13회 경호학 80번 문제
(답 2, 서비스 거부)
공격대상이 되는 버어에 과도학 트래픽을 유발시키거나 정상적이지 못한 접속등을 시도하여
해당 서버의 네트워크를 독점하거나 시스템 리소스의 낭비를 유발시켜 서버가 정상적으로 작동하지 못하게 하는 방법
☞ 대상 시스템이나 이 시스템의 사용자가 특정한 자원에 접근하는 것을 방해
☞ 서비스 방해의 유형
· 네트워크의 교통량을 폭주시킴으로서 해당 시스템이 네트워크 자원에 접근하는 것을 막는다
· 두 시스템 사이의 연결을 붕괴시켜 서로간의 서비스 제공을 방해한다
· 특정한 개인이 서비스를 제공받지 못하도록 방해한다
· 특정한 시스템이 사용자에게 서비스가 제공하지 못하도록 붕괴시킨다
☞ 대상 시스템이나 네트워크를 실질적으로 동작불능의 상태로 몰고 감
1, 논리폭탄
컴퓨터 범죄의 하나이다. 해커나 크래커가 프로그램 코드의 일부를 조작해 이것이 소프트웨어의 어떤 부위에 숨어 있다가 특정 조건에 달했을 경우 실행되도록 하는 것이다. 즉 논리폭탄이라는 용어 그대로 프로그램에 어떤 조건이 주어져 숨어 있던 논리에 만족되는 순간 폭탄처럼 자료나 소프트웨어를 파괴하여, 자동으로 잘못된 결과가 나타나게 한다. 최근에는 컴퓨터 바이러스와 관련하여 자주 거론되고 있다. 트로이 목마라는 컴퓨터 바이러스와 유사한 면을 가지고 있다.
'논리폭탄'이라는 방법으로 자료나 소프트웨어 파괴에 이용하죠. 즉, 프로그램에 어떤 조건을 넣어주고 그 조건이 만족되면 자동으로 불법 결과가 나타나게 하는 것으로 '트로이목마'와 유사한 면을 가지고 있습니다. 예를들어 예전에 중국에 나타난 바이러스 중에서 '이붕 바이러스'라는게 있었습니다. 프로그램 실행중에 바이러스가 질문을 합니다. "당신은 이붕의 퇴진을 원합니까?" 만약 "no"를 입력한다면 컴퓨터의 자료는 모조리 파괴되어버리고 말았죠. 대만이나 중국의 반체제 인사가 만들었다는 얘기가 있었습니다. 자료변조가 예상되는 경로로의 자료입수를 철저히 조사해야만 합니다.
3. 트로이 목마
악성 루틴이 숨어있다가, 실행하면 악성코드를 실행시킴.
(ex)
netbus, back orifice, schoolbus, esecutor,
silencer, striker
호감이 가는 유용한 프로그램으로 가장하고, 실제적으로는 악의적인 프로그램이나 코드를 포함하고 있는 프로그램을 말한다. 이는 정상적인 동작을 하는 것으로 보이거나 사용자가 쓰는 프로그램등으로 사용자를 현혹시킴으로써 특권을 획득한다.
4. 트랩도어 ( or back door)
OS나 대형 응용 프로그램을 개발하면서 전체 시험실행을 할 때 발견되는 오류를 쉽게하거나 처음부터 중간에 내용을 볼 수 있는 부정루틴을 삽입해 컴퓨터의 정비나 유지보수를 핑계삼아 컴퓨터 내부의 자료를 뽑아 가는 행위를 일컫습니다. 즉, 프로그래머가 프로그램 내부에 일종의 비밀통로를 만들어 두는 것입니다. 자신만이 드나들 수 있게 하여 자료를 빼내는 방법이죠. 실제로 풀그림을 수행시키면서 중간에 이상한 것이 출력되지 않는지와 어떤 메시지가 나타나지 않았나 살펴보고 이상한 자료의 누출이나 어카운트에는 계산된 것이 없는데 기계시간이 사용된 경우 추적하여 찾아내야 합니다.
시스템 보안이 제거된 비밀통로, 보안구멍
유지보수를 위해 설계자가 일부러 만들어 놓은 비밀통로를 말한다,
크래커가 시스템에 침입한 후 자신이 원할 때 침입한 시스템을 재침입하거나 권한을 쉽게 획득하기 위하여 만들어 놓은 일종의 비밀 통로를 말한다. 이는 초기에는 주로 시스템에 문제가 생겼을 경우, 쉽게 시스템에 접속하기 위해서 시스템 관라자나 프로그래머등의 관리자가 의도적으로 만들어 놓은 비밀 통로였는데, 이후 크래커들에 의해 악의적인 목적으로 사용되고 있다.
살라미기법(Salami Techniques)
예전에 우리나라를 시끄럽게 했던 청와대 아이디 도용사건과 유사한 경우입니다.
