소프트웨어/윈도우7

좀비PC 확인법 cmd 8080 좀비피씨 재대로 이해 필요

씨디맨 2011. 1. 14. 00:28
320x100

좀비피씨의 공포 근본적인 대처법


좀비PC 확인법이라는 내용이 TV 에 방영됨으로써 모두들 걱정을 했었죠. 좀비PC 확인법을 저는 사실 보면서 사실 놀랍지 않았습니다. 좀비피씨라는것의 원리를 안다면 좀비PC 확인법을 찾으면서 허둥대지 않았을 것 이기 때문이죠. 좀비피씨는 만약 만들수만 있다면 여러가지로 활용이 가능하게 됩니다. 특정서버를 여러 좀비피씨를 이용해서 공격을 한다면 DDoS 공격도 가능하게 되고 임의의 정보를 빼오거나 감시를 하는 역할로 사용할 수 있게 됩니다. 좀비피씨에 대한 내용을 보고 너무 막연한 공포에 치료법을 찾아보고 확인법을 찾아보고 허둥대셨을분들을 위해서 좀 더 근본적인 대처방법과 이유 그리고 좀비피씨에 이해를 돕는글을 적어볼까 합니다.

좀비PC 확인법을 찾아보면 대부분 netstat 명령어를 통해서 자신의 컴퓨터에 몇번의 포트가 열려있는지를 확인해서 자신의 컴퓨터가 좀비피씨인지 확인하는 방법이 대부분이더군요.



netstat 명령어는 프로토콜 통계와 현재 TCP/IP 네트워크 연결을 표시합니다. netstat 명령어를 통해서 자신의 컴퓨터에 TCP/IP 의 환경에 대해서 확인이 가능하다는것이죠. 이 명령어를 알면 누군가와 파일을 주고 받을 때 그 받는 상대의 아이피를 알아내는일도 가능합니다.

그런데 이 netstat 명령어를 통해서 자신의 컴퓨터에 8080 또는 80 포트가 열려있는것만으로 좀비피씨라고 확증을 못합니다. 이유는 알려진 포트이고 해당 포트는 웹서비스를 하는 포트이기 때문이죠. 웹서버 그리고 웹서버중에서 IIS 라면 기본적으로 80 포트를 톰켓과 아파치 서버경우에는 8080 또는 80 포트를 개방하여 사용을 합니다. 당연 임의로 다른 포트를 사용하기도 합니다.

포트란 특정 호스트에 다중의 접속을 가능하게 하기 위해서 포트라는 개념을 두고 열어서 접속을 하게끔 하는 통로입니다. 111.111.111.111 이라는 아이피를 가지는 서버가 존재하고 21번 포트에는 FTP 를 개방하고 80에는 웹서비스를 , 20번에는 SFTP 등의 서빗스를 열어두고 사용이 가능하죠. 포트라는걸 이용해서 특별히 아이피를 여러개 두지 않더라도 여러 서비스가 가능하게 됩니다. 즉 80 , 8080 포트가 열렸다고 위험하고 다른 포트는 안위험한게 아닙니다. 특정 해킹프로그램이 열어두는 포트들도 위험한 포트이지만 이것도 지능화된 크래커라면 지정된 포트 이외에 다른 포트를 열어두게 됩니다.

자신의 컴퓨터 또는 서버에 자신이 원하지 않는 포트를 백도어라고 부릅니다. 뒷문정도라고 해두죠. 임의로 크래커들이 뒷문을 열어두고 자신이 필요할때마다 들어와서 정보도 유출해가고 해당 컴퓨터를 맘대로 주물러서 악의적 목적으로 사용을 하게 됩니다. 초등학생이 어떤 프로그램을 좀 만지더니 남의 컴퓨터의 화면을 보면서 히히덕거리면서 남의 컴퓨터를 자신의 컴퓨터처럼 만지고 파일도 지워버리고 정보도 유출하고 검색창에 "당신을 보고 있다" 는 등의 내용을 남겨서 간담이 서늘하게 만드는 이런걸 봤었을겁니다. 그런데 이런 작업이 그냥 쉽게 이뤄지는걸까요?

해킹이라는 즉 크래커가 악의적 목적으로 특정 컴퓨터에 정보를 빼고 화면을 막 보는작업은 그냥 일어나진 않습니다. "나 너 해킹한다" 라고 말해두고 바로 해킹을 할 수 없다는 소리죠. 보통 크래커가 특정 서버를 잠식하고 원하는 상태를 만들기 위해서는 악성코드를 이용하거나 취약점을 이용해서 자신이 원하는 서버프로그램을 설치를 시켜야만 합니다. 그 서버프로그램이 백도어를 열어놓고 해당 백도어를 이용해서 클라이언트 프로그램을 통해서 조작을 하는것이죠. 반드시 이 작업이 필요하게 됩니다. 이작업 없이 바로 클라이언트 프로그램을 이용해서 누군가의 컴퓨터를 조작할 수 는 없습니다.

이 악성코드들은 보통 어떻게 유포될까요? 유포되는 경로는 다양합니다. 악성코드를 심어둔 메일이나 악성코드를 넣어둔 이미지파일, 성인사이트나 포인트를 자동으로 모아준다는 프로그램 또는 다수의 불법적인 프로그램을 통해서 배포가 됩니다. 실행을 시키고 허용 즉 권한을 주게 만들면 서버프로그램이 설치되게 됩니다. 악성코드라고는 하지만 허용을 눌러서 권한을 얻은 상태에서는 정상적인 프로그램으로 인식되기도 하므로 알려진 코드를 사용하지 않은 프로그램 경우 백신으로 검사해도 나오지 않는 경우도 생깁니다.

사실 막연한 좀비피씨 확인법 등의 정보를 제공해서 공포분위기를 조성하고 무료백신 프로그램을 설치하라 그리고 보호나라에가서 검사를 하라는 등의 무책임한 대처는 바람직하진 않다고 생각합니다. 무료백신을 사실 저는 별로 믿지는 않습니다. 상용백신은 70MB 정도 밖에 안되는데 무료백신은 300MB 가 넘는 이유는 따로 있습니다. 무료백신은 바이러스 치료보다는 사용자의 패턴분석에 좀 더 치중하고 있기 때문이죠. 무료백신의 설치보다는 괜찮은 유료백신을 하나 사용할것을 사실 권합니다. 막연하게 80, 8080 포트가 열려있는지 확인해서 좀비피씨 여부를 확인하라는것도 문제는 있습니다. 그것보다는 백신으로 검사를 하고 포트를 보호하고 포인트프로그램 및 불법 프로그램의 막연한 사용을 자제하게 하는게 더 주요하다고 봅니다. 사용자의 주기적인 백신 검사 및 안전한 프로그램만 사용하는 의식이 퍼져야 해결이 되리라고 생각합니다.

반응형