DDoS 공격!! 내 컴퓨터가 좀비 PC는 아닐까?
2011. 3. 7. 01:29ㆍIT/Computer Tips
뉴스를 보면 DDoS 공격이다, 좀비 PC다 하는 이야기를 쉽게 들을 수 있다. 이전에 DDoS 대란으로 큰 피해가 있었기에 대중들의 우려는 더 크다. DDoS(Distribute Denial of Service attack - 분산 서비스 거부)란 일종의 해킹 방법으로 여러 대의 컴퓨터를 동시에 동작하게 해서 특정 사이트를 마비시키는 등의 피해를 일으키는 방법이다. 사이트가 처리할 수 없을만큼 많은 양의 입력을 들이부어 그 기능을 마비시키는 것이다.
여기까지라면 일반 사용자가 DDoS 공격을 무서워해야 할 필요가 없다. 개인 홈페이지 하나 죽이자고 덤벼드는 이는 그리 많지 않을 테니까. 그러나 일반 사용자도 DDoS를 주의해야 하는 것은 DDoS 공격 때 일반 사용자의 PC를 일종의 숙주로 이용하기 때문이다. 이것이 흔히 이야기하는 좀비 PC다.
DDoS 공격을 준비하는 주체는 특정 악성 코드를 유포한다. 유포 방식은 다양한데, 일반 사용자의 컴퓨터가 좀비 PC가 되는 것은 검증되지 않은 사이트(성인 사이트 등)에 접속하거나 접속해서 Active X를 설치하는 경우, P2P나 웹하드 서비스를 이용해서 출처가 불분명한 파일을 내려받고 사용하는 경우 등이 가장 흔하다.
악성 코드가 포함된 파일을 사용하면 그 악성 코드는 컴퓨터에 잠복하면서 때를 기다린다. 보통 DDoS 공격이 몇일 몇 시에 시작된다는 이야기를 들을 수 있는데 이것은 악성 코드에 공격 시기가 포함된 경우가 있어서다. 악성 코드는 보통 두 가지 방식으로 실행되는데 첫째는 매크로를 통해 자동으로 실행되는 방식이고 둘째는 원격 조정에 의한 방식이다.
특정 시기가 되면 DDoS 공격의 주체는 수많은 좀비 PC를 동원해서 특정 사이트를 공격한다. 공격받은 사이트는 처리할 수 있는 입력 한계를 넘어선 순간부터 정상적인 접속 및 사용이 힘들어진다. 뉴스를 보니 청와대를 비롯한 40개의 사이트가 공격을 받았다는 이야기가 있었는데 그 중엔 주요 포털 서비스나 온라인 장터도 있었다.
공격이 끝나면 DDoS 공격 주체의 의지에 따라 좀비 PC의 하드디스크 자료를 망가뜨릴 수 있다. 앞서 좀비 PC의 제어가 두 가지 방식으로 이루어진다고 했는데 매크로든 원격 조정이든 좀비 PC의 하드디스크 자료를 삭제하고 복구할 수 없도록 여러 번 반복해서 덮어씌우면 좀비 PC의 하드디스크 파괴가 끝난다. 만약 MBR을 파괴하면 부팅조차 할 수 없다. 좀비 PC로 사용된 것도 억울한데 내 소중한 자료까지 넘본다.
좀비 PC 확인 방법이라고 떠도는 방법은 보통 세 가지가 있다. 첫째는 명령 프롬프트에서 netstat 명령어를 사용하는 방식이다. 많은 글에서 netstat -b 명령어로 8000, 8080, 12345 포트 사용이 확인되면 좀비 PC라고 이야기한다. 그러나 이는 가능성의 문제지 확실한 방식은 아니다. DDoS 공격에 해당 포트가 많이 사용된다고 해서 해당 포트를 사용하고 있는 PC가 모두 좀비 PC일 순 없다. 이 방법은 그냥 잊자.
정 확인하고 싶다면 첨부된 파일을 실행해서 확인한다. 윈도 포럼의 터치님이 배포한 자료다. 포트를 확인해서 8080이나 8000 등 좀비 PC에서 많이 사용되는 것이 있으면 경고 메시지로 알려준다.
