안녕하세요, 터보백신 고객지원팀입니다.
10월 마지막 주를 맞이하여 '할로윈데이' 관련된 행사 관련 뉴스들이 많이 나오고 있는데요.
터보백신에서는 할로윈데이 기념 파티와 같이 즐기는 내용보다는 대한민국의 수많은 컴퓨터들을 감염시켜 나쁜 행동에 이용하려는 좀비 PC 에 대한 안내를 우선적으로 다뤄 대한민국 PC들이 좀비 PC로부터 벗어나 보다 더 안전하게 보호되기를 바라는 마음으로 '좀비 PC 예방 및 점검'에 대한 포스팅을 준비했습니다.

지난 주 국내에서 DDos(디도스) 공격에 사용되는 일명 '좀비 PC' 가 약 3만여대로 늘었지만 피해는 크지 않았다는 컴퓨터 보안 관련 뉴스를 접하신 분들이 계실 것으로 봅니다. 그런데, 좀비 PC 관련 내용이 왜 끊임없이 이슈일까요?

Q: 좀비 PC (Zombie PC) 는 대체 정확히 어떠한 형태이고 왜 위험한가요?

A: 그 동안 수차례 포스팅을 통해 강조해드렸던 것과 같이 윈도우 운영체제 및 주로 많이 사용하는 각종 소프트웨어의 개별 보안 업데이트가 제대로 적용되지 않은 PC는 악성코드 감염과 취약점을 노린 해킹 위험에 직접적으로 노출되어 있는 상태입니다.

바로 이러한 운영체제(OS) 및 소프트웨어의 취약점을 이용해 악성코드의 일종인 악성 봇(Malicious Bot)을 침투시킨 후 감염된 사용자 PC를 해커 또는 명령 제어 서버(C&C 서버)가 원격으로 제어함으로써 PC 사용에 불편을 끼치거나 사용자 정보를 외부로 유출해갈 수 있는 상태로 감염된 컴퓨터를 일명 '좀비 PC'라고 말합니다.

좀비 PC는 감염된 컴퓨터의 개인 정보 유출 및 추가적으로 외부로 악성코드 배포 및 스팸메일 발송에 악용될 가능성이 높으며, 해커의 마음대로 특정 웹사이트에 순간적으로 대량 접속을 해서 사이트 마비를 일으키는 DDos(디도스) 공격에 사용자도 모르는 사이에 사용되므로 사회적으로 위험도가 높은 형태입니다.

Q: 좀비 PC 가 사라지지 않고 계속 나타나는 이유는 무엇인가요?

A: 최근에 발견되고 있는 악성 봇(Malicious Bot)들의 형태를 보면 바이러스 백신 및 기타 네트워크 모니터링 장비들을 피하기 위하여 서버와의 통신에 있어서도 암호화(SSL)를 이용하는 경우가 많아지고 있으며, 각종 바이러스 백신 프로그램의 업데이트 서버 주소를 hosts 파일 변조를 통해 임의적으로 좀비 PC 자신의 주소인 Local Host 주소로 설정하여 최신 업데이트가 불가능하도록 만들어 바이러스 백신 프로그램을 통한 검출 및 치료에서 벗어나려는 방법도 사용하고 있습니다. 즉, 창과 방패의 싸움이 계속해서 일어나고 있다고 보시면 되겠습니다.

지난 8월 좀비 확인법 - 진단과 대책에서도 알려드렸던 netstat 명령어를 통해 살펴볼 수 있는 주요 악성 봇의 명령 제어 서버에서 일반적으로 사용하는 주요 포트번호는 아래와 같습니다. 해당 포트 외에서도 불특정한 포트들이 많이 사용되고 있으므로 아래의 포트들만 사용되는 것은 아님을 추가로 말씀드립니다.

1. [시작] - [실행]을 선택합니다.
2. [cmd] 입력 후 [확인]을 선택합니다.
3. [명령 프롬프트] 창에서 확인 커멘드를 입렵합니다.

   첨부해 드린 화면 캡처 자료와 같이 " netstat -b "라고 입력하신 후 엔터 키를 살포시 눌러봅니다.
   그러면, 현재 사용자 컴퓨터에서 외부와 연결이 되어 있는 포트 번호를 찾을 것이고, 더불어 해당 포트를 사용하여 연결이 되어 있는 프로그램 이름을 확인하실 수 있습니다.

4. 연결된 포트의 번호를 확인하여 좀비 PC 관련 바이러스 포트가 있는 지 확인해 봅니다.

    

   포트번호	포트번호	포트번호	포트번호	포트번호	포트번호
   80	135	139	445	901	903
   1023	1025	1080	1234	1433	2125
   2556	2745	3127	3140	3176	3267
   4141	4762	5000	5001	5454	5554
   5555	5662	6129	6666	6667	6668
   6669	7000	7001	7029	8000	8029
   8080	8249	8891	9136	9898	9998
   12345	17300	30108	31031	65535	외 다수

   관련 포트와 연결되어 있는 외부 IP 주소들을 확인 후 검색을 통해 알아보면 해당 포트를 사용하는 곳이 정상적인 사이트인지 아니면 해킹 IP 주소인지 판단이 쉽지는 않습니다.

   위 방법을 통해 확인이 되더라도 치료 및 차단/삭제와 관련된 부분은 일반 사용자분들이 접근하기에는 쉽지 않은 것이 사실입니다. 그러므로 터보백신 유료 회원 서비스와 같이 전문 엔지니어의 상담 및 원격 점검을 받을 수 있는 부분은 상당한 만족도를 줄 수 있습니다.

[좀비 PC 예방을 위한 8가지 방법]

1. 윈도우 자동 업데이트를 설정합니다. (윈도우 최신 보안 업데이트 상태 유지)
2. 주요 프로그램의 보안 업데이트를 확인 후 최신으로 유지하도록 확인합니다. [Java 업데이트, Adobe사의 Flash, PDF Reader, 한글과컴퓨터 등...]
3. 터보백신과 같은 정통 백신 프로그램을 설치하여 주기적으로 검사를 합니다.
4. 운영체제에서 제공하는 기본 방화벽 기능을 설정합니다.
5. Active x 등 웹사이트에서 제공하는 프로그램 설치 시에는 주의를 합니다.
6. 웹하드, P2P 등 인터넷에서 다운받은 파일은 실행 전 백신프로그램으로 검사합니다.
7. 의심스런 메일은 열지 않으며, 첨부파일 및 이미지 링크에도 주의합니다.
8. 메신저/SNS 사용 시 첨부된 링크를 클릭 하실 시에는 주의를 기울이고 확인합니다.