본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

KBS에서 제작한 신년특집다큐 “좀비PC, 당신을 노린다.” 방송이 나간 후 이스트소프트에서는 내 PC가 좀비 PC인지 확인하려는 문의 전화와 메일을 상당수 받았습니다.



KBS 다큐멘터리 “좀비PC, 당신을 노린다.” 방송 화면

<KBS 다큐멘터리 “좀비PC, 당신을 노린다.” 방송 화면>


 

포털 사이트에서도 “좀비PC 확인법”으로 검색 유입이 많았고, 좀비 PC가 실시간 검색어 1위를 차지해 다시 한번 TV 방송의 위력을 실감할 수 있었습니다.



포털사이트의 좀비PC 확인법 검색 결과

<포털사이트의 좀비PC 확인법 검색 결과>


 

그 중에서도 일부 언론사에서 'netstat 명령어로 8080 포트(Port)가 나타나면 좀비 PC라고 확인된다.'는 잘못된 정보가 보도되어 정상 PC인데도 좀비 PC로 의심된다는 문의가 가장 많았습니다.



일부 언론사의 잘못된 좀비 PC 확인법 기사내용

<일부 언론사의 잘못된 좀비 PC 확인법 기사내용>


 

일부 악성 봇(Bot)이나 악성코드(Backdoor.Haxdoor.E, Win32.Spybot.OBB 등)들이 통신을 위해 사용하는 포트(Port)가 8080인 것은 분명하지만, 이것만으로는 내 PC가 좀비 PC인지 감염 여부를 확실하게 가려내기에는 정보가 턱없이 부족합니다.


게다가 8080 포트는 악성코드 이외에도 인터넷(HTTP)를 이용하기 위해 사용될 수 있는 정상적인 포트이기 때문에 악성코드에 감염되지 않은 깨끗한 PC에서도 8080 포트는 충분히 나타날 수 있게 됩니다. 그러므로 이른바 “8080 좀비 PC 확인법”은 정확하지 않은 방법입니다.



8080좀비PC 확인법 검색 결과

<8080좀비PC 확인법 검색 결과>


 

내 PC가 좀비PC인지 제대로 확인하는 방법


그렇다면 내 PC가 정말 좀비 PC인지 정확히 판별할 수 있는 방법이 무엇일까요?
답은 의외로 정말 가까이 있습니다. 바로 지금 여러분이 사용하고 있는 “최신 버전의 백신”으로 충분히 확인할 수 있습니다.


알약 같은 최신 백신에서는 아주 일반적인 컴퓨터 바이러스 뿐만 아니라 좀비 PC를 만드는 악성봇(Bot) 계열의 악성코드에 대해서도 진단할 수 있는 데이터베이스(DB)를 갖추었기 때문에 알약의 정밀 검사 결과만으로도 좀비PC 여부를 비교적 정확하게 판단할 수 있습니다.



'알약'에서 탐지된 악성 봇(Bot) 프로그램 샘플

<'알약'에서 탐지된 악성 봇(Bot) 프로그램 샘플>


 

알약의 정밀 검사나 실시간 감시 결과에서 주로 좀비 PC를 만들어버리는 악성 봇(Bot) 프로그램들은 진단명에 Bot이라는 단어를 대부분 포함하고 있습니다.
위 그림의 경우 진단명에 Bot이라는 단어를 포함하고 있기 때문에 내 PC에서 이러한 검사 결과들이 발견되었다면 좀비 PC임을 확실히 알 수 있습니다.


참고로, Sdbot은 C&C(Command & Control; 명령제어) 서버의 IRC를 통해 좀비 PC들을 통제하는 특징을 기본적으로 가지고 있고, DDoS 공격과 개인정보 유출, 암호화 기능을 추가시킬 수도 있습니다. (Sdbot의 추가 악성 기능은 해커 입맛(?)에 맞게 제조됩니다.)



좀비PC를 만드는 악성 봇(Malicious Bot) 의 개념도

<좀비PC를 만드는 악성 봇(Malicious Bot) 의 개념도>


 

이외에도 DNS 싱크홀(Sink hole) 기술에 기반한 알약의 악성 봇(Bot) 사전 방역 기능을 통해 좀비PC로 의심될 경우 알림창을 보여주고, 사용자 동의 후 시스템 정보를 수집하여 최신 버전의 알약진단 기능에 최종적으로 반영됩니다.



DNS 싱크홀(Sink hole)의 원리를 설명한 자료

<DNS 싱크홀(Sink hole)의 원리를 설명한 자료>



악성봇(Bot) 사전 방역 알림창

<악성봇(Bot) 사전 방역 알림창>


 

알약에서 악성 봇 사전 방역 기능을 사용하려면 “설정” -> “실시간 감시”에서 “악성봇 사전 방역기능”을 체크 선택해주시면 됩니다.



알약 악성봇 사전 방역 설정 화면

<알약 악성봇 사전 방역 설정 화면>


 

좀비 PC는 파일 손상 같은 실질적 피해 뿐만 아니라 TV에서 보신 것처럼 PC 사용자의 정신적 고통까지 줄 수 있습니다.


마지막으로 이를 예방하는 방법은 잔소리 같지만 매번 강조해도 부족함이 없는 “최신 버전의 백신의 사용(물론 실시간 감시 ON)과 보안 패치 설치 그리고 출처가 불분명한 파일은 읽지 않고 바로 삭제하는 것!” 입니다.”


이 세가지만 잘 지켜도 내 PC가 좀비 PC로 돌변하는 것을 대부분 예방할 수 있습니다.