스펀지 좀비PC편이 재방송이 되면서 다시 지식인과 네이버검색이 뜨겁게 달구어 졌습니다.
이에 따라 유언비어들도 같이 만들어지는 것 같습니다. 자신의 PC를 올바르게 보호하는 것이 중요하지 않을까요

해결책 제시를 얼버무린 채 과장된 내용으로 방송해주신 덕분에, 많은 분들이 좀비PC란 용어에 대해 관심을 갖게 해주신 스펀지측에 감사드립니다. 덕분에 모든 온통 지식인이 좀비PC 질문밖에 보이지 않아요. !!

따라서 기왕 관심 갖으신거 왜곡된 정보보다는 올바른 정보로 자신의 PC를 보호하시라고 이 글을 포스팅 합니다.
( 어쩌면 수많은 좀비PC 지식글에 일일히 길게 답변하기 싫어서 간단하게 이 포스트의 링크를 남김으로써 노동력을 절약하려는 목적일지도 모르겠습니다 )

1. 정의 및 증상

좀비PC란? "크래킹 툴에 의하여 언제든지 크래커 마음대로 조종이 가능한 PC" 를 일컬어 좀비 PC라 합니다.

이전까지는 단순히 "트로이잔 걸린 PC" 로 일컬어 지다가, 7.7 DDOS 사이버대란 이후에 DDOS 에 사용된 감염PC를 좀비PC라 하게 되었습니다.

사이버대란 당시에는 DDOS 명령을 받아들이고 수행하며, 하드디스크를 논리적으로 파괴시켜 부팅이 되지 못하도록 하는 정도에 그쳤으나, 요즘 좀비툴은 개인정보유출까지 함께 병행하고, 원격제어까지 하기 때문에 피해가 더욱 커지고 있습니다.

최근에 백신들의 활약 덕분에 7.7 대란당시 이용되었던 좀비PC들은 물론이고, 이후에 감염자들도 대부분 치료가 되었습니다. 하지만 아직까지도 감염자가 있고, 새로운 변종이 나타난다는 점으로 미루어, 스펀지 처럼 "도청과 도촬" 까지는 아니지만 개인정보유출의 피해가 상당히 있습니다.



2. 해결책
< 시시각각 변하는 민감한 netstat로 좀비PC 진단을 할 수 있을까?  >

좀비PC 예방책이라 하여 지식인에 답변하시고, 블로그에 글을 게재하시는 분들 보면 90%는 netstat 를 이용하라 인 것 같습니다. 그런데 netstat는 현재 실행중인 프로그램과 컴퓨터 개개인의 환경에 따라 결과가 달라질 수 있기 때문에 그리 신빙성 있는 방법이 아닙니다.

Q1 : 8080 , 8000 포트가 잡히면 좀비PC다 ?
A1 : 7.7 사이버대란 당시 "넷봇" 이라는 DDOS 툴(좀비툴)을 이용하였습니다. 넷봇은 8080포트를 이용하여 DDOS 명령을 내리고 PC를 제어하였습니다. 하지만 이미 넷봇은 백신을 통하여 대부분 잡히게 되고, 크래커들은 다시 백신에 잡히지 않는 좀비툴을 양산해 내기 시작합니다. 크래커들은 바보가 아닙니다. 어쩌면 우리들보다 천재일지도 모릅니다.  크래커들이 바보같이 또 8080 포트를 이용하지 않습니다. 이미 많은 사람들이 8080포트에 대하여 예민하게 반응하기 때문이지요. 다른 포트를 이용하여 친숙하게 다가가는 것을 이용하는 것이 요즘의 크래킹 툴입니다. 또한, 포트는 모든 프로그램에 너그럽습니다. 정상프로그램도 해당 포트를 사용 할 수 있습니다. 실제로 8080포트를 사용하는 정상 프로그램도 많이 존재한다는 것. 포트를 통하여 좀비PC를 구분하다는 것은 말도 안되는 것입니다.


굳이 믿을 수 없는 netstat를 활용하고 싶다면, 현재 실행중인 프로그램 및 인터넷창을 모두 꺼주시고, netstat -na 명령어를 이용하여 검색된 아이피를 일일히 아이피조회해 보시기 바랍니다. 해당 아이피의 지역은 상관 없습니다. ( 어차피 지역도 인터넷 회사가 나오겠지요 ) 중요한 것은 해당 아이피의 국가 입니다. 한국이 아닌 해외아이피가 내 netstat 에 잡혔다면, 의심해 보는 것도 좋을 것 같습니다. ( 하지만 대부분 정상아이피 입니다 )

Q2 : 내 컴퓨터를 좀비PC 만든 크래커를 잡을 수 있을까요?
A2 : 이 부분을 과연 포스팅 해도 될지 걱정입니다. 논란의 여지가 있을 수 있겠군요. 저의 대답은 어렵다 입니다. 자신의 좀비PC임에 확실해지자, 이성을 잃고 크래커 잡겠다고 하는 분들이 많습니다. 하지만, 좀비PC를 시도하는 대부분의 크래커는 해외지역 ( 중국, 미국, 대만 ) 등지에서 활동하는 경우가 많고, 아이피세탁이라 하여 아이피를 계속 바꾸거나, 정상서버를 거쳐 명령을 내리는 등, 추적을 피하기 위하여 다양한 방법을 사용합니다. 사이버수사대에 고소장을 제출하여도 아이피추적 결과 해외라면 "수사종결" 되어버립니다. 대기업 혹은 나라 전체가 피해를 입을 정도가 아니면 잡을 수는 없습니다.