그 당시에 휴면계좌의 작은단위의 금액을 한 구좌로 몰아넣게해서 빼내려던 시도가 있었죠. 이자 계산이나 다른 거래 계산 풀그림 속에 단위수 이하의 숫자를 특정계좌에 계속 가산되도록 풀그림 루틴을 부정 삽입하는 행위입니다. 뚜렷한 피해자가 없어 특별히 검사해 보는 제도를 두지 않으면 알 수 없고 일단 제작되면 별도 수정없이는 범행상태가 계속되죠. 은행직원이나 외부인 등 전산망에 접근할 수 있는 자라면 누구나 저지를 수 있으며 계좌 중에 아주 작은 금액기 계속적으로 입금된 사실이 있는지 검사하는 풀그림을 작성해 수행시 켜 보는 방법 등을 사용해 예방합니다.
슈퍼 재핑(Super Zapping)
컴퓨터가 고장으로 가동이 불가능할 때 비상용으로 쓰이는 프로그램이 Super Zap입니다.
Super Zap 수행시에 호텔의 만능키처럼 패스워드나 각종 보안장치 기능을 상실시켜 컴퓨터의 기억장치에 수록된 모든 파일에 접근해 자료를 복사해 가죠. 외부에서 출입해 수리를 할 경우 입회하여 지키고 테이프나 디스크 팩, 디스켓 반출시에 내용을 확인하고 고장 내용이 수록된 파일을 복사해 가지고 나갈 경우 내용을 복사해 증거물을 남기는 법이 최선책입니다. 이 방법은 거의 직접적인 수법이기에 계속 지키고 확인하는 수밖에 없습니다
자료의 부정변개(Data Diddling)
원시 서류 자체를 변조, 위조해 끼워 넣거나 바꿔치기 하는 수법으로 자기테이프나 디스크 속에 엑스트라 바이트를 만들어 두었다가 데이터를 추가하는 수법입니다. 자료를 코드로 바꾸면서 다른 것으로 바꿔치기하는 수법인데 원시자료 준비자, 자료 운반자, 자료 용역처리자 그리고 데이터와 접근이 가능한 내부인이 주로 저지릅니다. 예방법은 원시서류와 입력 데이터를 대조해 보고 셈틀 처리 결과가 예상 결과와 같은지 검토하며 시스팀 로그인 파일과 수작업으로 작성된 관련 일지를 서로 비교 컴토하는 작업을 정기적으로 실시하여야 합니다. 아주 직접적이며 초보적인 형태의 해킹이라고 할 수 있습니다. 예를 들어 은행원이 자신이 직접 단말기를 조작해 원하는 계좌로 돈을 빼내는 경우가 이에 해당 됩니다
비동기성 공격(Asynchronous Attacks)
컴퓨터 중앙 처리 장치 속도와 입,출력 장치 속도가 다른 점을 이용해 Multi-programming을 할 때 Check-point를 써서 자료를 입수하는 방법이죠. 어떤 자료와 프로그램이 누출된 것 같은 의시미 생기거나 컴퓨터 성능과 출력 자료가 정상이 아닐 때 시스팀 로그인 테이프를 분석해 적업 지시서와 대조해 지시없이 작업을 수행한 기록이 있는지 조사해 봐야 합니다. 이 방법은 최근에도 이용되고 있는 방법입니다. 사용하기 쉽고 효과는 상당히 큰 해킹방법 중의 하나죠. 미리 작성해 둔 침투 프로그램으로 시스템 운영자를 속인채 목적하는 해킹을 하는 것입니다.
쓰레기 주워 모으기(Scavenging)
아주 지저분한 수법이죠. 컴퓨터실에서 작업하면서 쓰레기통에 버린 프로그램 리스트, 데이터 리스트, 카피 자료를 얻는 방법입니다. 많은 사람들이 자신이 버리는 쓰레기가 다른 사람들의 손에 들어갈 경우 자신을 위협할 수 있는 무기가 된다는 사실을 인식하지 못하기 때문에 이러한 일이 벌어지죠. 중요한 것은 꼭 알아볼 수 없도록 폐기해야 합니다. 예전에 미 FBI에서 소련의 스파이를 잡을 때 썼던 방법입니다. 스파이 혐의를 받고 있는 용의자의 쓰레기통을 뒤져 증거가 될만한 문건들을 찾아냈었죠.
크래킹 기법-웹 스푸핑 (Web Spoofing)
☞ 사용자가 온라인 상으로 말하는 모든 정보를 알아냄
☞ 웹 스푸핑의 과정
· 사용자는 웹 브라우저에 가고자 하는 사이트의 URL을 넣을 것이다.
· 사용자의 가고자 하는 URL로 직접 가는 것이 아니라 사용자가 방문한 적이 있는 크래커의 사이트로
가게 된다.
· 크래커는 사용자가 요구한 페이지를 받아 온 후 사용자에게 전달해 준다.
