DDoS 공격!! 내 컴퓨터가 좀비 PC는 아닐까?

2011. 3. 7. 01:29IT/Computer Tips

 뉴스를 보면 DDoS 공격이다, 좀비 PC다 하는 이야기를 쉽게 들을 수 있다. 이전에 DDoS 대란으로 큰 피해가 있었기에 대중들의 우려는 더 크다. DDoS(Distribute Denial of Service attack - 분산 서비스 거부)란 일종의 해킹 방법으로 여러 대의 컴퓨터를 동시에 동작하게 해서 특정 사이트를 마비시키는 등의 피해를 일으키는 방법이다. 사이트가 처리할 수 없을만큼 많은 양의 입력을 들이부어 그 기능을 마비시키는 것이다.

 여기까지라면 일반 사용자가 DDoS 공격을 무서워해야 할 필요가 없다. 개인 홈페이지 하나 죽이자고 덤벼드는 이는 그리 많지 않을 테니까. 그러나 일반 사용자도 DDoS를 주의해야 하는 것은 DDoS 공격 때 일반 사용자의 PC를 일종의 숙주로 이용하기 때문이다. 이것이 흔히 이야기하는 좀비 PC다.

 DDoS 공격을 준비하는 주체는 특정 악성 코드를 유포한다. 유포 방식은 다양한데, 일반 사용자의 컴퓨터가 좀비 PC가 되는 것은 검증되지 않은 사이트(성인 사이트 등)에 접속하거나 접속해서 Active X를 설치하는 경우, P2P나 웹하드 서비스를 이용해서 출처가 불분명한 파일을 내려받고 사용하는 경우 등이 가장 흔하다.

 악성 코드가 포함된 파일을 사용하면 그 악성 코드는 컴퓨터에 잠복하면서 때를 기다린다. 보통 DDoS 공격이 몇일 몇 시에 시작된다는 이야기를 들을 수 있는데 이것은 악성 코드에 공격 시기가 포함된 경우가 있어서다. 악성 코드는 보통 두 가지 방식으로 실행되는데 첫째는 매크로를 통해 자동으로 실행되는 방식이고 둘째는 원격 조정에 의한 방식이다.

 특정 시기가 되면 DDoS 공격의 주체는 수많은 좀비 PC를 동원해서 특정 사이트를 공격한다. 공격받은 사이트는 처리할 수 있는 입력 한계를 넘어선 순간부터 정상적인 접속 및 사용이 힘들어진다. 뉴스를 보니 청와대를 비롯한 40개의 사이트가 공격을 받았다는 이야기가 있었는데 그 중엔 주요 포털 서비스나 온라인 장터도 있었다.

 공격이 끝나면 DDoS 공격 주체의 의지에 따라 좀비 PC의 하드디스크 자료를 망가뜨릴 수 있다. 앞서 좀비 PC의 제어가 두 가지 방식으로 이루어진다고 했는데 매크로든 원격 조정이든 좀비 PC의 하드디스크 자료를 삭제하고 복구할 수 없도록 여러 번 반복해서 덮어씌우면 좀비 PC의 하드디스크 파괴가 끝난다. 만약 MBR을 파괴하면 부팅조차 할 수 없다. 좀비 PC로 사용된 것도 억울한데 내 소중한 자료까지 넘본다.


1. 좀비 PC 확인하기



 좀비 PC 확인 방법이라고 떠도는 방법은 보통 세 가지가 있다. 첫째는 명령 프롬프트에서 netstat 명령어를 사용하는 방식이다. 많은 글에서 netstat -b 명령어로 8000, 8080, 12345 포트 사용이 확인되면 좀비 PC라고 이야기한다. 그러나 이는 가능성의 문제지 확실한 방식은 아니다. DDoS 공격에 해당 포트가 많이 사용된다고 해서 해당 포트를 사용하고 있는 PC가 모두 좀비 PC일 순 없다. 이 방법은 그냥 잊자.

 정 확인하고 싶다면 첨부된 파일을 실행해서 확인한다. 윈도 포럼의 터치님이 배포한 자료다. 포트를 확인해서 8080이나 8000 등 좀비 PC에서 많이 사용되는 것이 있으면 경고 메시지로 알려준다.