두 번째는 보호나라를 통한 방법이다. 보호나라에 접속하면 알아서 내 컴퓨터가 감염되었는지를 알려준다. 맨 위의 [악성 봇 감염 확인 결과]와 맨 아래의 [Conficker 웜 감염 확인 결과]를 확인한다. 위 그림과 같다면 일단은 문제가 없다고 생각할 수 있다.
확인을 마치면 [정보보호 5대 실전수칙]을 클릭해서 실천수칙을 확인한다.
마지막 방법은 확인과 동시에 치료도 할 수 있는 방법이다.
안철수연구소를 방문하면 DDoS 공격과 관련된 악성코드 전용 백신을 제공한다. 전용 백신을 내려받아 실행한다.
전용 백신을 실행한 다음 C:를 지정해서 [검사]를 클릭한다. 검사 결과가 위 그림과 같다면 큰 문제가 없다. C:가 아닌 다른 드라이브 문자의 하드디스크(D:, E: 등)가 있다면 혹시 모르니 같은 방법으로 모두 검사한다.
여러 가지 이야기를 했지만, 사실 보안 업데이트를 마치고 실시간 감시 기능을 제공하는 성능이 검증된 안티바이러스 제품을 사용하고 있다면 좀비 PC가 될 가능성은 그리 크지 않다. 앞서 다른 게시물에서 보안과 관련된 이야기를 몇 번 한 적이 있지만, 다시 한 번 짚고 넘어가자.
일단 가장 중요한 것은 보안 업데이트다. 보안 업데이트란 운영체제의 알려진 취약점을 보완하는 것이다. 보안 업데이트를 하지 않는 것은 상처 부위를 드러내놓고 다니는 것과 같다. 당연히 감염의 위험이 커진다. 보안 업데이트는 [자동]으로 설정해둔다. 윈도 잘 사용하기 10계명을 참고한다.
두 번째는 성능이 검증된 안티바이러스 제품을 사용하는 것이다. 개인적으로 무료 백신 중에선 avast! Free Antivirus, Avira AntiVir Personal - Free Antivirus, AVG Anti-Virus Free를 추천한다. 세 가지 모두 한국어를 지원한다. 윈도 잘 사용하기 10계명 및 블로그 메뉴의 보안에 포함된 안티바이러스 제품 설명을 참고한다. 사용하고 있는 백신 프로그램의 업데이트는 잊지 말아야 한다. 또 실시간 감시는 꼭 사용해야 하며 주기적으로 컴퓨터 전체를 검사한다.
다음은 무분별한 Active X 설치를 자제하는 것이다. Active X는 보통 온라인 거래나 포털 사이트를 사용할 때 많이 설치되지만, 간혹 성인 사이트 등 안전성이 확인되지 않은 사이트에서 게시자가 불분명한 Active X를 설치하려 할 때가 있다. 이를 땐 해당 Active X가 어떤 기능을 하는지 충분히 확인한 다음 설치하는 것이 좋다. 역시 윈도 잘 사용하기 10계명을 확인한다.
P2P 프로그램이나 웹하드를 사용해서 출처가 불분명한 파일을 내려받지 않는다. 인터넷을 통해서 내려받고 공유하는 모든 파일은 악성코드나 바이러스에 감염되었을 수 있다. 물론 검증된 사이트에서 제공하는 파일은 미리 자체 검사를 거치기 때문에 안전하지만, 공유 사이트 자료는 그렇지 않다. 파일 공유 서비스를 사용할 땐 항상 악성코드 및 바이러스에 주의한다.
전자우편 사용 또한 주의해야 한다. 출처를 알지 못하거나 의심스러운 우편은 확인하지 않고 첨부 파일을 무분별하게 내려받지 않는다.
또 웹 사이트 비밀번호는 되도록 어려운 것으로 설정하고 가능하다면 자주 바꾸는 것이 좋다. 내 비밀번호는 얼마나 안전한가 2 - Microsoft Online Safety!!에 복잡한 비밀번호를 만드는 방법에 대해 간단히 설명되어 있다. 비밀번호 관리 서비스인 LastPass나 KeePass를 사용하는 것도 좋은 방법이다.
