 있어 해커로 하여금 사용자의 컴퓨터에 접속하여 마음껏 제어할 수 있게 하기도 합니다.
대체적으로 프로그램을 불법으로 사용할 수 있게하는 프로그램 등록번호 생성기(키젠), 프로그램 등록 패치에 숨겨져서 배포되는 경우가 대다수 입니다. 이러한 기능을 주로 수행하기 때문에 대부분의 키젠을 백신에서는 트로이목마로 진단하기도 합니다. 그러므로 불법 프로그램 사용하는 것은 사용자 컴퓨터에 위험을 초례하는 길이겠지요 ^^
네 번째로 바이러스입니다. 일반적으로 많이 접하는 단어이지만 정확히 무엇인지는 잘 모르실 것입니다. 바이러스란 정상적인 파일의 일부를 변형시켜 악성 기능을 삽입하거나, 변형을 가하여 정상적으로 작동하지 못하고, 또한 그러한 악성행동을 다른 컴퓨터나 다른 파일에도 감염시키는 행위(자기복제)를 하여 다른 시스템에 바이러스를 전파하는 프로그램입니다.
설명이 조금 어렵지요? 쉽게 이야기하면, 정상적으로 작동하는 파일이 있는데, 그 파일에 변형을 가하여 사용자 모르게 나쁜 짓을 한다거나, 사용자가 프로그램을 실행시켜야 하는데 있어서 필요한 파일에 변형을 가하여 정상적으로 프로그램이 실행되지 못하게 하는 것입니다. 또한 다른 파일이나 컴퓨터에 똑같은 변형이나 악성기능을 삽입하는 전파기능을 갖고 있습니다.
그 대상이 되는 파일이 주로 윈도우와 관련된 파일인 경우가 많아서 바이러스에 걸릴 경우 컴퓨터에 오류가 많이 발생하게 되는 것입니다.
감염이 되는 주로 이용되는 방법은 인터넷에 정상적인 파일인 것처럼 위장하여 올려지고, 사용자는 그 것을 받아 실행하게 됩니다. 이럴 경우 감염이 이루어지게 되는 것이지요. 그러니 확인되지 않은 프로그램을 함부로 실행하면 안되겠지요? 최근에는 프로그램뿐만 아니라, 워드파일, 엑셀파일,PDF파일, 플래시동영상파일, scr(스크린세이버)파일을 실행시킬 때 감염되는 형태를 띄기도 합니다. 그러므로 MS오피스를 사용하시는 분들은 보안 업데이트를 반드시 최신으로 해주시기 바랍니다. 또한 PDF에 사용되는 아크로벳리더나 플래시플레이어도 마찬가지로 되도록 최신 버전을 사용하여 주시기 바랍니다. 하나 추가로 알려드리면, 무조건 최신이라고 안전한 것은 아닙니다. 하시만 그래도 최신을 사용할 경우 이전에 도사리던 위험은 제거됐을 확율이 높겠지요.(원래는 프로그램마다 보안패치라고 하여 새롭게 업데이트 되는 경우가 있습니다. 이럴 경우에는 반드시 업데이트를 해주셔야 하는 것이 좋습니다.)
다섯 번째로 웜 바이러스라는 것이 있습니다. 위 내용의 바이러스과 유사한 기능을 합니다. 파일을 변형하여 사용하지 못하게 하거나 악성 기능을 삽입하지요. 다만 감염 경로가 다릅니다. 파일을 통한 감염보다는 네트워크를 통해서 감염이 됩니다. 예를 들면 학교나 피시방 같은 경우에는 한 교실에 수십대의 컴퓨터가 존재합니다. 이러한 경우 하나의 네트워크를 구성하게 되는 것이지요. 이 경우 네트워크를 통하여 자신과 같은 네트워크에 다른 컴퓨터가 존재하는지 네트워크로 데이터를 보내고, 바이러스에 감염이 될 수 있는 취약한 시스템(운영체제)인지 확인합니다. 취약한 시스템인 경우에는 바이러스에 감염이 되겠지요. 그래서 보통 학교같은 곳에서는 한대의 컴퓨터에 웜 바이러스가 걸린 경우 해당 학교의 모든 컴퓨터가 바이러스에 걸리기 쉽상입니다. 또한 한대한대 치료하여도, 다른 감염된 컴퓨터가 치료한 컴퓨터에 또 네트워크로 바이러스 데이터를 보내게 됩니다. 그러면 한대 치료하고 다른 한대 고치면, 이전에 치료했던 컴퓨터가 또 감염이 되어 있지요. 그래서 고쳐도 고쳐도 바이러스에 걸리니까 사람들은 포맷을 하지 않는 이상 고칠수 없다 라고 말하기도 합니다. 이러한 경우에는 바이러스를 치료하고 난 이후, 반드시 윈도우즈 업데이트를 실행하셔서 업데이트를 하셔야 이후에 감염이 되지 않습니다.웜 바이러스의 경우 네트워크로 대량의 데이터를 보내는 경우가 많이 있기에 컴퓨터가 느려지거나, 인터넷이 느려지는 증상이 많이 발생합니다.