 두 번째는 보호나라를 통한 방법이다. 보호나라에 접속하면 알아서 내 컴퓨터가 감염되었는지를 알려준다. 맨 위의 [악성 봇 감염 확인 결과]와 맨 아래의 [Conficker 웜 감염 확인 결과]를 확인한다. 위 그림과 같다면 일단은 문제가 없다고 생각할 수 있다.

 확인을 마치면 [정보보호 5대 실전수칙]을 클릭해서 실천수칙을 확인한다.

 마지막 방법은 확인과 동시에 치료도 할 수 있는 방법이다.


2. 전용 백신으로 악성코드 검사하기



 안철수연구소를 방문하면 DDoS 공격과 관련된 악성코드 전용 백신을 제공한다. 전용 백신을 내려받아 실행한다.

 전용 백신을 실행한 다음 C:를 지정해서 [검사]를 클릭한다. 검사 결과가 위 그림과 같다면 큰 문제가 없다. C:가 아닌 다른 드라이브 문자의 하드디스크(D:, E: 등)가 있다면 혹시 모르니 같은 방법으로 모두 검사한다.

 여러 가지 이야기를 했지만, 사실 보안 업데이트를 마치고 실시간 감시 기능을 제공하는 성능이 검증된 안티바이러스 제품을 사용하고 있다면 좀비 PC가 될 가능성은 그리 크지 않다. 앞서 다른 게시물에서 보안과 관련된 이야기를 몇 번 한 적이 있지만, 다시 한 번 짚고 넘어가자.

 일단 가장 중요한 것은 보안 업데이트다. 보안 업데이트란 운영체제의 알려진 취약점을 보완하는 것이다. 보안 업데이트를 하지 않는 것은 상처 부위를 드러내놓고 다니는 것과 같다. 당연히 감염의 위험이 커진다. 보안 업데이트는 [자동]으로 설정해둔다. 윈도 잘 사용하기 10계명을 참고한다.

 두 번째는 성능이 검증된 안티바이러스 제품을 사용하는 것이다. 개인적으로 무료 백신 중에선 avast! Free Antivirus, Avira AntiVir Personal - Free Antivirus, AVG Anti-Virus Free를 추천한다. 세 가지 모두 한국어를 지원한다. 윈도 잘 사용하기 10계명 및 블로그 메뉴의 보안에 포함된 안티바이러스 제품 설명을 참고한다. 사용하고 있는 백신 프로그램의 업데이트는 잊지 말아야 한다. 또 실시간 감시는 꼭 사용해야 하며 주기적으로 컴퓨터 전체를 검사한다.

 다음은 무분별한 Active X 설치를 자제하는 것이다. Active X는 보통 온라인 거래나 포털 사이트를 사용할 때 많이 설치되지만, 간혹 성인 사이트 등 안전성이 확인되지 않은 사이트에서 게시자가 불분명한 Active X를 설치하려 할 때가 있다. 이를 땐 해당 Active X가 어떤 기능을 하는지 충분히 확인한 다음 설치하는 것이 좋다. 역시 윈도 잘 사용하기 10계명을 확인한다.

 P2P 프로그램이나 웹하드를 사용해서 출처가 불분명한 파일을 내려받지 않는다. 인터넷을 통해서 내려받고 공유하는 모든 파일은 악성코드나 바이러스에 감염되었을 수 있다. 물론 검증된 사이트에서 제공하는 파일은 미리 자체 검사를 거치기 때문에 안전하지만, 공유 사이트 자료는 그렇지 않다. 파일 공유 서비스를 사용할 땐 항상 악성코드 및 바이러스에 주의한다.

 전자우편 사용 또한 주의해야 한다. 출처를 알지 못하거나 의심스러운 우편은 확인하지 않고 첨부 파일을 무분별하게 내려받지 않는다.

 또 웹 사이트 비밀번호는 되도록 어려운 것으로 설정하고 가능하다면 자주 바꾸는 것이 좋다. 내 비밀번호는 얼마나 안전한가 2 - Microsoft Online Safety!!에 복잡한 비밀번호를 만드는 방법에 대해 간단히 설명되어 있다. 비밀번호 관리 서비스인 LastPassKeePass를 사용하는 것도 좋은 방법이다.

