[Noenemy]'s microgroove

다음은 안철수연구소 홈페이지에 연재하기 위해 작성한 방화벽 관련 기사의 2번째이자 마지막 원고입니다. 한 달이 지나서야 겨우 글쓰기를 마무리했네요. 글 쓰는 시간보다 글 쓰기 위한 준비 시간이 요즘엔 더 많이 걸립니다. 마치 시동이 잘 걸리지 않는 오래된 자동차처럼 말이죠. 좀처럼 책상에 앉아서 워드 프로그램을 실행시킬 만한 마음의 여유가 생기질 않네요. 할 일도 많고 재밌는 드라마도 많고.. 시간을 빼앗기는 유혹이 많은 계절입니다.

원문은 http://kr.ahnlab.com/info/securityinfo/virusNIApplySP_View.ahn?news_dist=02&site_dist=01&category=VNI004&mid_cate=001&seq=11149&svccode=ac3001&contentscode=031에서 확인이 가능합니다.

--------------------------------------------------------------------------------------
방화벽으로 내 컴퓨터를 안전하게 (2)


지난 호에서 개인 방화벽의 개념과 Windows 운영체제에서 기본으로 제공되는 개인 방화벽의 사용법을 알아보았다. 개인 방화벽을 사용한다는 것은 간단하게 네트워크 환경에서 주고 받는 패킷 중에서 어떠한 것을 허용하고 어떠한 것을 차단할 것인가에 대한 규칙을 작성하는 것을 의미한다. 따라서 이러한 방화벽을 규칙을 제대로 이해하고 자신의 컴퓨터를 보호할 수 있도록 적절한 설정을 하는 것이 개인 방화벽을 이용하는 데 있어서 핵심이라고 할 수 있다. 이번 호에서는 V3 Internet Security 2007과 빛자루 데스크톱에서 제공하는 보다 다양한 개인 방화벽의 활용법을 알아보도록 하겠다.

Windows 운영체제에서는 현재 컴퓨터의 보안 상태를 한 눈에 파악할 수 있도록 [보안 센터]라는 기능이 제공된다. 여기서 사용중인 방화벽, 바이러스 백신 프로그램의 상태와 자동 업데이트의 사용 여부를 확인할 수 있다. 지난 호에서 살펴본 것과 같이 기본적으로 Windows 운영체제에서 제공하는 방화벽 프로그램이 사용되지만 보안업체에서 제공하는 프로그램을 설치할 경우 이 기능을 대체한다. 다음 그림에서 방화벽 프로그램으로 V3 Internet Security 2007이 지정되어 설정되어 있음을 확인할 수 있다.  

 [그림 1] V3 Internet Security 2007이 방화벽 프로그램으로 설정되어 있다

V3 Internet Security 2007의 해킹 차단 기능

V3 Internet Security 2007은 바이러스, 트로이 목마, 웜, 스파이위에와 같은 악성코드의 실행과 침입, 전파되는 것을 차단하는 것 외에 부적절한 웹 사이트로 연결되거나 스팸 메일, 개인 정보의 유출 방지, Windows 보안 취약점의 검색하는 등의 통합 보안 솔루션을 제공하는 프로그램이다. 많은 보안 기능 중에서 V3 Internet Security 2007이 제공하는 개인 방화벽 기능과 이를 설정하는 방법을 알아보도록 하자.

V3 Internet Security 2007의 시작 화면에서 [해킹 차단] 메뉴를 선택하면 네트워크 상에서의 전반적인 보안상태를 보여주는 다음과 같은 화면을 볼 수 있다. 외부로부터의 악의적인 공격으로부터 컴퓨터를 안전하게 보호할 수 있도록 개인 방화벽과 네트워크 침입 차단 기능이 모두 사용 중인지 확인하자.

[그림 2] V3 Internet Security 2007의 [해킹 차단] 메뉴

위 화면에서 [개인 방화벽] 기능을 선택하면 다음과 같이 방화벽의 세부 규칙을 지정할 수 있도록 다음과 같은 방화벽 설정 창이 실행된다. 다양한 방화벽 규칙을 설정할 수 있도록 기본 설정, 프로그램 규칙, 공유 규칙, 네트워크 규칙, 고급 설정의 5가지 탭으로 구분되어 있다.

이렇게 네트워크 상에서 컴퓨터를 보호하기 위한 여러 가지 규칙이 제공되기 때문에 각 규칙간에 서로 다른 설정이 적용될 수도 있다. 이런 경우에는 다음과 같이 규칙이 적용되는 우선순위에 따라 해당 트래픽의 접근 또는 차단을 결정하게 된다.

- 허용 IP 주소에 있는 IP인지 확인
- 차단 IP 주소에 등록되어 있는 IP이면 차단
- [네트워크 침입 차단] 기능에서 설정된 차단 대상이 되는 패킷이면 차단
- [공유 규칙]에서 설정된 허용/차단 규칙 적용
- [네트워크 규칙]에서 설정된 허용/차단 규칙 적용
- [프로그램 규칙]에서 설정된 허용/차단 규칙 적용

[프로그램 규칙] 설정하기

특정 프로그램에 대해서 인터넷 연결을 허용할 것인지 차단할 것인지에 대한 규칙을 설정한다. 일반 응용 프로그램이 정상적으로 인터넷에 접속하는 것은 허용하되 악성 코드나 프로그램에 의한 접근을 차단하도록 설정해야 한다.

모든 규칙에는 사용중인 네트워크 환경에 따라 각각 다른 규칙을 설정할 수 있도록 정책이 제공되고 있다. 예를 들어 노트북의 경우 사무실이나 집, 또는 공공장소로 이동되어 서로 다른 네트워크 환경에서 사용될 수 있는데 이에 따라 각각 다른 방화벽 정책을 적용할 수 있다. 추가 네트워크 정책을 추가하려면 [고급 설정]을 이용하면 된다.

