내PC 망치는악성코드잡아내기

2008-02-16     PC사랑
 
악성코드란 말 그대로, 유저 모르게 컴퓨터에 깔려 악성적인 일을 하는(컴퓨터를 느리게 하거나, 개인 정보를 유출하거나) 프로그램 들을 말한다. 정확하게 어디서부터 어디까지가 악성코드인지에 대한 것은 논란이 있지만, 사실 딱 잘라 말하기는 어렵다. 이 글에서는 사용자가 원하지 않게 깔려 정보를 빼내거나 컴퓨터 작업을 방해하는등의악의적인일을하는프로그램만을 다루겠다.
악그렇다면, 이러한 악성코드는 어떤 경로로 감염되는 것일까? 악성코드는주로다음과같은경로로감염된다.
악성코드의 감염 경로(1번) 중 인터넷으로 감염되는 경로는 P2P나전자우편, 메신저를 쓰지 않는 초보자들에게 까지 쉽게 악성코드를 감염시키므로 가장 주의가 필요한 부분이다. 대표적인 것이 바로‘액티브X’를통한방법이다.요즘은 어떤 사이트에 들어가더라도 액티브 X라는 말을 참 많이 듣게되는데말도많고탈도많은이'액티브X' 란 무엇일까?
액티브 X는 인터넷 환경에서 일반 응용프로그램과 같은 기능을
제공하는 기술이다. 즉, 이용자가 어떤 응용 프로그램(유틸리티,게임 등)을 쓰려면 설치 과정을 거쳐야 하지만, 액티브 X를 쓰게 되면 따로 설치 과정 없이 인터넷에서 바로 응용 프로그램과 같은 서비스를 받을 수 있는 것이다. 하지만 이런 장점을 악용한 악성 액티브 X들은 이용자의 동의 없이 악성코드들을 깔거나 바이러스를 설치해 컴퓨터를 고장 내는 주범이다. 이러한 악성코드들은 어떤 특징들을 가지고 있을까? 지피지기면 백전불패라고 했다. 먼저 악성코드의 특징부터알아보자.
 
 
악성코드는 어떤 특징을 가지고 있을까? 먼저 악성코드 유형별 특징을 알아보자. 실질적으로 피부로 와 닿는 악성코드의 피해는 컴퓨터가 느려지거나 자신의 정보가 밖으로 빠져 나가는 것이다. 특히 이용자의 정보를 유출하는 악성코드는‘스파이웨어’ (Spyware)라고 분류하며, 많은 종류가 있다.
 
개인 정보를 유출하는 악성코드 (예: 키로거)
이용자의 개인정보나 중요한 데이터를 빼내거나 행동을 감시하여,키보드로 입력한 내용이나 자주 접속하는 사이트에 대한 정보 등을 빼가는 프로그램이다. 개인정보를 빼갈뿐 아니라 항상 이용자의반응을감시하기때문에컴퓨터의속도도느리게한다.

다른 악성코드를 설치하기 위한 악성코드 (예: 악성 액티브 X)
악성 액티브 X 등이 여기에 해당된다. 이 악성코드들은 기회가 되면 다른 악성코드나 프로그램 등을 이용자의 컴퓨터에 깐다. 즉, 악성코드의 숙주와 같은 프로그램들이어서 이용자를 괴롭히는 악성코드를 제거해도 이러한 숙주 프로그램을 제거하지 않으면 곧 다시악성코드에감염된다.

인터넷 브라우저에 설치되어 정보를 빼가는 악성코드
이러한 프로그램들은 주로 인터넷 익스플로러의 플러그-인(기존 프로그램의 편의성을 위해 추가로 설치되는 프로그램)으로 설치되거나 툴바로 설치된다. 사실상 악성코드라고 말할 수는 없지만, 인터넷을 할 때마다 속도를 떨어뜨리고 에러를 유발시키는 점에서는 악성코드라고 할 만하다. 이용자가 어떤 사이트에 접속하는지를 기록해 전송하고, 제작사에 수익을 올릴 수 있는 광고 사이트나 성인사이트로접속을유도한다.