· 사용자의 요구한 페이지가 어떤 정보를 원하고 (전자우편 주소 혹은 암호) 그 정보를 입력하면 크래커
가 볼 수 있다.
☞ 웹 스푸핑의 방지법
· 상단의 URL 정보가 사용자가 입력한 URL외에 다른 정보를 보여 준다면, 그것은 바로 사용자와 원하
는 URL 사이에 중개자가 있다는 것을 의미
· 웹 브라우저의 자바 스크립트를 동작하지 않도록 만듬 => 브라우저의 하단에 나타나는 정보를 크래커
가 숨기지 못함
· 브라우저의 URL이 표시되는 곳(주소 라인)을 항상 보이게 함
· 주소 라인에 표시되는 URL의 주소에 주의를 기울임
원격공격 [遠隔攻擊, remote attack]
시스템 외부에서 목표 호스트 컴퓨터에 침투하는 해킹과정을 말한다. 주로 유닉스 시스템을 대상으로 한다. 공격대상 시스템의 데몬(Daemon)이나 제공하는 서비스의 잘못된 환경설정을 이용해 불법으로 권한을 획득하려는 공격이다.
호스트에서 서비스 요청을 처리하기 위해 실행되는 프로그램인 데몬의 버그나 NIS(Network Information System)·NFS(Network File System) 등의 잘못된 설정, 이용자의 정보를 바탕으로 외부에서 시스템을 공격하는 방식을 사용한다. 공격 목적은 대상 시스템의 쉘(shell:유닉스의 대화형 사용자 인터페이스)을 탈취하기 위함이다.
이 공격은 허가받은 과정을 거치지 않고 계정이 없는 시스템에 침투하는 워크스테이션에 접속한 네트워크와 다른 네트워크 서버를 공격할 수 있다. 이 공격에 대한 대책은 연결된 모든 네트워크를 안전하게 보호할 수 있는 방화벽을 설치하는 것이다.
원격공격의 가능성을 검사하는 도구 가운데 대표적인 경우가 사탄(SATAN)이다. 이 프로그램은 시스템 관리자가 자신의 호스트를 검사하기 위해 개발되었지만 시간이 지나면서 해커들에 의해 악용되었다. 센드메일(Sendmail)·ftp·NIS·NFS·X윈도 등의 데몬 프로세스를 공격해 접속하거나 암호가 저장된 파일을 빼돌리는 데 사용된다.
제로 데이 공격
제로 데이 공격(또는 제로 데이 위협, Zero-Day Attack)은 컴퓨터 소프트웨어의 취약점을 공격하는 기술적 위협으로, 해당 취약점에 대한 패치가 나오지 않은 시점에서 이루어지는 공격을 말한다. 이러한 시점에서 만들어진 취약점 공격(익스플로잇)을 제로 데이 취약점 공격이라고도 한다.
제로 데이 공격 대상물이 되는 프로그램은 공식적으로 패치가 배포되기 전에 감행된다. 이런 프로그램들은 보통 대중들에게 공개되기 전 공격자들에게로 배포된다. 단어의 어원은 공격이 감행되는 시점에서 유래한 것이다. 제로 데이 공격 대상물은 대중과 프로그램 배포자들이 잘 모르는 것이 보통이다.[1].
“제로 데이”라는 단어는 와레즈에서 공개일 이전 혹은 당일날 배포되는 해적판 소프트웨어를 지칭하기도 한다.[2]
[편집] 공격 매개 요소
맬웨어 제작자들은 제로 데이 대상물의 취약점을 여러 가지 경로로 공략할 수 있다. 예를 들면, 사용자들이 허위 (혹은 블랙햇) 웹 사이트에 접근할 때, 사이트의 코드가 웹 브라우저의 약점을 파고들 수 있다. 널리 사용된다는 점에서 웹 브라우저는 특히 더 대상이 되곤 한다. 해커들은 첨부 파일을 엶으로 인해 프로그램의 약점에 파고들 수 있는 SMTP를 통해 이메일을 보내기도 한다[3]. 특정 파일 타입을 더 선호하는 공격자들도 상당히 많은데, 이는 US-CERT 같은 데이터베이스에 그들의 출현 빈도가 증가하는 것에서 알 수 있다. 악의를 가진 사용자는 멀웨어를 만들어 이런 파일 타입의 프로그램을 이용, 시스템을 공격하거나 기밀 데이터를 훔칠 수 있다[4].
[편집] 무방비 시간대
제로데이 공격은 무방비 시간대가 위협이 개시된 시점과 프로그램 제작자가 패치를 내놓는 시점 사이에 존재할 때 일어난다.[출처 필요]
바이러스에 있어서, 트로이 목마나 다른 제로데이 공격의 경우, 무방비 시간대는 다음과 같은 전개를 보인다.