웜 바이러스는 윈도우즈의 취약점을 통해 네트워크로 데이터를 보내기 때문에 윈도우즈의 취약한 부분을 패치하지 않는 이상 지속적으로 바이러스에 감염이 될 수 밖에 없습니다. 그러니 반드시 윈도우즈 업데이트를 하는 습관을 갖기를 추천합니다. 그러나 혹시 내 컴퓨터는 정품이 아니라서 업데이트가 되지 않는다 라고 생각 되실 때에는 한국정보보호진흥원 인터넷침해사고대응지원센터에서 운영하는 보호나라라는 사이트가 있습니다. 그 곳에서는 PC자동보안 업데이트라는 프로그램을 제공합니다. 이는 한국정보보호진흥원에서 제공하는 서버를 통해 보안패치를 하기 때문에 윈도우즈업데이트의 정품 인증이 되어 있지 않더라도 보안 패치를 할 수 있습니다.
http://www.boho.or.kr/index.jsp에 접속하시면 PC자동보안 업데이트 프로그램을 받으실 수 있습니다.
최 근에는 USB 메모리의 사용 빈도가 많아짐에 따라 USB 메모리를 매개체로 감염이 되는 바이러스들이 활개를 치고 있습니다. 다들 USB 메모리 사용 하고 계시죠? USB 메모리 사용에 있어서 몇가지 주의와 설정을 해 놓는다면 안전을 보장할 수 있습니다.
USB 메모리는 자동실행 기능이 있습니다. 시디롬에 CD를 삽입하면 자동으로 설치 화면이 뜨는 경우를 보신적이 있으실 겁니다. 그러한 기능이 USB 메모리도 가능합니다. 이 기능을 악용하여 바이러스가 USB 메모리가 바이러스를 전파하게 됩니다.
한 컴퓨터에 이미 바이러스가 감염이 되었다고 가정하겠습니다. 그 컴퓨터의 바이러스는 USB 메모리가 컴퓨터에 꼽혀질 경우 장치를 인식하여 해당 USB 메모리에 악성 파일을 복사하여 옮겨 놓습니다. 이 경우만 가지고는 사용자가 악성 파일을 실행하기 전까지는 바이러스가 감염이 되었다고 보기 어렵습니다. 하지만 파일을 복사하면서 autorun.inf 파일을 USB 메모리 루트에 생성해 놓습니다. 해당 파일이 USB메모리가 컴퓨터에 꼽힐 때 자동으로 실행될 내용을 담고 있습니다. autorun.inf 파일에는 대체로 USB 메모리에 심어진 악성 파일을 실행하는 명령이 들어 있는 경우가 대다수입니다. 대체로 숨김 파일, 또는 시스템 파일로 위장하기 때문에 모두 보기 옵션을 허용해놓지 않은 경우 눈으로 보이지 않은 경우가 많습니다.
이렇게 autorun.inf와 악성파일이 생긴 USB 메모리를 바이러스가 감염이 되지 않은 다른 컴퓨터에 꼽을 경우 USB 자동 실행 기능을 통하여 해당 컴퓨터에도 바이러스를 실행하여 감염시키게 됩니다. 이런 경로로 감염이 되다 보니, 바이러스에 감염된 USB를 여러 컴퓨터에 꼽게 된다면, 해당 컴퓨터들은 모두 바이러스에 감염이 되고 말겠지요.
윈도우즈 비스타, 윈도우즈XP의 경우 이 자동실행 기능이 기본적으로 enable되어 있습니다. 이 기능을 disable시켜 놓으면 USB 메모리에 바이러스가 심어지더라도, 자동실행 기능을 disable시켜 놓은 운영체제(컴퓨터)에서는 USB를 꼽더라도 자동으로 바이러스를 실행시키지 않으므로 어떠한 바이러스가 감염된 USB를 꼽더라도 어느정도 안전을 보장할 수 있습니다.(어느정도 라는 표현은 이 역시도 우회가 가능하기 때문입니다. 그러나 저는 그 정도로 잘 만들어진 악성코드는 보지 못하였습니다.)
