얼마전 KBS에서 제작한 신년특집다큐
"좀비PC, 당신을 노린다" 방송이 나간 후 저희 회사에는 "내 PC가 좀비PC인가요?" 라는 문의 전화와 메일이 엄청났습니다.
포털사이트에서도 "좀비PC 확인법"으로 검색 유입이 많았고, 좀비PC가 실시간 검색어 1위를 차지해 다시한번 TV 방송의 위력을 실감할 수 있었습니다.
(저야 직업이 이래서 관심있게 방송을 봤는데, 다음날 이정도 이슈가 될줄은...)
그 중에서도 일부 언론사에서 'netstat 명령어로 8080 포트(Port)가 나타나면 좀비 PC라고 확인된다'는 잘못된 정보가 보도되어 정상 PC인데도 좀비 PC로 의심된다는 문의가 가장 많았습니다. 그리고 이런 잘못된 확인법에 대해 아직도 많은 분들이 모르시고 있는 것 같더군요.
<일부 언론사의 잘못된 좀비PC 확인법 기사내용>
일부 악성 봇(Bot)이나 악성코드(Backdoor.Haxdoor.E, Win32.Spybot.OBB 등)들이 통신을 위해 사용하는 포트(Port)가 8080인 것은 분명하지만, 이것만으로는 내 PC가 좀비 PC인지 감염 여부를 확실하게 가려내기에는 정보가 턱없이 부족합니다.
게다가 8080 포트는 악성코드 이외에도 인터넷(HTTP)를 이용하기 위해 사용될 수 있는 정상적인 포트이기 때문에 악성코드에 감염되지 않은 깨끗한 PC에서도 8080 포트는 충분히 나타날 수 있게 됩니다. 그러므로 이른바 “8080 좀비 PC 확인법”은 정확하지 않은 방법입니다.
<PC에 8080 포트가 나타났다는 지식인 문의 화면>
내 PC가 좀비PC인지 제대로 확인하는 방법
그렇다면 내 PC가 정말 좀비 PC인지 정확히 판별할 수 있는 방법이 무엇일까요?
답은 의외로 정말 가까이 있습니다. 바로 지금 여러분이 사용하고 있는 “최신 버전의 백신”으로 충분히 확인할 수 있습니다.
대부분의 최신 백신에서는 아주 일반적인 컴퓨터 바이러스 뿐만 아니라 좀비 PC를 만드는 악성봇(Bot) 계열의 악성코드에 대해서도 진단할 수 있는 데이터베이스(DB)를 갖추었기 때문에 정밀 검사 결과만으로도 좀비PC 여부를 비교적 정확하게 판단할 수 있습니다.
<'알약'에서 탐지된 악성 봇(Bot) 프로그램 샘플>
'알약'의 경우 정밀 검사나 실시간 감시 결과에서 주로 좀비 PC를 만들어버리는 악성 봇(Bot) 프로그램들은 진단명에 Bot이라는 단어를 대부분 포함하고 있습니다. 위 그림의 경우 진단명에 Bot이라는 단어를 포함하고 있기 때문에 내 PC에서 이러한 검사 결과들이 발견되었다면 좀비 PC임을 확실히 알 수 있습니다.
참고로, Sdbot은 C&C(Command & Control; 명령제어) 서버의 IRC를 통해 좀비 PC들을 통제하는 특징을 기본적으로 가지고 있고, DDoS 공격과 개인정보 유출, 암호화 기능을 추가시킬 수도 있습니다. (Sdbot의 추가 악성 기능은 해커 입맛(?)에 맞게 제조됩니다.)
<좀비PC를 만드는 악성 봇(Malicious Bot) 의 개념도>
이외에도 DNS 싱크홀(Sink hole) 기술에 기반한 알약의 악성 봇(Bot) 사전 방역 기능을 통해 좀비 PC로 의심될 경우 알림창을 보여주고, 사용자 동의 후 시스템 정보를 수집하여 최신 버전의 알약 진단 기능에 최종적으로 반영됩니다.
<DNS 싱크홀(Sink hole)의 원리를 설명한 자료>
<악성봇(Bot) 사전 방역 알림창>
알약에서 악성 봇 사전 방역 기능을 사용하려면 "설정" -> "실시간 감시"에서 "악성 봇 사전 방역 기능"을 체크 선택해주시면 됩니다.
좀비 PC는 파일 손상 같은 실질적 피해 뿐만 아니라 TV에서 보신 것처럼 PC 사용자의 정신적 고통까지 줄 수 있습니다.
마지막으로 이를 예방하는 방법은 잔소리 같지만
매번 강조해도 부족함이 없는 “최신 버전의 백신의 사용(물론 실시간 감시 ON)과 보안 패치 설치 그리고 출처가 불분명한 파일은 읽지 않고 바로 삭제하는 것!” 입니다.”
이 세가지만 잘 지켜도 내 PC가 좀비 PC로 돌변하는 것을 대부분 예방할 수 있습니다.
- written by KBS-
댓글 영역