마지막으로 공인인증서 보관에 주의를 기울인다. 보통 공인인증서를 하드디스크에 보관하고 보안에 어느 정도 신경 쓰는 사용자는 USB 등의 이동식 디스크나 휴대 전화에 보관한다. 휴대전화는 비밀번호를 설정할 수 있으니 그나마 낫지만, USB는 분실하면 오히려 위험할 수도 있다. 이럴 땐 TrueCrypt로 공인 인증서를 안정하게 보관하기를 참고 해서 더 안전하게 공인인증서를 보관하도록 한다. 공인인증서뿐 아니라 신용카드를 사용할 때 필요한 안심클릭 등의 금융 정보도 모두 TrueCrypt에 보관하면 더 안전하다. 물론 TrueCrypt 비밀번호는 내가 기억할 수 있는 범위 안에서 가장 복잡하게 설정하는 것이 좋다.
여기까지라면 일반 사용자가 DDoS 공격을 무서워해야 할 필요가 없다. 개인 홈페이지 하나 죽이자고 덤벼드는 이는 그리 많지 않을 테니까. 그러나 일반 사용자도 DDoS를 주의해야 하는 것은 DDoS 공격 때 일반 사용자의 PC를 일종의 숙주로 이용하기 때문이다. 이것이 흔히 이야기하는 좀비 PC다.
DDoS 공격을 준비하는 주체는 특정 악성 코드를 유포한다. 유포 방식은 다양한데, 일반 사용자의 컴퓨터가 좀비 PC가 되는 것은 검증되지 않은 사이트(성인 사이트 등)에 접속하거나 접속해서 Active X를 설치하는 경우, P2P나 웹하드 서비스를 이용해서 출처가 불분명한 파일을 내려받고 사용하는 경우 등이 가장 흔하다.
악성 코드가 포함된 파일을 사용하면 그 악성 코드는 컴퓨터에 잠복하면서 때를 기다린다. 보통 DDoS 공격이 몇일 몇 시에 시작된다는 이야기를 들을 수 있는데 이것은 악성 코드에 공격 시기가 포함된 경우가 있어서다. 악성 코드는 보통 두 가지 방식으로 실행되는데 첫째는 매크로를 통해 자동으로 실행되는 방식이고 둘째는 원격 조정에 의한 방식이다.
특정 시기가 되면 DDoS 공격의 주체는 수많은 좀비 PC를 동원해서 특정 사이트를 공격한다. 공격받은 사이트는 처리할 수 있는 입력 한계를 넘어선 순간부터 정상적인 접속 및 사용이 힘들어진다. 뉴스를 보니 청와대를 비롯한 40개의 사이트가 공격을 받았다는 이야기가 있었는데 그 중엔 주요 포털 서비스나 온라인 장터도 있었다.
공격이 끝나면 DDoS 공격 주체의 의지에 따라 좀비 PC의 하드디스크 자료를 망가뜨릴 수 있다. 앞서 좀비 PC의 제어가 두 가지 방식으로 이루어진다고 했는데 매크로든 원격 조정이든 좀비 PC의 하드디스크 자료를 삭제하고 복구할 수 없도록 여러 번 반복해서 덮어씌우면 좀비 PC의 하드디스크 파괴가 끝난다. 만약 MBR을 파괴하면 부팅조차 할 수 없다. 좀비 PC로 사용된 것도 억울한데 내 소중한 자료까지 넘본다.
1. 좀비 PC 확인하기
좀비 PC 확인 방법이라고 떠도는 방법은 보통 세 가지가 있다. 첫째는 명령 프롬프트에서 netstat 명령어를 사용하는 방식이다. 많은 글에서 netstat -b 명령어로 8000, 8080, 12345 포트 사용이 확인되면 좀비 PC라고 이야기한다. 그러나 이는 가능성의 문제지 확실한 방식은 아니다. DDoS 공격에 해당 포트가 많이 사용된다고 해서 해당 포트를 사용하고 있는 PC가 모두 좀비 PC일 순 없다. 이 방법은 그냥 잊자.
 |
 |
zbpc_check.exe마지막 방법은 확인과 동시에 치료도 할 수 있는 방법이다.