< 유명 게임핵이라 속여, 트로이잔 유포하는 한 카페 >

하지만, 위와 같이 한국분들이 친히 좀비툴을 유포하는 경우가 있습니다. 위 스크린샷의 카페는 게임핵이라며 상대방에게 트로이잔 다운로드를 유도하여 좀비PC를 늘리는 수법을 사용하고 있습니다.
대부분 스크립트 키드 라고하는 "법" 무서운줄 모르고 바이러스를 유포하는 초보크래커들 입니다. 만약 이러한 카페에서 다운받은 파일에서 나중에 문제가 생겨서 개인정보 유출등의 피해가 발생하였다면 사이버수사대에 신고만 하시면 빠르게 검거가 가능하니, "법" 에 대하여 제대로 가르쳐주셨으면 합니다.

Q3 : 국내에서 현존하는 백신들로 치료할 수 있을까요.
A3 : 흔히들 국내백신 하면 Ahnlab의 V3 시리즈와 이스트소프트의 알약(Alyac)과 NHN의 PC그린을 꼽을 수 있습니다. 각자 백신은 사람마다 느끼는 차이는 있지만, 자신들만의 색깔들로 장단점이 있어 무엇이 좋다고 판단할 수는 없습니다. 하지만, 최근 트로이잔의 종류중의 AV-Killer 라는것이 있습니다. AV는 AntiVirus의 준말로써 바이러스를 탐지하는.. 즉, 백신을 일컬어 부르는 말입니다. AV-Killer 류의 트로이잔은 자신을 감지하는 백신을 먹통으로 만드는 기능이 있습니다. 백신의 중요한 파일을 삭제 및 강제변경하여 백신이 실행되지 못하도록 방해하게 됩니다. 요즘은 대부분의 트로이잔에 해당 기능이 첨부되어 있습니다. ( 예로 OnlineHack 류의 게임트로이잔 ) 국내백신을 사용중인데도, 계정이 크래킹 당하는 등의 문제가 잇따르고, 백신의 실시간 감시가 자꾸 꺼지는 등의 전형적은 AV-Killer 증상이 최근에도 자주 일어남에 따라 AV-Killer 기능을 가진 좀비툴에는 국내백신이 무리가 있지 않나 생각합니다.

그러면 어떻게 하여야 할까요? netstat도 안되고, 백신으로도 치료가 어렵다면 답이 없지 않나요? 하고 물을 수 있습니다. 하지만 답은 가까운 곳에 있습니다.
국내백신이 아닌 해외백신을 사용하는 것입니다. ( 어쩌면 이 포스팅글은 국내백신 회사들로 부터 삭제요청이 빗발칠 수도 있을 것입니다. 하지만 분명 현실을 고려한 포스팅 입니다. )
AV-Killer 류의 트로이잔도 소화할 수 있고, 신종바이러스에 대해서도 업데이트가 빨라 전세계적으로 사용되어지고 있는 유명 해외백신을 이용하면 삭제가 가능합니다. ( 전세계적으로 수많은 신종바이러스 샘플이 수집되니, 업데이트가 빠를 수 밖에 없겠지요 ) 아래는 대표적인 해외무료백신 리스트 입니다. 이 중 한개를 설치하셔서 트로이잔의 사슬로 부터 벗어나시길 바랍니다.

Avast 사의 Avast Home Edtion ( http://www.avast.co.kr/ )
Avira 사의 Antivir Free 버젼 ( http://www.free-av.com/ )
AVG 사의 AVG ( http://www.avgkorea.com/ )
MIcrosoft 사의 MS Essentials ( http://www.microsoft.com/security_essentials/default.aspx ) 정품인증필요 !



OWASP 이린 웹표준화 단체이자 보안취약점 연구 기관으로써 가장 시도가 많았던 웹해킹 TOP 10 을 발표,

PDF와 시연동영상을 같이 만들어 배포하였다.

많은 도움이 되길 바랍니다. :)

동영상 보러가기 ( http://i2sec.co.kr/board/view.php?&bbs_id=community_01&page=&doc_num=11 )
사이버수사대가 과연 어떻게 수사를 하는 건지, 어떠한 기법을 사용하는 건지에 대해 자세히 적혀있는 ppt 파일입니다.

아이피 추적기법. 자료 수집 등 흥미 있을 만한 내용으로 가득 차 있습니다.

- 네이버 카페 nsis 펌 -

+ Recent posts