시스템 설정을 바꾸는 악성코드
인터넷 초기에 많이 나왔던 유형이다. 가장 대표적인 것으로는 인터넷 익스플로러의 '시작 페이지'를 고정하는 악성코드들이 있다.
인터넷 시작페이지를 성인 사이트나 광고 사이트로 바꾸어 놓아 또 다른 악성코드에 감염될 수 있게 한다. 성인 사이트들은 팝업창을수시로띄워인터넷사용에큰불편을주기도한다.

컴퓨터 속도를 늦추는 악성코드
실질적으로 어떤 정보를 빼가지는 않지만 나중에 어떤 문제를 주거나 컴퓨터 속도를 저하시키는 악성코드들이다. 이런 프로그램들은 항상 컴퓨터에 숨어서 실행되고 있기 때문에, 다른 프로그램을 쓸 때 여러 가지 문제를 만든다. 어느 날부터 에러 메시지가 부쩍 늘었다고 생각이 들 때에는 이런 종류의 악성코드에 감염된 것은 아닌지의심해볼필요가있다.
이 스파이웨어들 중 키로거(Key Logger)라고 하는 것들은 이용자 가 키보드로 입력한 키들을 모두 저장하여 밖으로 빼낸다. 우리가 키보드로 입력하는 정보는 각종 사이트의 ID와 비밀번호부터 주민 등록번호, 주소, 전화번호등매우중요한정보들이다. 악성코드는특별히유해한일을하지않는다해도, 그자체만으로도 유해하다. 일반 프로그램과는 달리 개인이 대충 만들기 때문이다.
때문에 가만히 떠 있기만 하더라도 다른 프로그램들과 충돌하거나 시스템속도를느리게만든다. 컴퓨터에 빼내갈 만한 정보가 없다거나 하는것이악성코드를제거하지않을핑계가못되는이유다.
 
 
악성코드는 실제로 어떻게 감염되고 있을까? 몇 가지의 실제 사례를 살펴보자. 최근 유포되고 있는 악성코드들은 대부분 인터넷을 통해 감염된다. 카페(예: 다음, 네이버 카페) 나 블로그 등에서 설치를 유도하는 수가 많다. 이런 신뢰할 수 없는 사이트에서 액티브X를 설치하는 것에 동의하게 되면 악성코드에 감염되는 경우가 많다. 그렇다면 왜 이런 악성코드들을 배포 하는 카페나 블로그가 있는 것일까? 그 이유는 악성코드를 만드는 사람들이 악성코드를 배포하는 사람에게 일정 금액을 지불하기 때문이다. 그러니 신뢰할 수 없는 카페나 블로그에서 무엇인가를 설치하려고 한다면 주의깊게 살펴봐야 한다. 그렇다면, 실제로 악성코드에 감염되면 컴퓨터는 어떻게 될까? 그 사례를 보자.
 
인터넷 주소를 바꿔 버리는 악성코드에 감염된 예
원래는 '주소(D)' 라고 나와야 할 부분에 '주소(S)' 라고 나온다. 이용자가 입력하는 정보들을 가로채 자신이 원하는 주소로 이동시킨다. 설치된 툴바는 이름이 존재하지 않아 언제 어디서 깔린 프로그램인지를 전혀 알 길이 없다. 시작메뉴에 프로그램 삭제 아이콘이 있지만 주소창이 원래대로 돌아오지는 않는다. 강제로 프로그램을제거하면주소창이사라져인터넷이용을매우불편하게만든다.

시작 페이지를 고정하는 악성코드에 감염된 예
시작페이지는 인터넷 익스플로러를 띄우면 처음 보이는 인터넷 페이지를 말한다. 이 시작 페이지는 인터넷 익스플로러의 '도구-인터넷 옵션' 에서 바꿀 수 있는데, 악성코드에 감염되게 되면 이것이 특정 인터넷 페이지로 고정된다. 이렇게 고정된 페이지들은 악성 프로그램을 배포하는 사이트거나 성인 사이트 등 유해 사이트인 경우가많으므로, 연쇄적으로 악성코드에 감염될수있다.
이러한 악성코드들은 실질적으로 악성적인 일을 하지 않더라도 이용자동의없이설치되거나초보자들이잘모르고무심코설치하게해 잘 삭제되지 않는다. 이런 프로그램들을 만드는 업체들은“삭제 방법을 공지하고 있다”라고 말하지만, 초보자라면 언제 어떻게 설치되었는지도 모르는 프로그램을 삭제하기 위해 그 회사의 홈페이지까지가야하기때문에사실상‘공지’라는말이무색하다.
특히, 악성코드 제거 프로그램이라며 설치되는 액티브 X(비패스트, 코드킬러, 스파이맵, 닥터바이러스, 닥터클린 등)들과, 웹 서핑을 도와준다고 하는 프로그램 등(서치 스파이, 서치웹, X-ray 툴바, 케이워드, Tibi 툴바 등)은 악성코드를 제거하기는 커녕 배포하는것들이므로 아예깔지않는것이좋다.
 