[그림 4] 프로그램 규칙 설정하기

새로운 프로그램 규칙을 추가하려면 [추가]를 선택한다. 아래와 같이 규칙을 설정할 프로그램을 목록에서 선택한다. 만약 목록에 대상 프로그램이 없다면 [찾아 보기…] 버튼을 눌러서 직접 해당 프로그램을 찾으면 된다.

프로그램을 선택한 후에 해당 프로그램이 인터넷에 연결하는 것을 허용할 것인지 차단할 것이지 지정하면 된다. 사용자 정의 항목을 이용하면 특정 IP와 포트에 대해서 허용하고 차단하는 세부 설정이 가능하다.

[그림 5] 프로그램 규칙에 추가할 프로그램 선택하기

[공유 규칙] 설정하기

외부의 컴퓨터에서 내 컴퓨터의 공유 폴더에 접근하는 것을 허용하거나 차단하도록 하는데 사용되는 규칙을 설정할 수 있다. 공유 폴더는 다른 사람과 자료를 공유할 수 있는 편리한 기능이지만 악성 프로그램의 경우 공유폴더의 취약점을 이용해서 공유되지 않은 자료를 유출해 가거나 악성 코드를 설치하는 경우가 있다. 공유 규칙을 이용하면 공유 폴더를 보다 안전하게 사용할 수 있다.

[그림 6] 공유 규칙 설정하기

새로운 공유 규칙을 추가하려면 [추가]를 선택한다. 다음과 같이 공유 규칙을 설정할 대상 IP의 범위를 지정하는 화면이 보여지는데 규칙을 적용할 대상으로 모든 IP 또는 특정 IP, IP 대역, 서브넷 범위 등의 세부 설정이 가능하다.

규칙을 적용할 IP를 지정한 후에 해당 IP로부터의 공유 폴더 접근에 대하여 읽기만 허용, 읽기와 쓰기 허용, 읽기와 쓰기 모두 차단의 3가지 항목 중에서 적용할 규칙을 선택할 수 있다.

[그림 7] 공유 규칙을 적용할 IP 주소 설정

[네트워크 규칙] 설정하기

네트워크 상에서 다른 컴퓨터와 패킷을 주고 받는 것에 대해서 허용하거나 차단하도록 설정하는데 사용된다. 웹 브라우저나 메일 프로그램 등과 같이 정상적인 프로그램은 데이터 교환을 허용하고 악성 코드나 프로그램은 차단하도록 설정해야 한다.

다음과 같이 Windows 운영체제에 의해서 사용되는 일반적인 사용에 대해서 기본 규칙이 추가되어 있다.

[그림 8] 네트워크 규칙 설정하기

새로운 규칙을 추가하려면 [추가]를 선택한다. 다음과 같이 네트워크 규칙 추가 마법사가 실행되는데 규칙의 대상으로 TCP, UDP, ICMP 프로토콜을 설정할 수 있다. 대상 프로토콜을 선택한 후 특정 포트, 특정 IP에 대하여 세부 규칙을 설정하면 된다. 데이터 교환 시에 허용하거나 차단할 규칙을 적용하는 데에는 들어오는(inbound) 데이터와 나가는(outbound) 데이터에 대해서 구분하여 지정할 수 있다.

[그림 9] 네트워크 규칙을 적용할 프로토콜 선택

[고급 설정] 사용하기

일반적인 방화벽 설정 외에 보다 방화벽 기능을 효과적으로 사용할 수 있도록 해주는 고급 설정 기능을 제공한다.

기타 설정 항목으로 부팅 타임 방화벽, IPX나 IGMP 프로토콜에 대한 허용 여부, 스텔스 포트 기능에 대한 사용 여부를 설정할 수 있다. 해당 기능의 해제가 꼭 필요한 경우가 아니라면 이들 기타 설정 항목을 모두 사용하는 것을 권장한다.

[그림 10] 고급 설정 사용하기

앞서 살펴본 프로그램 규칙, 공유 규칙, 네트워크 규칙을 네트워크 환경에 따라 서로 다른 정책으로 사용할 수 있는 기능을 제공한다. 기본적으로 사무실, 집, 노트북(무선랜), 직접 접속의 4가지 정책이 제공되는데 새로운 정책을 추가하려면 [추가]를 선택하면 된다.

다음과 같이 네트워크 환경 고급 설정 창이 실행되는데 사용할 네트워크 장치(랜 카드가 여러 개일 경우)와 게이트웨이 IP 주소(어떤 네트워크 환경에 접속되었는지 구분하는데 사용)를 지정하면 이러한 조건에 해당하는 경우에 대한 독립적인 정책 설정이 가능해진다.

빛자루 데스크 톱에서 개인 방화벽 설정하기

빛자루는 안철수연구소에서 새롭게 선보이고 있는 PC 토탈 케어 서비스로 빛자루 웹사이트(http://www.vitzaru.com)를 통해서 설치가 가능하며 보다 인터넷 사용자에게 편리하고 적합한 보안 솔루션을 제공하고 있다. 대부분의 기능을 온라인 회원 가입만으로 이용할 수 있으며 유료 가입자는 실시간 검사와 같은 보다 강력한 보안 서비스를 제공 받을 수 있다.

빛자루를 실행한 후 [파워 V3] – [파워 V3 설정]을 선택하면 다음과 같은 창이 실행되는데 하단부의 [해킹 차단 설정]의 [개인 방화벽]을 선택하면 앞서 살펴본 V3 Internet Security 2007의 개인 방화벽 설정과 동일한 화면을 볼 수 있다. 앞서 살펴본 프로그램 규칙, 공유 규칙, 네트워크 규칙이 동일하게 적용되므로 쉽게 이용할 수 있을 것이다.