- 새로운 위협/대상 프로그램의 출현
- 새로운 공격 프로그램의 발견과 연구
- 새로운 해결책의 개발
- 패치 또는 공격 프로그램을 잡을 수 있는 업데이트된 서명 패턴의 발표
- 사용자의 시스템에 패치의 배포와 설치, 또는 바이러스 데이터베이스 업데이트[출처 필요]
이러한 전개는 몇 시간에서 며칠까지 이어질 수 있으며, 이동안 네트워크는 이른바 무방비 시간대를 통과하게 된다. 한 리포트에 따르면 2006년의 무방비 시간대는 28일 정도로 추정하고 있다.[5]
[편집] 보호
제로데이 보호란 제로데이 공격에 대항하여 대상 프로그램을 보호할 수 있는 능력을 말한다. 제로데이 공격은 개시된 이후에 며칠간 발견이 되지 않을 수 있다.[6].
제로데이 메모리 훼손 취약점을 제한하는 수많은 기술들이 존재하며, 그 예로는 버퍼 오버플로가 있다.[출처 필요] 이러한 보호 메커니즘은 애플의 매킨토시 OS, 마이크로소프트 윈도 비스타 Security_and_safety_features_new_to_Windows_Vista, 선 마이크로시스템 솔라리스, GNU/리눅스, 유닉스, 그리고 유닉스 계열 환경 등 많은 운영 체제에 존재한다. 마이크로소프트 윈도 XP 서비스팩 2에는 포괄적인 메모리 훼손 취약점에 대한 약간의 보호 메커니즘이 포함되어 있다[7]. 데스크탑과 서버 보호 소프트웨어 역시 제로데이 버퍼 오버플로 취약점을 완화시키기 위해 만들어져있다.[출처 필요]
포트 노킹 또는 단일 패킷 권한 데몬의 사용은 제로데이 공격에 대항하는 효과적인 보호막을 만들 수 있다. 하지만 이런 기술들은 대량의 사용자가 참여하는 환경에는 적절하지 않은 것이다.
화이트리스팅 기술도 제로 데이 위협을 효과적으로 막는다. 화이트리스팅은 좋은 것으로 알려진 프로그램 또는 기관의 시스템 접속만을 허가하며, 그로 인해 새롭거나 알려지지 않은 공격 프로그램은 접속이 차단된다. 화이트리스팅이 제로데이 공격을 막는 좋은 방법이긴 하나, HIPS나 바이러스 사전의 블랙리스트 같은 다른 보호 기법과 병행되지 않으면, 사용자에게 불편을 줄 수 있다.
제로데이 긴급 반응 팀, 또는 ZERT[8]는 제로데이 공격을 막는 비 제작자 패치를 배포하기 위해 결성된 소프트웨어 엔지니어들의 집단이다.
제로데이 공격을 막는 또다른 방법으로는 제품을 업그레이드하기 전에 적당한 기간을 기다리는 것이다. 보통 소프트웨어 배포자는 제때에 공격이 일어났음을 사용자들에게 알리곤 한다. 그러고 나서는 업그레이드/업데이트에 패치가 포함된다.
<크래커란?>
침입자(intruder) 또는 공격자(invader)라고도 하며, 소프트웨어를 불법으로 복사하여 배포하는 사람을 가리키기도 한다. 고의 또는 악의적으로 다른 사람의 컴퓨터에 불법적으로 침입하여 데이터나 프로그램을 엿보거나 변경하는 등의 컴퓨터범죄 행위를 저지르는 지능범을 가리킨다.
컴퓨터네트워크의 보급과 이용이 확대되면서 사회문제로 대두되고 있다. 한국에서는 이러한 컴퓨터 범죄에 대하여 해커와 크래커가 혼동되기도 한다. 특히, 해커는 컴퓨터 범죄자의 의미로 사용되는 경우가 훨씬 많아 범죄적 해커와 레크레이셔널 해커로 구분짓기도 한다.
그러나 해커는 정보의 공유를 주장하는 고도의 컴퓨터 전문가로서 컴퓨터프로그램의 발전에 기여한 긍정적인 측면이 있는 반면에 크래커는 악의적으로 범죄의 수단으로써 해킹 기술을 이용한다는 차이점이 있다. 이 때문에 해커들은 크래커를 자신들과 구별하여 '위험한 해커(dangerous hacker)'라는 뜻의 영어 글자를 따서 '데커(decker)'라고 부르기도 한다.
크래커는 이익을 추구하려고도 하지만 악의적이고 이타적인 목적이나 이유, 특히 보안시스템에 대한 도전으로 불법행위를 자행하는 경우가 많다. 이에 대하여 당사자들은 어떤 컴퓨터시스템의 보안이 취약하다는 것을 지적하기 위하여 하는 일이라고 주장하기도 하지만 범죄행위일 뿐이다.