이러한 자동실행을 방지 하는 방법은 프로그램을 이용하는 방법과 윈도우 기본 정책을 바꾸는 방법 등이 존재합니다.
http://2proo.net /entry/USB-%EC%97%B0%EA%B2%B0%EC%8B%9C-%EC%9E%90%EB%8F%99%EC%8B%A4%ED%96 %89-%EC%A4%91%EC%A7%80%ED%95%98%EA%B8%B0에 나와 있는 국정원에서 배포하는 USB 자동 실행 차단 프로그램을 설치하여 자동실행을 막을 수 있으며, http://comlog.kr/79에 나온 것처럼 윈도우즈 기본 정책을 바꿔 USB의 실행을 막을 수 있습니다.
꼼꼼하게 읽으셨다면 악성코드가 무엇인지 알게 되었을 것이라 생각됩니다. 위에서 설명한 종류 말고도 더 다양한 종류의 악성코드들이 존재합니다. 대표적이고 유명한 것들을 설명한 것이니 제한적으로 생각하지 마시고, 또한 최근에는 위처럼 분류하기 어려울 정도로 복합적인 기능을 갖는 경우도 많이 존재합니다.
최 근 동향으로는 게임 비밀번호 스틸(훔치는) 바이러스가 많이 퍼지고 있습니다. 특정 게임을 타겟으로 만들어져서, 감염시 특정 게임 로그인을 하게 되면 아이디와 비밀번호가 이메일이나 다른 방법으로 해커(크래커)에게 전달이 되게 됩니다. 국내보단 중국쪽에서 국내 유저들을 타겟으로 많이 만들어지는 것 같습니다.
또 다른 것은 다운로더라는 것이 있습니다. 감염시 인터넷으로 특정 악성프로그램을 다운로드하여 실행시키게 됩니다. 다운로드한 프로그램은 성인광고창을 일정 시간단위로 띄우거나, DDoS(분산서비스공격) 공격에 좀비PC의 역할을 하는 프로그램이 대표적입니다. 이럴 경우 자기도 모르게 특정 서버를 공격하게 되므로, 인터넷이 느려질 수 있습니다.
추가적으로 백신에 대해서 설명해보겠습니다.
백 신 프로그램에 대표적으로 국산은 우리의 바이러스 체이서 ^^, 그리고 V3, 알약, 엔프로텍트, PC그린, 바이로봇 등이 존재합니다. 해외 제품으로는 노턴안티바이러스, Avast, 카스퍼스키, Avira, NOD32, 비트디펜더, 맥아피, AntiVir 등이 있습니다. 대체적으로 아직까지는 국산 제품보다 해외 제품이 바이러스를 더 많이 진단하는 편이라, 해외 백신을 추천하는 사람들이 많습니다. 저는 그러한 내용에 반대를 하는 입장입니다. 바이러스란 각 나라나 문화에 따라 유행하는 종류가 다릅니다. 국내에서는 최근에 네이트온 바이러스라고 하여 네이트온을 통해 전파되는 바이러스가 유행하기도 하였고, 2090 바이러스라는 것도 유행하였습니다. 그러한 바이러스가 국내에서 유행할 때 해외에서는 conficker 바이러스나 오바마와 관련된 내용이 들어가 있는 바이러스, 트위터 서비스를 통해 감염되는 바이러스 등이 널리 퍼졌었습니다.
이럴 경우 해외 백신의 경우 그 지역에 유행하는 바이러스에 대하여 집중적으로 치료를 할 수 있게 서비스 할 것이고, 국내에서는 국내 환경에 맞게끔 유행하는 바이러스를 치료할 수 있게 서비스 할 것입니다. 만약 해외백신을 사용한다면 이러한 내용에 있어서 국산에서 유행하는 바이러스 치료에 대한 서비스는 국내 백신보다 업데이트가 더딜수 밖에 없습니다. 해외라면 반대의 상황이 되겠지요.