 마지막으로 공인인증서 보관에 주의를 기울인다. 보통 공인인증서를 하드디스크에 보관하고 보안에 어느 정도 신경 쓰는 사용자는 USB 등의 이동식 디스크나 휴대 전화에 보관한다. 휴대전화는 비밀번호를 설정할 수 있으니 그나마 낫지만, USB는 분실하면 오히려 위험할 수도 있다. 이럴 땐 TrueCrypt로 공인 인증서를 안정하게 보관하기를 참고 해서 더 안전하게 공인인증서를 보관하도록 한다. 공인인증서뿐 아니라 신용카드를 사용할 때 필요한 안심클릭 등의 금융 정보도 모두 TrueCrypt에 보관하면 더 안전하다. 물론 TrueCrypt 비밀번호는 내가 기억할 수 있는 범위 안에서 가장 복잡하게 설정하는 것이 좋다.

  • 프로필사진
    알 수 없는 사용자2011.03.07 13:55

    안녕하세요, TISTORY입니다.



    티스토리 메인에서 'DDOS'를 주제로 회원님의 글을 소개해드렸습니다.^^
    혹시 노출과 관련하여 궁금한 점이 있으시면 tistoryeditor@hanmail.net 메일을 통해 말씀해주세요!


    앞으로도 재미있고 유익한 글로 자주 뵈었으면 좋겠습니다.


    감사합니다.

    • 프로필사진
      Favicon of https://circlash.tistory.com BlogIcon circlash2011.03.07 18:01 신고

      네, 찾아주셔서 감사합니다.
      메인에 제 글이 보이니 기분이 묘하네요^^
      행복한 하루 되세요!

  • 프로필사진
    알 수 없는 사용자2011.03.08 12:42

    티스토리 메인에 뜨신 모양이네요...~ 요즘 이래저래 일들이 많아서 개설 이후 손을 거의 못 대었군요 ㅎㅎ... 벌써 방치 1개월째... --;; 저도 디도스에는 일단 무사한 듯 싶네요... 물론 10일쯤 잔재된 악성코드로 인한 하드디스크 파괴가 된다고는 하지만, 이번에 6버전으로 된 Avast 백신을 일단 부팅시 검사 설정을 해놓아서 불편하지만 소강상태가 될 때까지 굴려야죠 ㅋㅋ... 6버전 샌드박스 기능은 정말 괜찮네요... 일전에 코모도 방화벽에서도 본적이 있지만 사용을 안해서 --;;... 왠만한 것들은 그냥 넘기는데 Teracopy도 샌드박스를 이용하라는 군요 --;; 그래서 일단 무시하고 알아서 설정한 뒤 사용중이고요... Antivir도 괜찮지만, 일단 Avast 메모리도 제법 줄었고, 가장 맘에 드는 건 검사속도가 현저히 증가되었더군요...~

    뭐 세간에는 "정치자금법 통과를 위한 디도스"라는 소리로 시끄러운 모양인데, 개인사용자의 경우 가장 먼저 타겟을 잡지는 않겠지만, 숙주가 되는 좀비 PC로 인한 소중한 자료를 날린다는게 큰 걱정이겠지요... 언론에서는 하드 파괴라고들 해서 정말 하드가 박살이 나는 줄 알고들 있던데, 거의 로우포맷 정도로 봐야할까요?? 암튼 온,오프라인 모두 나라 안팎으로 아주 시끄럽네요...~

    일단 복구문제는 수정할 부분이 제법 있어서 시일이 걸릴 듯 보이네요... 다만 수첩에 개설 이후 목록은 되어있으니 현장감은 떨어지나 어짜피 미리쓰나 나중에 쓰나 결국 추억이 되는 글귀들이니까요... 괜찮네요...ㅋㅋ 개설 취지도 추억을 곱씹기 위함이니... 그럼 디도스 무사히 넘기기를 빌면서 다시한번 메인에 올라간 것 (저는 못봤지만 --;;) 축하드려요~

    • 프로필사진
      Favicon of https://circlash.tistory.com BlogIcon circlash2011.03.15 02:57 신고

      저도 며칠째 손도 못대고 있다고 오늘 오랜만에 글썼습니다. DDoS 무사히 넘어가셨다니 다행이네요. 웬만해선 피해입을 일도 많지 않겠지만요.

      샌드박스가 불편하긴 해도 안전하죠. 전 오랜만에 윈도 다시 설치하면서 AntiVir로 바꿔봤어요. 한글만 지원된다 뿐이지 기능상의 변화는 크게 못느끼겠네요.

      추억이 되는 글귀들 한마디 한마디 곱씹어 잘 남겨두세요.
      축하 감사합니다~