이들은 공항 관제탑이나 발전소의 정보 시스템에 침입하여 가동을 중단시키고, 군사위성에 침투하기도 한다. 또 식품회사의 제조공정을 변경하여 독극물이 든 식품으로 변조하는가 하면, 경쟁 기업에 침투하여 극비에 속하는 개발정보를 빼내 판매하기도 한다. 이밖에 인터넷 홈뱅킹 관련자료를 입수하여 몰래 만들어 둔 가공의 계좌로 남의 돈을 이체한 예도 있다.
< 백도어와 트로이 목마 >
1) 백도어
크래커가 시스템에 침입한 후 자신이 원할 때 침입한 시스템을 재침입하거나 권한을 쉽게 획득하기 위하여 만들어 놓은 일종의 비밀 통로를 말한다. 이는 초기에는 주로 시스템에 문제가 생겼을 경우, 쉽게 시스템에 접속하기 위해서 시스템 관라자나 프로그래머등의 관리자가 의도적으로 만들어 놓은 비밀 통로였는데, 이후 크래커들에 의해 악의적인 목적으로 사용되고 있다.
2)
Trojan Horse
호감이 가는 유용한 프로그램으로 가장하고, 실제적으로는 악의적인 프로그램이나 코드를 포함하고 있는 프로그램을 말한다. 이는 정상적인 동작을 하는 것으로 보이거나 사용자가 쓰는 프로그램등으로 사용자를 현혹시킴으로써 특권을 획득한다.
2. 백도어와 트로이 목마의 차이점
트로이 목마의 경우, 특정 사용자 또는 프로그램이 실행에 의한 수동적인 방법에 의존한 것이며, 이는 사용자의 직간접적인 도움을 통해서 설치되거나 Bind되어진 프로그램이 실행되어 설치된다. 백도어의 경우 예전에는 관리의 목적으로 사용하기도 하였으나, 대부분 크래커들에 의해 권한이 획득된 후, 해당시스템에 추후 접속을 용이하게 하기 위하여 서비스 데몬 등을 수정하여 사용하고 있다.
3. 백도어의 유형
- 네트워크 데몬이나 시스템 유틸리티를 수정한 백도어
- TCP/UDP프로토콜을 이용한 Shell binding 백도어
- Kernel 모듈을 수정한 백도어
- 방화벽을 우회하는 백도어
4. 트로이 목마의 유형
- 인터넷의 자료실이나 warez 사이트 등을 통한 정상적이고 유용한 프로그램, 불법적인 크랙파일 이나 누드 사진 등의 사용자의 관심을 끄는 프로그램에 바인드되어 네트워크를 통한 원격제어
- Hidden Setuid shell
- UDP Bind Shell
악성코드 대응지침
I. 주의예방법
1. 정기적으로 백신프로그램 및 응용 프로그램 보안 업데이트
o 운영체제 및 MS사 응용프로그램 업데이트
업데이트나 패치작업이 서버 시스템에만 필요한 것은 아니다. 그러나 일반 PC이용자들은 자신 이 설치한 운영체제나 응용프로그램에도 보안상 취약점이 생길 수 있다는 사실을 모르거나, 크 게 관심을 두지 않는 경우가 많은데, 보안상 악성코드들의 주요 공격목표가되는 Microsoft社의 OS나 응용프로그램들에 대한 보안권고 사항을 주시하여, 권고사항을 따라야한다.
백신사들 마다 다소 차이는 있으나 매주 업데이트가 이뤄지고, 긴급한 경우 수시로 업데이트를 하기도한다. 정기적인 업데이틀 통해 검색엔진을 최신 버전으로 유지하고, 백신사에서 발표하는 경보를 주시해야 할 필요가 있다.
안철수연구소, 하우리 : 매주 수요일 정기업데이트
시만텍코리아, 트랜드마이크로 : 매주 목요일 정기업데이트 (미국시간으로 수요일)
※ 4개 백신업체 모두 긴급시 수시업데이트 및 실시간 업데이트 기능 제공
2. 잠재적으로 문제를 야기할 수 있는 설정들 점검
최근 제작되고 있는 악성코드들은 운영체제나 응용프로그램등에서 사용자의 편리를 위해 제공되는 기능들을 악용해, 사용자의 개입없이 자동으로 실행되도록 하는 경우가 많다. 그러므로, 잘못된 설정으로 인해 자신의 의지와 상관없이 악성코드에 의한 피해를 야기 할 수 있으므로 설정을 점검하여 다음과 같은 기능들을 비활성화 할
필요가 있다.
1) WSH (Windows Scripting Host) 기능의 비 활성화
WSH(Windows Scripting Host)를 비활성화 시키거나 제거하는 것이 첨부되어 온 .vbs 바이 러스로부터 감염되는 것을 예방할 수 있는 주요 방법 중 하나이다. 특히 VBS(Visual Basic Script) 와 같은 형태의 E-mail의 첨부파일을 통해 주로 전파되는 악성코드에 의한 감염에 있어 서는 WSH가 제공하는 기능성이 큰 위험요소로 작용한다.예를 들어 LoveLetter 웜과 같이 사용자의 개입 없이도, 자동으로 스크립트가 실행되도 록 제작된 것이 이런 기능을 이용한 것이다. WSH는 Windows의 선택적인 부분이고, 대부분의 사람들에게 필요하지 않은 기능이기 때문에 안전하게 제거할 수 있다.