연재를 마치며

2회에 걸쳐서 방화벽의 개념과 기능, Windows 운영체제에서 기본적으로 제공되는 개인 방화벽과 보다 다양한 보안 기능과 설정이 제공되는 V3 Internet Security 2007과 빛자루 데스크톱의 개인 방화벽을 사용하는 방법을 알아보았다.

이러한 개인 방화벽 프로그램은 사용자가 설정한 정책과 규칙에 따라 실행됨을 반드시 이해할 필요가 있다. 따라서 방화벽 프로그램이 실행 중이라고 해서 반드시 컴퓨터가 안전하다는 것을 뜻하지는 않는다. 컴퓨터를 사용하는 환경에 맞게 올바른 방화벽 정책을 설정하고 컴퓨터를 사용하면서 접하게 되는 상황에 따라 적절히 유지하고 관리하는 것이 중요하다.@

[그림 1] 입국심사에서 거부되면 입국할 수 없다

[그림 2] 방화벽은 신뢰할 수 없는 접근을 차단한다

• 사용자에게 특정 응용 프로그램이 외부에 접속하려는 것에 대한 알림
  
• 사용자가 응용 프로그램이 로컬 네트워크나 외부 네트워크에 접속하려는 것을 허용/거부할 것인지 제어할 수 있는 기능
  
• 포트 스캔에 응답하지 않게 하여 네트워크 상에서 해당 기능을 숨김
  
• 외부 네트워크의 접속을 대기하고 있는 응용 프로그램들을 감시
  
• 외부 네트워크로 연결하려는 응용 프로그램들을 감시
  
• 내부에 설치된 응용 프로그램으로부터 원하지 않는 네트워크 연결되는 것을 방지

[그림 3] Windows 보안 센터에서 보안 상태를 한 눈에 파악할 수 있다

[그림 4] Windows 방화벽 [일반] 설정

[그림 5] Windows 방화벽 [예외] 설정

[그림 6] 예외 범위 설정

[그림 7] 예외 포트 추가하기

[그림 8] Window 방화벽 [고급] 설정

1. "There Is No God"
2. "Cynical"
3. "Tell Me Something I Don't Know"
4. "Hip Today"
5. "Naked"
6. "Midnight Express"
7. "Leave Me Alone"
8. "No Respect"
9. "Evilangelist"
10. "Shadow Boxing"
11. "Unconditionally"
12. "Fair Weather Faith"
13. "Waiting for the Punchline"
    

코덱, 멀티미디어 기기로 변신한 컴퓨터

복잡한 계산을 빠르게 수행하는데 사용되기 시작한 컴퓨터는 이를 구성하는 하드웨어와 소프트웨어의 눈부신 발전 덕분에 지금은 사용자에게 다양하고도 풍요로운 경험을 할 수 있도록 해주는 역할을 담당하고 있다. 특히 멀티미디어 기능의 눈부신 발달은 집안 거실에 위치하고 있던 TV, 비디오 레코더, 오디오 플레이어의 자리를 PC에게 물려주도록 만들고 있다.

PC가 전통적인 용도인 업무용 장비가 아닌 멀티미디어 기기로서 사용되기 시작한 중심에는 바로 코덱(CODEC)이 있다.

코덱(CODEC)이란

초기에는 글자로 쓰여진 텍스트 정보를 ASCII 코드로 변환하여 컴퓨터 상에서 정보를 입력 받고 출력하는 형태에서 시작하여 점차 다양한 컨텐츠를 컴퓨터 상에서 처리하려는 노력이 시도되기 시작했다. 그리하여 그림과 사진 정보가 PC 모니터로 들어왔고 지금은 TV, 음악, 영화, 게임 등의 멀티미디어 컨텐츠가 PC에서 재생되는 상황에 이르렀다.

음악과 영화과 같은 매체의 데이터를 컴퓨터에서 처리 가능한 0과 1의 이진수 형태로 처리하더라도 복잡한 데이터를 가지고 있으므로 대용량의 저장공간을 필요로 한다. 코덱(CODEC)은 이러한 대용량의 멀티미디어 데이터의 크기를 줄여서 처리할 수 있도록 압축하고 이를 다시 복원할 수 있도록 해주는 알고리즘을 말하며, 압축(Compress)과 복원(Decompress)을 의미하는 단어를 각각 합성해서 만들어진 용어이다.

이것은 파일의 크기를 줄이기 위해서 흔히 압축 프로그램을 이용해서 .zip이나 .rar 형태로 압축하였다가 원래의 파일을 얻기 위해 압축을 해제하는 것과 유사하다고 할 수 있다. 큰 용량의 멀티미디어 데이터를 보다 작은 크기로 압축했다가 이를 복원해서 음악이나 영화를 재생하도록 해주는 것이다.

많고 많은 코덱의 종류

음악과 동영상 매체가 레코드판(LP)에서 컴팩트 디스크(CD)로, 비디오 테이프(VHS)에서 DVD로 발전해왔듯이 코덱 또한 다양한 형태로 발전해왔다. 코덱의 종류는 크게 음성 데이터를 처리하는 코덱과 영상 데이터를 처리하는 코덱으로 분류할 수 있다.

먼저 우리가 흔히 음악을 듣기 위해 사용하는 MP3 파일은 실제로 음성 데이터를 MPEG-1 Audio Layer 3 코덱으로 압축한 형태의 파일을 의미한다. 코덱 사용료를 지불해야 하는 MP3에 대항하여 무료로 배포되고 있는 OGG 코덱도 최근에 많이 사용되고 있는 음성 코덱이다. 또한 마이크로소프트가 많은 연구 결과로 발표한 WMA도 높은 압축률을 자랑하는 음성 코덱의 하나이다. 최근에는 2 채널 스테레오 뿐만 아니라 Dolby Digital이나 DTS와 같은 다채널 음성데이터의 코덱도 매우 발전해 있어 홈씨어터의 보급에 많은 기여를 하고 있다.

