흔히 우리는 컴퓨터가 갑자기 느려졌거나, 잘되던 컴퓨터가 어느 날 갑자기 먹통이 되어 버리면 바이러스 감염을 의심하게 된다.
여기서
바이러스란 것이 정확히 어떤 것을 의미하는 것일까? 쉽게 말해
컴퓨터를 망가뜨리는 미지의 프로그램을 말한다. 컴퓨터 기술이 발전되면서 바이러스도 복잡 다양해 졌고, 그와 유사한 것들도 많이 나타났다. 이로 인해 바이러스나 기타 악성 프로그램의 정의는 몹시 복잡해졌다.
따라서 우리가 흔히 바이러스라고 부르는 공공의 적을 보다 자세히 짚어보고 넘어감으로써 그에 대한 대처법도 함께 정리해 보고자 한다.
대분류 | 중분류 | 소분류 | 치료방법 | 악성코드
(Malicious Code) | 바이러스(Virus) | 바이러스 검사/치료 | 웜(Worm) | 트로이목마
(Trojan horse) | 백도어, DDOS, 해킹툴, 다운로더, 키로거 | 유해가능프로그램
(Potentially unwanted program) | 스파이웨어
(Spyware) | 애드웨어(Adware) | 스파이웨어 검사/치료 | 트랙웨어, 다이얼러 | 4 Mbps
(1.2 Mbps) | 조크, 스팸발송,
IRC 스크립트 |
|
|
컴퓨터에 어느 날 인터넷 시작페이지가 이상한 사이트로 고정되는 것을 발견했다. “바이러스에 감염됐구나!!” 라고 생각하여 백신 프로그램으로 검사를 해 보았지만 바이러스나 웜은 발견되지 않았다. 이러한 오해는 유해가능 프로그램에 대한 이해 부족에서 발생한다. 위의 표에서 보듯 바이러스와 웜과 트로이 목마를 묶어 악성코드라 부르고 스파이웨어 등은 유해가능 프로그램이라 부른다.
악성코드와 유해가능 프로그램은 성격이 매우 틀리고, 따라서 그에 대한 대처방법도 다르다. 일반적인 바이러스는 백신으로 치료가 가능하지만 웜이나 트로이 목마의 경우는 해결 방법이 다르다.
웜이란 인터넷이 등장하면서 나타난 악성코드이다. 네트워크로 전파되는 웜은 우리도 모르는 사이에 다른 사람에게 바이러스를 전파하게 된다. 대부분의 컴퓨터가 인터넷에 연결되어 있으므로 한 명이 감염된 순간 인터넷을 통해 엄청난 속도로 퍼지게 된다. 웜은 감염된 PC에서 자신을 무한히 복제하고 퍼트리며, 이로 인해 CPU에 과부하가 걸리게 되고, 정상적인 사용을 방해한다.
트로이목마는 컴퓨터에 정상파일로 위장해 숨어들어와 컴퓨터의 정보를 빼내가는 프로그램으로 백도어라고 불리기도 한다. 해킹 등에 악용될 소지가 큰 트로이 목마는 웹서핑을 통해서도 쉽게 감염될 수 있으므로 인터넷 사용 시 사용자의 각별한 주의가 요구된다.
다음에서 대표적인 웜의 증상과 대응 방법을 배워보고 동시에 트로이목마를 통한 개인정보 유출에 대비하기 위한 비밀번호 변경방법에 대하여 살펴보고자 한다.
[ 웜의 대표적인 증상 BEST 5 ]
■ 첫 번째, 인터넷 속도가 느려진다
웜은 감염된 컴퓨터에서 다른 PC로 웜을 전파하기 위해 네트워크를 사용한다. 물론 웜 전파 기술이 지능화 되면서 사용자가 눈치 채지 못하게 활동하는 경우도 있으나, 대부분의 웜은 가능한 모든 자원을 소모시키며 네트워크를 통해 다른 PC로 웜을 전파시킨다.
이러한 이유로 인터넷 속도가 답답할 정도로 느려지고, 심지어는 웜 때문에 "페이지를 표시할 수 없습니다." 라는 에러 메시지 페이지를 볼 수도 있다.