Win98에서 WSH 기능 비활성화 방법
① 시작 → 설정 → 제어판 → 프로그램추가/제거 순서로 선택
② Windows 설치 탭 선택
③ 구성요소 → 보조프로그램 → 자세히 선택
④ 하단 부분에 Windows Scripting Host 항목체크 여부 확인
Win2000에서 WSH 기능 비활성화 방법
① 시작 → 검색 → 파일또는폴더 클릭
② 찾는 위치를 C 드라이브 또는 OS가 설치된 드라이브로 선택
③ wscript.exe 파일명 입력하고 검색 클릭
④ 꼭 필요한 사용자가 아니라면 wscript.exe 파일 삭제
☞ Wscript.exe 파일을 삭제하거나 이동시키면 .vbs 파일을 열려고할 때 해당 프로그램을 찾을 수 없다는 에러가 발생하게 될 것이나, 취소(cancel)버튼만 클릭해 주면 된다.
사전에 이 문제를 해결하고자 한다면 .vbs와 연결되어 있는 파일을 지워버리면 된다.
※ 윈도우즈 탐색기 실행 → 도구 → 폴더옵션 → 파일형식 → VBScript! 파일 삭제
2) 자동으로 스크립트를 실행시키는 연결 프로그램의 변경
윈도우즈 시스템에서는 실행가능 확장자를 가진 파일들은 연결프로그램에 설정되어 있는 프로그램을 실행시킨다. 컴퓨터 사용자의 실행여부에 관계없이 단독으로 실행될 수 있는 스크립트들의 연결 프로그램을 수정해 두면, 악성 스크립트코드의 실행을 미연에 막을 수 있다.
Win98 환경에서의 변경
① 내컴퓨터 → 보기 → 폴더옵션 → 파일형식 선택
② 등록된 파일형식 중 VBSscript , JScript 항목 선택
③ 파일형식 편집 → 기본값 설정 → 확인
Win2000 환경에서의 변경
① 내컴퓨터 → 도구 → 폴더옵션 → 파일형식 선택
② 등록된 파일 형식중 확장자가 다음과 같은 것을 확인
VBS, VBE, JS, JSE, SHS, WSF을 찾아 고급 선택
③ 편집 → 기본값 설정 → 확인
3) 파일 확장자의 숨김 설정 해제
윈도우즈에서 기본적으로 제공하는 파일이름의 확장자 숨김 기능은 편리하기도 하지 만, 최근 트로이목마의 공격이나 E-mail 바이러스 등에 자주 사용되고 있어 위험한 요소로 작용되고 있다. 예를 들어 pretty.jpg 라는 이름을 가진 파일은 숨김기능이 설정된 상태에서는 단지 pretty라는 그림파일로 보일수 있지만, pretty.jpg.exe라는 프 로그램 실행 파일을 숨긴 것 일 수 있다.
Win98 환경에서의 해제
윈도우즈 탐색기 실행 → 보기메뉴 → 옵션 → 모든 파일보기 체크 →"알려진 파일형식 확장명 숨기기" 체크 해제 → 확인
Win2000 환경에서의 해제
시작 → 설정 → 제어판 → 폴더옵션 → 보기 → "숨김파일 및 폴터 표시"체 크→ "알려진파일확장명 숨김"해제 → 확인
그러나, 불행하게도 Microsoft사의 Windows의 중요결함으로 인해 확장자 .shs, .pif , .lnk 등으로 끝나는 경우에는 숨김기능을 해제하더라도 보이지 않는다.Movie.avi.pif 파일과 life_stages.txt.shs 파일이 확장자가 숨겨져 Movie.avi와 life_stages.txt 파 일로 보일 수 있음을 주의해야 할 것이다.
4) 본적이 없었던 파일 확장자의 실행시 주의
E-mail의 첨부파일에 대해 파일 확장자나 파일형태에 따라, 세가지 등급으로 분류하고 있는데, 스크립트와 관련된 파일 확장자들이 Level 1 (Unsafe) 등급을 이루고 있다. 만약 MS-Exchange 메일서버와 Outlook 메일 클라이언트를 사용한다면, Level 1 등급의 파일이 첨부되어 있는 메일을 송수신할 때 경고 메세지로 알려줄 수 있으며, 저장하거나 전송하지 못하도록 설정할 수도 있다.