영상 데이터를 처리하는 코덱에는 보다 다양한 코덱이 존재하는데 고전적으로 가장 많이 사용된 것은 MPEG 코덱이다. 또한 마이크로소프트는 윈도우 미디어 플레이어의 새 버전 출시마다 보다 개선된 성능의 코덱을 발표하는데 Microsoft MPEG-4 코덱도 뛰어난 성능을 보이고 있다. 이 중에서도 가장 큰 영향을 끼친 것은 저용량으로 DVD급의 높은 품질로 재생할 수 있도록 선보인 DivX일 것이다. 또한 광고를 통해 수입을 얻고 있는 DivX에 대한 반발로 개발되어 무료로 배포되는 XviD라는 코덱도 현재 많이 사용되고 있다.

멀티데이터를 어떠한 알고리즘으로 압축하느냐에 따라서 코덱의 품질과 성능에 차이가 발생하는데 보다 작은 크기의 파일로 압축하면서도 재생 시에 높은 품질의 음성과 영상을 재생하기 위하여 지금도 많은 업체와 단체에 의해서 새로운 코덱이 개발되고 있다. 코덱의 춘추전국시대에 살고 있다고 해도 과언이 아니다.

코덱팩으로 설치부터 환경설정까지 한 번에

하지만 가끔 음악이나 동영상 파일이 재생이 안되거나 음성은 들리는데 화면이 보이지 않는 등의 문제가 발생하는데 이는 압축 당시에 사용했던 코덱이 설치되어 있지 않아서 정상적으로 복원하지 못하기 때문에 발생하는 현상이다.

지금 이 순간에도 새롭게 개발되고 있는 모든 종류의 코덱을 구해서 PC에 설치한다는 것은 현실적으로 어려울 뿐만 아니라 코덱을 잘못 설치할 경우 기존에 이상이 없던 음악이나 영상 파일의 재생이 안된다거나 심각할 경우 시스템 자체에 심각한 오류가 발생될 수도 있다. 이러한 불편함을 줄이기 위해서 많이 사용되는 코덱을 모아서 설치 프로그램 형태로 제공되는 코덱팩이 배포되기 시작했다. 코덱팩 별로 차이는 있지만 수동 설치와 삭제하는 번거로움과 코덱 설치시 발생할 수 있는 충돌을 미리 진단하거나 편리하게 코덱을 사용할 수 있도록 통합환경설정 기능을 제공하기도 한다.

대부분 무료로 배포되는 통합코덱팩에는 Unified Codec Pack, CF 통합코덱, Z 통합코덱, 닥터코덱 등이 있다. 포털 사이트의 자료실에서 검색을 통해 쉽게 구할 수 있으며 비교적 설치와 삭제도 간편하다. 다만 일부 통합코덱은 설치 시에 인터넷 시작페이지를 변경하거나 애드웨어가 함께 설치되기도 하므로 설치화면에서 불필요한 요소는 선택하지 않는 것이 좋다.

지난 주에 국내에서 많은 사용자들이 인터넷 접속 장애를 겪은 일이 있었는데 바로 무료로 배포되는 통합코덱팩에 포함되어 배포된 툴바의 충돌로 인해 발생한 것이었다. 갑작스러운 인터넷 접속 장애에 대한 보고로 인해 신종 웜의 발생이 아닐까라고 컴퓨터 보안업체들은 긴장했었는데 결국은 어플리케이션의 버그로 인해 인터넷 익스플로어가 비정상 종료되면서 사용자들이 웹 서핑을 하지 못하는 상황이 되었던 것이다.

내 마음대로 재생해주는 멀티미디어 플레이어

코덱 만큼이나 중요한 것이 원하는 대로 음악이나 영상을 재생해주는 멀티미디어 플레이어이다.

MP3와 같은 음악 파일을 재생하는 데에는 깔끔한 디자인과 다양한 스킨, 플러그인이 제공되었던 윈앰프(WinAmp)와 마이크로소프트에서 제공하는 윈도우 미디어 플레이어가 많이 사용되었다. 최근에는 iPod의 대성공과 함께 하는 애플사에서 개발한 iTunes, 거원 제트오디오, 휴대용 MP3 플레이어 등이 많이 사용되고 있다.

동영상을 재생하는 데에는 윈도우 미디어 플레이어 외에도 사사미(SASAMI), 사미 플레이어 등이 많이 사용되었다. 최근에는 플레이어 내부적으로 코덱을 가지고 배포되므로 별도로 코덱을 설치할 필요가 없도록 통합 배포되고 있는 추세인데 곰 플레이어나 KMP 같은 멀티미디어 플레이어들이 여기에 해당한다. 만약 처리할 수 없는 미디어 파일의 경우 해당 코덱을 직접 찾아서 설치할 수 있는 편의성도 제공되고 있다. 또한 PMP나 PDA와 같은 휴대용 장비가 발달하면서 지금은 이동 중에도 멀티미디어 감상이 가능하다.

무분별한 코덱 설치는 피하자

전세계에서 다양한 코덱이 개발되고 있고 그만큼이나 다양한 코덱으로 만들어진 미디어 파일들이 인터넷을 통해 배포되고 있다. 특히 무분별한 코덱의 설치는 시스템에 미디어 파일의 재생하는데 있어서 불편을 줄 수 있으며 더 나아가 시스템상에 치명적인 오류를 일으킬 수도 있다.

따라서 코덱 팩은 신뢰할 수 있는 사이트에서 구하는 것이 좋으며 많은 사람들로부터 검증을 받은 코덱을 설치해야 한다. 또한 기존에 설치된 코덱이 있을 경우에는 제거 후에 다시 설치하는 것이 좋다.