 
악성코드에 감염되는 것을 막으려면 어떻게 하면 좋을까? 가장 근본적인 해결책은 '어떤 프로그램이 설치되는지 주의 깊게 관찰하고, 잘 모르는 프로그램은 설치하거나 실행하지 않는 것'이다. 하지만, 이런것을 항시 염두에 두더라도 악성코드에서 벗어나기는 힘들다. 몇 가지 요령을 정리해보았다.
 
1.윈도 XP SP2로 업데이트를 한다
윈도 XP SP2 이전 버전은 액티브 X 차단 기능이 없기 때문에, 항상 액티브 X를 설치하라는 팝업 창이 뜬다. 이 팝업 창은 귀찮을 정도로 자주 뜨기 때문에 이용자가 쉽게 '설치' 버튼을 누르게 된다. 이런 식으로 자주 설치 버튼을 누르면 자기도 모르게 악성코드에감염된다. 윈도 XP SP2로업데이트를하자

2.컴퓨터 계정에 암호를 항상 걸어 놓는다
예전에는 윈도 업데이트만 주기적으로 해주고, 검사만 철저히하면쉽게악성코드를막을수있었다.
하지만 암호를 걸어놓지 않으면 악성코드들이 인터넷 을 통해 감염될 수 있기 때 문에 영어와 숫자를 섞은 암호를 쓰는 게 좋다. 암호 설정은 '제어판-사용자 계정' 에서 할 수 있다.

3.악성코드 방지 프로그램으로 주기적으로 검사한다
악성코드는 바이러스와는 다르게 활동 주기도 없고, 감염 경로도 정확하지 않다. 인터넷을 하는 어느 순간 이용자의 실수로 인해 감염되거나, 다른 프로그램과 함께 깔리는 수가 많기 때문에 주기적으로검사한다.

4.모르는 사람에게서 온 전자우편은 열람하지 않는다
특히‘아웃룩’(Outlook) 과 같이 프로그램으로 되어 있는 전자우편 관리 도구를 쓰지 않는 것이 좋다. 전자우편 관리 도구에서 전자우편을 열람하면 해당 프로그램의 오류나 보안 허점을 통해 쉽게 악성코드에 감염될 수 있기 때문이다. 실제로 아웃룩의 보안 설정 허점으로 많은 웜바이러스가 전파된 일이 있으므로, 각별히 주의해야한다.

5.잘 모르는 프로그램은 쉽게 실행하지 않는다
악성코드들은 일반 설치 프로그램과는 다르게 아무런 메시지도 없이 시스템에 등록돼 이용자를 괴롭히게 된다. 그렇기 때문에, 무엇인지 모르는 프로그램을 실행하기 전에는 각별히 주의해야 한다.
특히 신뢰할 수 있는 기관에서 배포했다고 사칭하는 악성코드들이 많기 때문에, 개인 블로그와 같이 검증되지 않은 곳에서 얻은 프로그램들은 정확히 알아보고 실행하여야 한다.
 
 
무턱대고 악성 코드 프로그램 파일만 찾아서 삭제한다면 이후에도 계속 악성코드에 감염될 수 있다. 효과적인 악성코드의제거 요령을 살펴보도록 하자.
 
1.실행되고 있는 프로그램 확인 후 종료(프로그램 종료, 플러그-인 종료)

먼저 쓰고 있는 프로그램 중 의심스런 프로그램이 있는지 확인한다. 의심가는 프로그램이 있다면, 가장 먼저 이 프로그램을 끝내야 한다. 프로그램을 종료하지 않고 치료를 시작하면 치료 후 악 성코드가 계속적으로 재감염을 시키기 때문에 악성코드와 관련된 프로그램을 모두 종료시키는 것이 가장 중요하다.