☞ Level 1 (Unsafe) 확장명
*.ade , *.adp , *.bas , *.bat , *.chm, *.cmd , *.com , *.cpl , *.crt , *.exe
*.hlp , *.hta , *.inf , *.ins , *.lnk , *.mdb , *.mde , *.msc, *.msi , *.msp *.mst , *.pcd , *.pif , *.reg ,
*.scr , *..sct , *.shb , *..shs ,*.url ,
*.vb, *.vbe , *.vbs , *.wsc , *.wsf , *.wsh
5) 드라이브/폴더 공유 해제
공유해야할 사항이 없다면, 가능한 공유설정을 하지 않는 것이 바람직하다. 공유가 꼭
필요한 경우라면 암호를 걸고 읽기 쓰기 권한을 제한적으로 부여하여, 네트워크 공유를 감염경로로 이용하면서 네트워크에 엄청난 부하를 일으켰던 Funlove, Nimda 등과 같 은 유형의 악성코드들의 공격을 예방할 수 있다.
① 탐색기에서 디렉토리나 드라이브를 선택 → 마우스 오른쪽 버튼클릭
② 등록정보 → "공유하지 않음" 에 체크
③ 공유를 해야하는 경우라면 "공유" 선택 → 사용권한 설정 → 암호설정 → 확인
6) MS-Word, Excel 등으로 문서작업시 매크로언어를 지원하지 않은 포맷이용
가능하다면 DOC나 XLS 포맷대신 RTF나 CSV(Comma-Separated Variable) DOC나 XLS 포맷대신 RTF나 포맷 대신 매크로 언어를 지원하지 않는 RTF(Rich Text Format)타입 또는 포맷을 사용함으로써, 매크로 바이러스에 감염되는 불행을 막을 수 있다.
※자세한 내용은 매크로바이러스 대응관련 기술문서 참조
3. 컴퓨터로 유입되는 모든 데이터를 검사하고 함부로 실행하지 말라
E-mail, Web페이지, 디스켓, 시디, LAN이나 인터넷이나 또는 자동 업데이트 되는 소프트웨어등에 의해 받아지는 값등, 여러 형태로 자신의 컴퓨터로 유입되는 것들에 주의를 기울 여야 할 필요가 있다. 특히, 100% 신뢰할 수 있는 사이트나 사람이 아니라면 한번 더 의심해보고 확인과정을 거쳐 파일을 실행하는 것이 좋다.
o 백신프로그램/방어용 프로그램등를 이용한 시스템 점검 및 모니터링
자신의 컴퓨터로 유입되는 메일이나 파일등이 악성코드로부터 안전한지 확인하고, 점검하는 것을 생활화 할 필요가 있다.이러한 점검 및 모니터링에 유용하게 사용할 수 있는 보안도구들을 소개한다. 그러 나 맹신적으로 설치하게 되면, 이들 프로그램들에 의한 탐지메세지, 경고메세지등으로 인해 사용상 불편을 겪거나, 해킹 또는 바이러스에 감염된 것으로 오인하여 불필요한 조치를 강구하는등의 오류를 범할 수 있으므로, 설치하기 전에 자신의 필요사항, 제품의 장단점등을 잘 고려하여 사용해야 한다.
※ 백신프로그램, 방어용소 프트웨어의 소개는 아래 홈페이지를 참고
백신프로그램 http://www.cyber118.or.kr/FAQ/virus2_5.html
개인방화벽등 방어용 소프트웨어 http://www.cyber118.or.kr/FAQ/hack1_02.html
II. 치료 및 복구방법
대부분의 사람들이 바이러스나 악성코드에 감염되면 먼저 불안한 마음과 걱정이 앞선다. 무엇을 어떻게 해야 할지, 치료는 어떻게 하고, 포맷을 꼭 해야하는 것인지, 난감해 한 적이 있었을 것이다. 컴퓨터 바이러스에 감염되더라도 당황하지 말고 의연하게 대처한다면 생각보다 어렵지 않게 복구할 수 있다는 것을 알 수 있을 것이다.
1. HDD포맷과 FDISK 사용은 가급적 피해야
바이러스나 악성코드에 감염되었을 때, 쉽고 확실하게 없애기 위한 최상의 방법으로 하드디스크 포맷을 말하는 사람들이 많다. 그러나 이는 최상의 방법이 아니다. 왜냐하면 대부분의 바이러스는 비교적 쉽게 치료가 가능하고, HDD포맷하고 운영체제 및 응용프로그램들을 설치하는데는 많은 시간이 소비되며, 제대로 백업이 이뤄지지 않은 상태에서 Format 이나 FDISK를 하면 중요한 데이터가 손실될 수 있기 때문이다.
2. 바이러스 감염증상을 정확하게 구별하자
컴퓨터에 이상이 있을 경우 먼저 소프트웨어상의 문제인지 아니면 하드웨어상의 문제인지 구분할 줄 알아야 한다. 그러나, 전문가가 아닌 일반인이 정확하게 구분하는 것은 어려운 일이다. 하드웨어 혹은 관련뉴스그룹이나 백신사이트 등을 통해서도 알 수 있지만, 바이러스의 존재여부를 알 수 있는 가장 좋은 방법은 여러분들이 사용하고 있는 백신프로그램을 일단 한번 실행하여 보는 것이다.