다음 글은 안철수연구소 홈페이지의 보안컬럼에 2회분으로 연재 되었습니다. :)
휴~~ 겨우 마무리 지었네요.
아쉽긴 하지만 탈고는 언제나 오래된 변비에서 벗어나는 듯한 느낌입니다.

--------------------------------------------------------------------

악성 툴바로부터 PC를 보호하자 [2]

지난 호에서는 설치된 이후에 삭제가 되지 않는 악성 툴바의 특징과 설치되는 경로를 알아보고 신뢰할 수 없는 웹 사이트나 P2P 서비스 등을 통해서 배포되는 프로그램을 설치하지 않는 것이 악성 툴바가 설치되지 않도록 예방하는 방법임을 알아보았다.

이번 호에서는 실제로 악성 툴바가 설치된 이후에 삭제하는 방법에 대해서 알아보도록 하겠다. 악성 툴바의 종류와 동작 방법이 다양하기 때문에 모든 악성 툴바에 대한 삭제 방법을 이 글을 통해서 다루기는 어려움이 있다. 여기서는 악성 툴바들이 일반적으로 사용하는 기술을 위주로 그 대처 방법에 대해서 알아보도록 하겠다.

1. 툴바 비활성화 시키기

먼저 가장 일반적인 방법부터 알아보자. 인터넷 익스플로러에 설치된 툴바는 원래 그 기능을 활성화시키고 비활성화 시킬 수 있도록 되어 있다.

[그림 1]과 같이 인터넷 익스플로러에서 툴바 부분을 오른쪽 마우스 버튼으로 클릭하면 컨텍스트 메뉴가 펼쳐지는데 인터넷 익스플로러에 등록되어 있는 툴바의 목록을 확인할 수 있다. 여기서 체크(V) 표시가 되어 있는 것이 현재 인터넷 익스플로러에서 사용중인 툴바이다. 이 항목을 클릭해서 체크 표시를 없애면 해당 툴바는 비활성화 상태가 된다.

정상적인 형태의 툴바는 이렇게 비활성화 시키는 것만으로도 기능이 실행되지 않도록 할 수 있다. 하지만 악성 툴바는 비활성화 시켜도 인터넷 익스플로러를 새로 실행하거나 시스템이 재부팅된 이후에는 다시 활성화 상태로 복귀하거나 툴바가 비활성화 된다. 하지만 다른 형태로 사용자 몰래 실행되어 광고 팝업 창을 띄우는 등의 행위를 한다.

이러한 방법으로도 툴바가 비활성화되지 않거나 프로그램 자체를 삭제하고 싶으면 [제어판] – [프로그램 추가/제거]에서 설치된 해당 툴바 프로그램을 찾아서 삭제를 한다. 이 과정을 거치면 삭제 되는 게 정상적인 경우이지만 악성 툴바는 삭제가 되지 않거나 삭제가 된 것처럼 보여주지만 실제로는 삭제되지 않는 등의 동작을 하게 된다.

2. 악성 프로그램 진단 서비스 이용하기

의심되는 툴바를 삭제 했는데도 불구하고 원하지 않는 웹 사이트로 이동되거나 광고 팝업 창이 계속 보여지거나 인터넷 서핑하는 데 반응속도가 느려지는 경우가 있다. 이럴 때 일반 사용자가 가장 손쉽게 대처할 수 있는 방법은 악성 프로그램을 찾아서 치료해주는 안티 스파이웨어, 안티 애드웨어 프로그램을 실행하는 것이다.

최근에는 악성 프로그램을 진단하고 치료해주는 서비스가 많은 웹 사이트를 통해서 제공되고 있다. 이 서비스들은 대부분 진단과 치료 기능이 분리되어 있어, 진단은 무료, 실제 치료 시에만 수수료를 받는 방식을 취하고 있다. 따라서 일단 악성 툴바에 감염이 되었는지 아닌지의 여부는 이러한 악성 프로그램 감지 서비스를 이용해서 확인이 가능하다.

한 예로 안철수연구소의 보안클리닉에서 제공하는 SpyZero 서비스(http://clinic.ahnlab.com/clinic/spyzero.jsp)를 통해서 필자의 PC를 검사해 보았다. 진단 자체는 무료로 제공되므로 별다른 로그인 과정 없이도 스파이제로의 진단 기능을 이용할 수 있다.

대부분의 안티 스파이웨어 경우 무료 진단 기능을 이용해서 찾은 악성 프로그램을 실제로 사용자의 PC에서 제거하거나 치료하려면 일정 수수료를 결제하도록 되어 있다. 하지만 눈을 뜨고 있어도 코 베어간다는 세상에 살고 있으므로 여기에도 함정이 있을 수 있다는 사실에 주의해야 한다. 타사의 안티 스파이웨어 프로그램보다 진단률이 높은 것처럼 보이기 위해서 ① 정상적인 프로그램을 악성 프로그램인 것처럼 진단 결과를 보여준다든지, ② 치료를 위해 결제를 했는데도 치료되지 않고 매번 치료를 요구하는 프로그램도 있다. 심지어는 ③ 악성 프로그램을 제거해준다는 보안 프로그램 자체가 애드웨어나 스파이웨어인 경우도 있으므로 믿을 수 있는 업체의 서비스를 이용하는 것이 좋다.

만약 치료를 위해 비용을 지불했는데도 불구하고 여전히 악성 프로그램이 삭제되지 않고 실행된다면 해당 업체의 고객센터에 연락해서 기술지원을 요청하도록 하자. 일부 악성 코드의 경우는 치료를 위해 몇 차례 재부팅을 해야 한다든지 또는 안전모드로 컴퓨터를 부팅한 상태에서만 치료가 된다든지 하는 제약사항이 있을 수도 있다.