① 시작->실행에서‘taskmgr’라고 친 뒤‘확인'을 눌러 ’작업 관리자 ‘를 불러온다. <Ctrl+Alt+Del> 키를 눌러도 된다.
② 여기서 '프로세스' 항목으로 이동해 의심스러운 프로세스가 있는지 확인한다.
③ 의심스러운 프로그램이 있다면, //processLibrary.com 사이트에 접속해 어떤 프로그램인지 검사해 본다. 검색하여 특별한 정보가 나오지 않거나, Spyware 혹은 Malware로 분류된다면 악성코드이므로 '프로세스 끝내기'를 한다.
 
2.악성코드가 변경한 윈도우 환경 복구 (시작 프로그램,
플러그-인 설정)


① 시작->실행에서‘msconfig’라고 치고‘확인’을 눌러‘시스템 구성 유틸리티’를 불러온다.
② 시작 프로그램 항목에서 의심스러운 시작 프로그램들을 찾아서 체크를 해제한 후 적용을 누른다.
③ 인터넷 익스플로러(버전 6 이상)라면 도구->추가 기능 관리(A) 에서 의심가는 액티브 X들을 찾아내 '사용 안함' 으로 바꿔 줘야 하며, 이미 인터넷 익스플로러와 함께 실행되어있을 가능성이 있으므로 3번 으로 넘어가기 전에 모든 인터넷 익스플로러를 닫아야 한다.
3.악성코드 파일 제거
1번과 2번에서 찾아내었던 파일의 이름을 시작->검색(S)에서 찾아서 모두 삭제한다. 여기서 파일을 제거 하는 것은 이미 걸렸던 악성코드에 재감염을 막기 위한 것이다.
이 과정을 거치지 않으면, 치료했던 악성코드 일지라도 다시 감염 될수있다.
 
 
앞에서 말한 방법들로 악성코드를 제거 할 수 있지만, 매우 번거로운 작업이다. 이러한 작업들을 대신해 주는 프로그램은 없을까?
시중에 나와 있는 프로그램들이 매우 많다. 하지만, 그 중 대부분은 치료 프로그램 자체가 악성코드다. 즉, 악성 코드를 치료해준다고 하면서 깔려 실제 치료를 할 때에는 유료 결제를 요구하거나, 시도 때도 없이 튀어나와 이용을 작업을 방해하는 경우다.
쓸 만한 악성코드 제거 프로그램은 어떤 것이 있을까?
 
스파이제로(//clinic.ahnlab.com/clinic/spyzero.jsp)
‘스파이제로’는 백신 프로그램인 V3로 유명한 안철수 연구소에서 서비스하는 악성코드 제거 프로그램이다. 일반적인 악성코드 검사와 치료, 실시간 감시를 한다. 하지만 이 프로그램을 쓰려면 항상 웹 페이지에 접속해야 한다는 것이 불편하다. 이 프로그램은 검사는 무료이지만, 치료는 유료다.
다음은 스파이제로를 사용하는 방법이다.
 
AD Aware (//www.lavasoft.com/products/ad-aware_se_personal.php)
‘AD Aware’는 LAVASOFT에서 만든 악성코드 제거 프로그램이다. 이 프로그램은 유료 버전과 무료 버전이 있다. 무료 버전을 써도 되지만 실시간 감시 등의 기능이 제한된다. 고급 유저들이 선호하는 프로그램으로써 강력하고 깔끔한 기능을 자랑한다. 세계적으로 인정받는 악성코드 제거 프로그램이지만 외국에서 만든 프로그램인 탓에 국내 악성코드에 대한 빠른 대응이 되지 않는 것이 단점이다.
다음은 AD Aware를 사용하는 방법이다.
 
울타리 (//rodream.net/subpage.htm?page=down)
‘울타리’는 매우 단순한 인터페이스를 가지고 있는 프로그램으로 초보자에게 알맞은 프로그램이다. 다른 프로그램이 여러 가지 설정을 두고 있다면, 울타리는 악성코드 프로그램의 가장 기본 기능인 검사와 치료, 예방 기능만을 갖췄다. 실시간 감시로 나도 모르게 악성코드에 감염되는 일들을 막아주고 검사와 치료 등 모든 기능이 무료다.
다음은 울타리를 사용하는 방법이다.