■ 두 번째, 컴퓨터 속도가 느려진다
웜은 네트워크로 자신의 파일을 계속 퍼뜨리려 하며, 이때 많은 양의 컴퓨터 자원을 사용하기 때문에 웜에 감염되면 컴퓨터 속도가 덩달아 느려지게 된다. 웜이 모든 자원을 사용하고 CPU를 100% 점유하고 있어서 정작 컴퓨터의 주인인 내가 메모장을 하나 띄우려면 몇 분씩 걸리고, 마우스는 슬로우 모션으로 움직이게 된다.
■ 세 번째, 컴퓨터가 자꾸 꺼졌다 켜진다.
컴퓨터가 자꾸 60초 후 재부팅한다는 메시지를 띄우고 그 시간이 지나면 재부팅하는 것을 계속 반복하는 경우가 있다. 이것은 컴퓨터의 보안패치가 이루어 지지 않은 상태에서 외부에서 들어오는 웜 공격에 의해 발생하는 현상이며, 일반적으로 블래스터 웜(Win32/Blaster.worm) 이나 새서 웜(Win32/Sasser.worm) 때문에 발생하는 현상이다.
이런 경우는 컴퓨터가 아직 감염된 상태가 아니어서 백신으로 진단해도 웜이 발견되지 않으며, 관련 윈도우 보안 패치를 설치해야 문제가 해결된다.
■ 네 번째, 컴퓨터가 부팅이 되지 않는다.
컴퓨터가 부팅이 안된다고 해서 100% 웜의 문제는 아니지만 아래와 같이 부팅이 안된다면 웜의 감염을 의심해 볼 수 있다. 윈도우즈에서 컴퓨터를 부팅하다보면 로그인 창에서 “윈도우즈 시동 중...” 이라는 메시지에서 멈추어 로그인 창이 안나오는 경우가 있다. 이때 <Ctrl +Alt + Del> 키를 눌러보았을 때 로그인 창이 나오는 경우가 있다. 평상시대로 로그인이 가능하다면 웜이 부팅을 방해했을 가능성이 높다.
웜의 경우 부팅이 될 때 웜을 바로 실행하게 하는데, 그 순간이 바로 로그인 직전이기 때문이다. 윈도우 부팅 과정은 일련의 규칙에 따라 작동하는데, 이런 과정 중에 무리하게 웜을 억지로 끼어 넣는 동작으로 인해 윈도우 부팅이 방해를 받을 수 도 있다. 이러한 경우에는 백신을 최신으로 업데이트하고 안전모드(부팅시 F8)에서 검사를 실시하여야 한다.
■ 다섯 번째, 실행이 안 되는 프로그램이 있다.
① 복사/붙여넣기가 안 되는 현상
문서나 파일을 작성하면서 복사/붙여넣기 기능을 많이 사용하게 된다. 하지만 아무리 붙여넣기를 해도 문장이 붙여 넣어지지 않는다던가, 파일이 복사되지 않는다면 이것도 웜 감염을 의심해 볼 수 있다. 윈도우의 중요한 프로세스 중에는 RPC DCOM이라는 프로세스가 있다. RPC DCOM의 역할 중에는 복사 명령을 받았을 때 그 정보를 특정한 공간에 저장해두고, 붙여넣기 명령을 받았을 때 저장해 두었던 정보를 꺼내주는 기능이 있다. 웜 중에 이런 RPC DCOM을 마비시키는 현상을 가지고 있는 종류가 있다. 이러한 웜에 감염되었을 때에는 RPC DCOM이 마비되어 정상적으로 동작하지 않음으로, 복사/붙여넣기 기능이 잘 되지 않는 경우가 생긴다.
② 작업관리자 창이 열리지 않는 현상
내 컴퓨터에 어떠한 프로그램이 실행중인가를 보는 창이 작업관리자 창이다. 작업관리자창에서는 각 프로세스의 CPU사용량, 메모리 사용량 등 구체적인 정보를 확인할 수 있다. 이런 작업관리자를 통해 웜을 강제로 종료시킬 수 있는데, 웜 제작자들은 작업관리자 창이 뜨지 않도록 방해하는 웜을 제작하기도 한다. 작업관리자 창은 트레이에서 마우스오른쪽 버튼을 눌러 [작업관리자]를 선택하면 나타난다.
아래와 같이 창이 열리지 않는다면 웜 감염을 의심해 볼 수 있다.