3. 악성 툴바 수동 제거 방법(1) – 툴바가 설치된 위치 찾기

이제 악성 툴바를 수동으로 제거하는 방법을 알아보도록 하자. 이러한 악성 코드들은 운영체제에서 제공해주는 기능이나 정책을 역으로 이용하는 경우가 많다. 따라서 윈도우 운영체제와 인터넷 익스플로러의 내부 동작 원리를 이해한다면 귀찮기는 하지만 수동으로 제거하는 것이 가능하다.

하지만 이를 위해서 설치된 악성 프로그램 파일과 해당 프로그램에서 사용하는 레지스트리 항목을 수정 또는 삭제해야 하는데 이 과정 중에 정상적인 항목을 변경할 경우 시스템에 심각한 오류가 발생할 수도 있으므로 각별히 주의해야 한다.

먼저 악성 툴바가 동작하려면 인터넷 익스플로러가 실행될 때 악성 툴바 모듈을 로드해서 함께 실행되어 한다. 따라서 악성 툴바의 모듈(일반적으로 .dll 파일임)이 사용자 컴퓨터의 어딘가에 저장되어 있어야 한다. 컴퓨터에서 실행 중인 프로세스에 대한 정보를 확인할 수 있는 무료 유틸리티인 Process Explorer를 이용해서 어떠한 모듈들이 인터넷 익스플로러에 로드 되어 있는지 확인하는 방법을 알아보도록 하자.

1. Process Explorer 프로그램을 실행한다.
(http://www.sysinternals.com/Utilities/ProcessExplorer.html에서 무료로 다운로드해서 기능 제한 없이 사용할 수 있다.)

2. [View] 메뉴에서 [Lower Pan View] – [DLLs]를 선택한다. 이로써 Process Explorer 상단에는 프로세스 목록이 보여지고 하단에는 특정 프로세스에서 로드하고 있는 모든 모듈의 리스트가 보여지게 된다.

3. Process 목록에서 인터넷 익스플로러 프로세스인 ‘IEXPLORER.EXE’를 선택한다.

4. 하단에 보여지는 모듈 리스트에서 악성 툴바와 관련된 모듈을 찾는다. 이는 리스트에서‘Description’과 ‘Company Name’ 항목을 보면 인터넷 익스플로러 실행에 필요한 기본 파일인지 아니면 Add-on 형태로 추가된 모듈인지 어느 정도 추측이 가능하다. 의심되는 파일명에 대한 정보를 검색 사이트를 이용해서 찾아보는 것도 좋은 방법이다.

5. 필자의 경우 애드웨어나 악성 툴바로 의심되는 다음과 같은 모듈들의 위치를 찾을 수 있었다. 특정 모듈을 클릭하면 해당 모듈이 위치한 전체 경로를 알 수 있다.
C:\Program Files\Windows Search Helper\shsharp.dll
C:\Program Files\wOcash\wOcash.dll

6. 실행중인 인터넷 익스플로러 창을 모두 종료한다.

7. 위에서 찾은 모듈이 실제 악성코드인지 판단하는 것은 일반 사용자에게 어려운 일이다. 이들 파일을 제거함으로써 인터넷 익스플로러의 실행 정상적으로 되지 않을 수도 있으므로 하나씩 파일명만 다른 이름으로 바꾼 뒤 인터넷 익스플로러를 재실행 해본다.

8. 인터넷 익스플로러가 정상 동작하고 Process Explorer에서 확인한 모듈 리스트에서 해당 모듈이 보이지 않아야 한다. 만약 특정 모듈의 이름을 변경한 뒤에 인터넷 익스플로러가 제대로 동작하지 않는다면 원래 이름으로 바꾼 뒤에 다시 인터넷 익스플로러를 실행한다.

4. 악성 툴바 수동 제거 방법(2) – 레지스트리에 등록된 항목 찾기

이제 컴퓨터 레지스트리에 등록된 악성 툴바 관련된 정보를 찾아서 삭제해보자. 레지스트리(registry)란 운영체제 및 각종 프로그램들이 실행되는데 필요한 정보들을 저장할 수 있는 공간이다. 악성 툴바들도 실행되기 위해서 필요한 정보들을 레지스트리에 저장하게 되는데 이러한 항목을 찾아서 삭제 또는 수정해주면 악성 툴바의 실행을 막을 수 있다.

1. 윈도우 [시작] 메뉴에서 [실행] 항목을 실행하고 레지스트리를 편집하기 위해 ‘regedit.exe’를 실행한다.

2. 지난 호에서 인터넷 익스플로어 기능을 확장하기 위한 방법으로 BHO(Browser Helper Object) 기술을 사용한다고 설명한 바 있다. 인터넷 익스플로어는 실행될 때 시스템의 레지스트리의
‘HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects’에 등록된 모듈들의 리스트를 확인한다.

3. BHO로 등록된 개체에는 정상적인 개체도 있으므로 레지스트리 정보를 삭제하기 전에 악성 툴바에 대한 내용인지 확인하는 과정이 반드시 필요하다. Ctrl+F 키를 누르고 검색 기능을 이용해서 여기에 등록된 BHO 개체 키가 등록된 항목을 찾고 등록된 파일명이나 설치 경로 등의 정보를 확인해서 악성 툴바에 해당하는 정보일 경우 삭제한다.

4. 위 방법과 마찬가지로 인터넷 익스플로러에 등록된 툴바 개체에 대한 정보를 찾는다. 이 모듈에 대한 정보는 ‘HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser’ 항목에 등록되어 있다. 동일한 방법으로 Ctrl+F 키를 누르고 등록된 툴바 개체에 대한 항목을 찾고 악성 툴바에 해당하는 정보일 경우 삭제한다.