이 렇듯 치료하는 부분이 차이가 발생할 수 있으므로 국내 환경에서는 국내 백신이 오히려 더 잘 맞을 것이라고 저는 개인적으로 판단합니다.(모든 분의 의견은 아니므로 개인적이라고 표현하겠습니다.) 그래서 주변에 컴퓨터에 대하여 잘 모시는 분들이 백신을 무엇을 써야 하느냐고 묻는다면 거리낌 없이 국내 백신을 추천합니다.
물론 사용자분께서 해외 사이트를 많이 접속하고, 국내보단 해외 환경이 중점이라면 그 지역에 대한 서비스가 빠르게 업데이트되는 백신을 사용하는 것이 좋습니다.
그 렇다고 백신만 설치해 놓는다고 컴퓨터가 항상 안전한 것은 아닙니다. 백신은 패턴 위주의 바이러스 검사를 주로 행합니다. 그러므로 새로운 바이러스가 나올 경우 새로운 바이러스에 대한 패턴을 확보하지 못하여 업데이트를 하지 못하였다면, 그 백신은 그 바이러스에 무방비 상태가 되어버립니다. 그래서 백신의 경우 업데이트가 중요한 것입니다. 새로운 바이러스가 나오면 빠르게 업데이트 되어야 그 바이러스에 대하여 대처할 수 있게 되기 때문이죠. 백신의 이러한 패턴 위주의 바이러스 검사는 패턴에 없는 바이러스를 진단하지 못한다는 태생적인 한계 갖고 있습니다. 그러므로 백신을 설치해 놓았다고 절대적으로 안심하지는 마시고, 항상 업데이트하여 최신의 상태를 유지하여야 합니다. 물론 패턴 위주의 바이러스 검사 외에도, 백신에 따라 휴리스틱 기능이 존재하기도 합니다. 휴리스틱 기능을 통해 패턴이 업데이트되지 않아도 바이러스를 잡을 수 있는 경우도 있지만, 오히려 오진을 하는 경우도 많은 편입니다. 그러므로 이부분에 대하여서는 더 자세히 언급하지 않겠습니다.
또한 방화벽 프로그램을 설치하면 무조건 안전하다는 잘못된 상식을 갖고 있는 경우도 있습니다. 방화벽이 바이러스를 막지는 못합니다. 방화벽은 네트워크 패킷이 들어오고 나가고에 대하여 규칙에 따라 승인하고 또는 거부합니다. 일반 사용자의 경우 방화벽을 설치하여도 규칙에 대하여 잘 모르기 때문에 무용지물이나 마찬가지라고 생각이 됩니다. 또한 윈도우즈 자체의 윈도우즈 방화벽의 효능을 무시하는 경우를 많이 보아 왔습니다. 하지만 윈도우즈 방화벽만으로도 충분히 개인 사용자 입장에서는 그 역할을 톡톡치 합니다. 그러므로 윈도우즈 방화벽 사용을 추천합니다.
윈도우즈 방화벽을 사용할 경우 특정 프로그램이 네트워크 패킷을 외부로 보내기 이전에 그 것을 허용할 것인지 말지 선택할 수 있는 팝업창을 띄웁니다. 이 경우 정상적인 프로그램의 경우도 모두 해당되기 때문에 번거로울 수 있지만, 정상적인 프로그램의 경우 한번 승인해 놓으면 그 이후에는 선택하여도 되지 않으므로 규칙이 생성된 경우에 해당하여 이후에는 지속적으로 허용이 되어집니다. 만일 악성코드 프로그램이 외부로 데이터를 보낼려고 할 경우에도 방화벽은 허용 여부를 사용자에게 묻게 됩니다. 이 때 사용자는 팝업창을 통해 사용자가 원하는 정상적인 프로그램이 아닐 경우 거부를 하여 악성코드가 외부와 접속하는 것을 막을 수 있습니다. 물론 이후에 제어판의 방화벽 설정에서 이전에 선택한 내용에 대하여 변경이 가능합니다.
이렇게 보듯 방화벽은 사용자의 선택에 따라 역할을 극명하게 다르게 나타냅니다. 사용자의 판단이 제일 중요하겠지요. ^^
이렇게 악성코드에 대하여 알아 보았습니다. 원래에는 제가 활동하는 모 카페에 적었던 글이지만, 제 블로그에도 적어 더 많은 분들에게 도움이 될 수 있었으면 합니다.
작성 당시의 생각보다 장문의 글이 되면서, 안그래도 없는 글 재주로 인하여 말이 매끄럽지 못한 점 양해 바랍니다.
(0) 
(0)
BlackEnergy_DDoS_Bot_분석.pdf
not as usual