[만약 위에 나왔던 증상이 발생한다면 어떻게 해야 할까? ]
재부팅이 되는 경우를 제외하고 반드시 백신프로그램으로 바이러스 검사를 해야 한다. 컴퓨터가 느려서 도저히 백신으로 검사를 할 수 없을 때에는 컴퓨터 뒤에 연결되어 있는 LAN 선을 뽑아 놓고 검사를 하면 된다. LAN 선이 뽑혀 있을 때에는 웜이 네트워크 사용을 못하게 돼서 컴퓨터 속도가 정상으로 작동된다. <자료제공: AhnLab>
이런 조치를 수행하여 정상적으로 작동할 때, 재감염을 방지하기 위하여 사용자들 반드시 보안패치를 설치해야 한다. 바이러스를 치료했다고 하더라도 보안패치가 되지 않은 컴퓨터는 바이러스에 재감염 될 수 있다.
보안패치는 서울대학교 자동보안패치 서비스(http://pms.snu.ac.kr), 또는
MS 사이트(http://windowsupdate.microsoft.com)에서 할 수 있다.
여기까지 대표적인 웜에 대한 증상을 살펴보았다. 웜은 정상적인 네트워크 사용을 방해할 뿐이지만 트로이 목마의 경우는 얘기가 달라진다.
트로이 목마는 컴퓨터에 저장된 계정, 비밀번호, 계좌번호, E-mail 주소 등의 개인정보를 특정 컴퓨터로 전송시켜 해킹 등 악의적인 용도로 사용될 수 있다.
트로이 목마의 감염을 막기 위하여서는 불분명한 사이트의 접속을 금함과 함께 윈도우 보안패치를 최신으로 유지하여야 한다. 하지만 이런 보안대책을 100% 따른다고 하더라도 신종 바이러스의 위협으로부터 완전히 해방될 수는 없다. 또한 개인정보 누출을 차단하기 위해서는 여러 사이트의 계정과 비밀번호를 철저히 관리하여야 한다.
[ 여러 사이트의 계정과 비밀번호를 어떻게 관리하는 것이 좋을가? ]
대부분의 사람들이 여러 사이트에 동일한 계정과 비밀번호를 사용하기 때문에 하나의 비밀번호 누출은 금융사기 등 심각한 피해를 가져올 수도 있으므로, 사이트마다 계정(ID)과 비밀번호를 다르게 이용하는 것이 좋으나, 관리하기 어렵다면 비밀번호만이라도 반드시 다르게 하고 주기적인 변경을 통해 이러한 피해를 사전에 예방하도록 하여야 한다.
▶ 서울대학교 포털사용자는 서울대학교 계정관리 지침 제5조 2항에 따라 분기 1회 이상 비밀번호를 변경하여야 한다.
서울대학교 포털 비밀번호 변경방법 (바로가기)
▶ 아웃룩을 통해 서울대 메일을 이용하는 사용자는 포털 비밀번호 변경 후 아웃룩에서도 비밀번호를 변경하여야만 정상적인 메일 수발신이 가능합니다.
아웃룩(Outlook과 Outlook Express) 비밀번호 변경방법 (바로가기)
끝으로 개인 PC의 보안에 필요한 프로그램을 제공 받을 수 있는 사이트를 정리해보았다.
대분류 | 소분류 | 치료방법 | 백신
프로그램 | 윈도우즈용 | V3 IS 7.0
Platinum Enterprise | 포털→이용자서비스→캠퍼스라이선스S/W→
캠퍼스라이선스다운로드→29번 | 윈도우즈
서버용 | V3net for
Windows
server 6.0 | 포털→이용자서비스→캠퍼스라이선스S/W→
캠퍼스라이선스다운로드→30번 | 리눅스용 | Kaspersky
Anti-virus 5.5 | 포털→이용자서비스→캠퍼스라이선스S/W→
캠퍼스라이선스다운로드→28번 | 온라인용 | Kaspersky
Online Virus
Scanner | 포털 메인화면 | 비스타용 | V3 Iinternet
Security(Beta) | 포털→정보화인프라→보안센터→FAQ→22번 | 보안패치 | BigFix PMS | http://pms.snu.ac.kr | Microsoft OS
Update site | http://windowsupdate.microsoft.com | 악성코드방어
프로그램 | 악성코드 설치
방어 프로그램 | 포털→정보화인프라→보안센터→
보안설정가이드 →10번 |
|
|
)