5. 악성 툴바 수동 제거 방법(3) – 숙주를 찾아서 제거하기

위의 방법대로 악성 툴바에 해당하는 모듈과 레지스트리 항목을 제거했지만 컴퓨터를 재시작하면 다시 어디선가 툴바가 나타나는 경우가 있다. 이는 악성 툴바는 제거했지만 실제 악성 툴바를 계속해서 만들어내는 숙주 프로그램이 남아 있기 때문에 나타나는 증상이다. 윈도우 운영체제는 부팅되는 시점에 어떤 프로그램이 실행될 수 있는 기능을 제공하고 있는데 이 정보도 앞서 살펴 본 레지스트리에 저장된다.

1. 윈도우 [시작] 메뉴에서 [실행] 항목을 실행하고 레지스트리를 편집하기 위해 ‘regedit.exe’를 실행한다.

2. ‘HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run’에 등록된 모듈들의 리스트를 확인한다. 이 곳에 등록된 프로그램들은 매번 시스템이 부팅될 때마다 실행되도록 되어 있다. 이 곳에는 정상적인 프로그램에서 등록된 것도 많으므로 등록된 경로와 파일명을 하나씩 찾아서 올바른 파일인지 악성 프로그램인지 확인하는 과정이 필요하다. 등록된 실행 파일명을 검색 사이트를 이용해서 찾아보고 악성 프로그램으로 의심될 경우 파일명을 변경한 후에 시스템을 재부팅 해본다.

4. 위와 동일한 방법으로 ‘HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce’, ‘HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx’, ‘HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce’, ‘HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx’에 등록된 모듈들의 리스트를 각각 확인하고 악성 프로그램에 해당하는 항목일 경우 삭제 또는 이름을 변경한 후 시스템을 재부팅해서 결과를 확인한다.

6. 연재를 마치며

지금까지 2회에 걸쳐 악성 툴바의 특징과 설치되지 않도록 예방하는 방법, 설치된 악성 툴바를 진단하고 수동으로 삭제하는 방법을 알아 보았다. 현재 배포되고 있는 악성 툴바의 종류도 다양하고 정상적인 툴바와 악성 툴바의 구분 또한 어려운 상황이다. 따라서 이 글에서 다룬 내용이 얼마나 실제 악성 툴바가 설치되어 고생하고 있는 사용자에게 얼마나 도움이 될지는 미지수이다.

다시 한번 강조하지만 악성 툴바가 설치되지 않도록 신뢰할 수 없는 사이트, 출처를 알 수 없는 경로를 통해서 받은 프로그램은 설치와 실행을 하지 않는 것이 가장 중요하다. 또한 광고 수익이나 기타 자사의 목적을 위해서 다수의 사용자에게 불편함을 주도록 악성 툴바를
개발하고 배포하는 업체들이 윤리의식을 가지고 보다 양심적으로 기업활동을 했으면 하는 소박한 바램을 가져본다.

다음 글은 안철수연구소 홈페이지의 보안컬럼에 2회분으로 연재될 예정입니다. :)
여담인데 원고 마감일을 지키기는 정말 어렵습니다..
오늘이 마감일인데 새벽 6시에 일어나서 겨우 마무리 지었네요. ^^;

-----------------------------------------------------------------------------------

악성 툴바로부터 PC를 보호하자(1)

안철수연구소 김순근 주임연구원, Microsoft VC++ MVP

1. 여는 글

얼마 전 추석 명절을 맞아 고향집을 찾았는데 가장 먼저 한 일은 그동안 컴퓨터에 설치된 각종 악성 프로그램을 제거하는 것이었다. SpyZero를 실행해서 지난 몇 개월 사이에 설치된 많은 악성 프로그램을 찾아 치료하였는데 일부 끈질긴 악성 프로그램들은 수동으로 삭제해줘야 했다.

컴퓨터 보안업계에 근무하다 보니 이렇게 주변 사람들로부터 컴퓨터가 이상해졌으니 점검해달라는 SOS 요청을 종종 받게 된다. 몇 년 전까지만 해도 웜 바이러스에 의한 컴퓨터 성능 저하, 인터넷 속도 저하 등에 대한 문의가 대부분이었지만 최근에는 컴퓨터를 부팅 못하게 하거나 중요 파일을 감염시켜 시스템에 피해를 주는 바이러스 종류가 아니라 사용자를 끈질기게 귀찮게 하는 애드웨어나 스파이웨어에 대한 요청이 대부분이다.

여기서는 여러 종류의 악성 코드 중에서 웹 서핑에 사용되는 인터넷 익스플로어에 애드온(add-on) 형태로 설치된 이후 제대로 삭제되지 않는 악성 툴바가 설치되는 것을 예방하고 몇 가지 예를 통해 툴바를 삭제하는 방법에 대해서 알아보도록 하겠다.

[그림 1] 인터넷 익스플로어에 추가된 Search the web 툴바(좌), 야후툴바(우)

2. 툴바와의 만남

포털 사이트에서 ‘툴바 제거’라는 키워드로 검색해보면 많은 사용자들이 툴바가 삭제되지 않아서 도움을 요청하는 글들을 쉽게 찾을 수 있다. 대부분의 툴바는 인터넷 익스플로어의 기능을 확장할 수 있도록 제공되는 BHO(Browser Helper Object)라는 기술을 이용하고 있다. 원래의 취지에 맞게 사용자에게 보다 편리하고 다양한 서비스를 제공하는 좋은 툴바도 많지만 이를 악용하고 있는 악성 툴바들 때문에 많은 사용자들이 피해를 입고 있는 것이다.

[용어 설명] BHO(Browser Helper Object)

가장 많이 사용되는 웹 브라우저인 인터넷 익스플로어의 기능을 외부 플러그인을 이용해서 확장할 수 있도록 설계된 기술이다. 웹 브라우저의 툴바에 추가되는 등의 방법으로 사용자에게 다양한 추가 기능을 제공한다. 하지만 상업적이거나 악의적인 목적으로 사용되어 개인정보를 유출하거나 광고나 특정 사이트로 강제 이동하는 등의 기능을 수행하기도 한다.