2. 전용 백신으로 악성코드 검사하기
여러 가지 이야기를 했지만, 사실 보안 업데이트를 마치고 실시간 감시 기능을 제공하는 성능이 검증된 안티바이러스 제품을 사용하고 있다면 좀비 PC가 될 가능성은 그리 크지 않다. 앞서 다른 게시물에서 보안과 관련된 이야기를 몇 번 한 적이 있지만, 다시 한 번 짚고 넘어가자.
일단 가장 중요한 것은 보안 업데이트다. 보안 업데이트란 운영체제의 알려진 취약점을 보완하는 것이다. 보안 업데이트를 하지 않는 것은 상처 부위를 드러내놓고 다니는 것과 같다. 당연히 감염의 위험이 커진다. 보안 업데이트는 [자동]으로 설정해둔다. 윈도 잘 사용하기 10계명을 참고한다.
두 번째는 성능이 검증된 안티바이러스 제품을 사용하는 것이다. 개인적으로 무료 백신 중에선 avast! Free Antivirus, Avira AntiVir Personal - Free Antivirus, AVG Anti-Virus Free를 추천한다. 세 가지 모두 한국어를 지원한다. 윈도 잘 사용하기 10계명 및 블로그 메뉴의 보안에 포함된 안티바이러스 제품 설명을 참고한다. 사용하고 있는 백신 프로그램의 업데이트는 잊지 말아야 한다. 또 실시간 감시는 꼭 사용해야 하며 주기적으로 컴퓨터 전체를 검사한다.
다음은 무분별한 Active X 설치를 자제하는 것이다. Active X는 보통 온라인 거래나 포털 사이트를 사용할 때 많이 설치되지만, 간혹 성인 사이트 등 안전성이 확인되지 않은 사이트에서 게시자가 불분명한 Active X를 설치하려 할 때가 있다. 이를 땐 해당 Active X가 어떤 기능을 하는지 충분히 확인한 다음 설치하는 것이 좋다. 역시 윈도 잘 사용하기 10계명을 확인한다.
P2P 프로그램이나 웹하드를 사용해서 출처가 불분명한 파일을 내려받지 않는다. 인터넷을 통해서 내려받고 공유하는 모든 파일은 악성코드나 바이러스에 감염되었을 수 있다. 물론 검증된 사이트에서 제공하는 파일은 미리 자체 검사를 거치기 때문에 안전하지만, 공유 사이트 자료는 그렇지 않다. 파일 공유 서비스를 사용할 땐 항상 악성코드 및 바이러스에 주의한다.
전자우편 사용 또한 주의해야 한다. 출처를 알지 못하거나 의심스러운 우편은 확인하지 않고 첨부 파일을 무분별하게 내려받지 않는다.
또 웹 사이트 비밀번호는 되도록 어려운 것으로 설정하고 가능하다면 자주 바꾸는 것이 좋다. 내 비밀번호는 얼마나 안전한가 2 - Microsoft Online Safety!!에 복잡한 비밀번호를 만드는 방법에 대해 간단히 설명되어 있다. 비밀번호 관리 서비스인 LastPass나 KeePass를 사용하는 것도 좋은 방법이다.
마지막으로 공인인증서 보관에 주의를 기울인다. 보통 공인인증서를 하드디스크에 보관하고 보안에 어느 정도 신경 쓰는 사용자는 USB 등의 이동식 디스크나 휴대 전화에 보관한다. 휴대전화는 비밀번호를 설정할 수 있으니 그나마 낫지만, USB는 분실하면 오히려 위험할 수도 있다. 이럴 땐 TrueCrypt로 공인 인증서를 안정하게 보관하기를 참고 해서 더 안전하게 공인인증서를 보관하도록 한다. 공인인증서뿐 아니라 신용카드를 사용할 때 필요한 안심클릭 등의 금융 정보도 모두 TrueCrypt에 보관하면 더 안전하다. 물론 TrueCrypt 비밀번호는 내가 기억할 수 있는 범위 안에서 가장 복잡하게 설정하는 것이 좋다.