인터넷 익스플로어는 실행될 때 시스템의 레지스트리에서
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects에 등록된 모듈들을 로드하도록 구현되어 있다. 이렇게 로드된 BHO 개체는 사용자가 인터넷을 서핑하는 과정에 참여하여 다양한 확장 기능을 제공할 수 있게 된다.

이러한 프로그램들은 어떠한 경로로 설치가 되는 것일까. 인터넷 사용중에 악성 프로그램이 컴퓨터에 무단으로 설치되는 것을 막기 위해서 다음과 같은 창을 통해 사용자로부터 최종 확인 과정을 거치게 된다.하지만 일반 사용자에게는 이것을 판단해야 하는 것이 매우 곤욕스럽고도 어려운 선택의 시간이다. 특히 툴바의 경우에는 사용자에게 인터넷 사용을 더욱 편리하게 도와준다는 각종 미사여구로 포장되어 있어 무심코 설치를 허용하기 쉽다.

상업적 목적으로 제작된 툴바들은 웹 서핑하는 과정 중에 사용자가 원하지 않는 정보를 계속해서 노출시키는 특징을 가지고 있다. 예를 들면 시작페이지를 특정 사이트로 고정시키거나 서핑 중에 광고 팝업 창을 주기적을 띄운다든지 또는 자체 검색결과 화면으로 이동시켜 광고주 웹 사이트로 접근을 유도하는 등의 기능을 제공한다.

3. 끈질긴 생명력, 삭제되지 않는 툴바

악성 툴바의 가장 큰 특징은 프로그램 삭제가 제대로 되지 않는다는 것이다. 사용자에게 얼마나 편리한 기능을 제공하든 일단 프로그램은 기본적으로 설치가 되었으면 삭제될 수 있도록 제작되어야 한다.

하지만 필자가 확인한 악성 툴바는 프로그램을 제거할 경우 ① 왜 삭제하는 것인 이유를 입력하라며 삭제 과정을 어렵게 하거나 ② 삭제 과정 중에 알 수 없는 오류메시지를 보여주며 삭제가 되지 않거나 ③ 정상적으로 삭제된 것처럼 보이지만 실제로는 삭제되지 않거나 ④ 삭제시 인터넷 익스플로어의 주소 창을 제거하여 재설치 하도록 유도하는 등의 유형을 확인할 수 있었다.

예를 들어 와우 툴바의 경우 [제어판]의 [프로그램 추가/제거]에서 제품 삭제를 실행하였고 정상적인 삭제 과정이 진행되었다. 하지만 그림 3에서 볼 수 있는 것과 같이 안철수연구소의 SpyZero 프로그램으로 진단한 결과 삭제되지 않고 남아 있음을 확인할 수 있었다.

이러한 상업적인 툴바를 제작하여 배포하는 사이트를 방문해보면 편리한 기능을 제공하는 툴바이며 삭제가 되지 않을 경우에는 수동으로 삭제하는 방법이나 전용 삭제툴을 제공하고 있는 곳도 있다. 하지만 면책용으로 포장하였을 뿐 프로그램 자체적으로 삭제가 제대로 되지 않고, 일일이 찾아서 수동으로 제거해줘야 한다는 것 자체가 사용자들을 기만하는 것이라고 생각한다.

4. 설치하지 않는 것이 가장 중요

일단 설치되면 삭제되지 않고 끈질기게 사용자를 괴롭히기 시작하므로 악성 툴바일 경우에는 설치하지 않는 것이 최선의 방어책이다. 이러한 툴바는 ① 성인 사이트나 커뮤니티에서 유혹적인 문구를 이용해서 사용자를 유인한 뒤에 설치 프로그램을 강제로 다운로드 시키거나 ② 쉐어웨어에 포함되어 함께 설치되는 방법을 많이 사용하고 있다.

따라서 인터넷 서핑 중에 프로그램을 실행하거나 ActiveX를 설치할 것인지 확인하는 경우라면 신뢰할 수 있는 웹 사이트인지 확인하고, 쉐어웨어 설치시에는 불필요한 프로그램이 함께 설치되지 않도록 주의를 기울여야 한다.

* 악성 툴바가 설치되는 것을 예방하려면

1. 성인 사이트나 지나치게 상업적인 사이트에서 다운로드 받은 파일을 실행하지 않는다.
2. P2P 파일 공유사이트에서 받은 파일을 실행하지 않는다.
3. 광고 메일에 첨부되거나 링크를 통해 다운로드된 파일을 실행하지 않는다.
4. 악성코드 진단프로그램으로 가장한 경우도 있으므로 믿을 수 있는 설치시 보안프로그램인지 확인한다.
5. 인터넷 익스플로어의 팝업 차단 기능을 사용한다. (신뢰할 수 있는 사이트에 대해서만 팝업을 허용하도록 설정한다.)
6. 다음과 같은 툴바는 잘 삭제되지 않는다고 알려져 있으므로 주의한다.
- 와우툴바, 야후툴바, 네오툴바, 엔바, 유니툴바, 알뜰툴바, 바이툴바, Tibi툴바, 텔레잡툴바, 유턴툴바, 이지툴바, 컴젠툴바, 캐시온툴바, Search the Web, Window Search Helper 등
7. 프로그램 설치 전에 프로그램명이나 실행파일명을 이용해서 포털사이트에서 검색해보고 피해를 입은 사례가 없는지 확인한다.

이번 호에서는 악성 툴바의 특징과 예방법에 대해서 알아보았다. 다음 호에서는 몇 가지 예를 통해서 설치된 툴바를 제거하는 방법에 대해서 알아보도록 하겠다. (계속)