3. 바이러스의 위치를 파악하라
감염된 파일을 삭제하고 관련 응용프로그램을 새로이 설치하거나 백업파일로부터 감염된 파일을 복구하는 것을 권고한다. 감염된 파일을 깨끗한 원본파일로 복원하기 위해서는 정기적으로 데이터를 백업해 놓아야한다. 또한 백신프로그램으로 모든 드라이브를 스캔할 때 감염된 파일의 이름과 위치를 복구시에 활용할 수 있도록 스캔 결과 파일을 반드시 생성하도록 한다.
4. 바이러스를 제거하라.
백신업체에서는 대부분의 경우, 신종 바이러스에 대해 24시간 이내에 치료가능한 백신 프로그램을 제공하고 있다. 이러한 점에서도 백신프로그램의 신속한 업데이트가 바이러스의 예방 및 치료의 중요한 요소임을 알 수 있다.그러나 경우에 따라서는, 원본 파일이나 백업데이터가 있다면 감염된 파일을 삭제하거나 복구 하는 것이 백신으로 치료하는 것보다 더 안전할 수 있다. 백신프로그램으로 완전히 치료되지 못 하는 경우도 있기 때문이다. 감염된 파일에서 악성코드부분을 분리하여 삭제하는 것은 쉽지가 않아 완전히 치료하지 못할 경우 더 큰 문제를 일으킬 수 있기 때문에 치료는 감염된 파일에 대한 대체가 불가능 경우에만 하는 것도 좋은 방법이다.
o 메모리상주형인 바이러스를 치료하고자 할 경우
메모리상주형 바이러스를 치료하기 위해서는 일반적으로 깨끗한 부팅디스크로 부팅하여 DOS상태에서 탐지도구를 구동하여 치료하는 것이 바람직하다. 왜냐하면 바이러스가 메모리에 상주해 있을 때에 백신으로 치료하면, 감염된 파일에서는 해당 바이러스 코드는 사라져도, 다시 쉽게 파일들을 감염시키기 때문에 근본적인 해결책이 못되기 때문이다.
MS-DOS 모드로 부팅한 다음 백신프로그램이 설치되어 있는 디렉토리에서 백신프 로그램의 실행파일을 구동해 주면 된다.
※ 일반적으로 "C:Program Files백신프로그램명" 위치
o 실행중인 트로이목마를 치료하고자 할 경우
백신프로그램에 의해 검색되더라도 실행되고 있는 경우에는 치료나 삭제가 되지 않는다. 이를 치료하기 위해서는 구동되고 있는 트로이목마를 강제종료 시켜야만 한다. Ctrl+Alt+Delete를 눌러서 작업 관리자를 시작한 다음 응용 프로그램 탭을 클릭하고 백신프로그램에서 트로이목마로 검사된 파일명을 찾아 "작업 끝내기"를 클릭하면 종료되므로, 해당 파일을 삭제해 버리면 된다.
o 덮어 쓰기 바이러스(overwriting virus)에 감염된 경우
덮어쓰기 바이러스는 원래의 파일 정보를 바이러스가 파괴하고 자신이 차지하는 성질을 가지고 있다. 이러한 바이러스에 감염된 파일은 원래의 파일 정보가 손실되어 백신 프로그램이 바이러스를 제거하게되면 원래의 상태로 복원할 수 없게된다. 지난해에도 큰 피해를 입혔던 CIH 바이러스가 대표적인 예이다.
o 운영체제에 의해 접근이 거부되는 경우
윈도우즈가 실행되는 동안에는 바이러스가 치료가 되지 않는 경우가 종종 있다. 윈 도우즈 운영체제가 부트섹터나 메모리에 대한 보호 기능 (Protected Mode)을 가지고 있기 때문에 발생하는 것으로, 예전의 MS-DOS와 달리 백신 프로그램이 바이러스 제거를 위해 시스템의 부트섹터나 메모리를 변경하려고 시도하게되면, 윈도우즈 운영체제에서 이를 거부하여 바이러스를 치료할 수 없게 되는 것이다.이런 경우에는 깨끗한 디스켓으로 시스템을 부팅 한 후 MS-DOS 상태에서 모든 바이러스를 제거한 후 윈도우즈를 재부팅 해야 한다.
o 일부 웜바이러스의 경우
웜바이러스의 특성상 레지스트리에 변화를 가져오게 되는데 백신프로그램이 이를 원상태로 돌려주지 못하는 경우가 종종 발생한다. 또 다른 이유로는 바이러스를 치료한 이후에 치료 이전의 파일에 대한 백업 파일을 만들도록 설정되어 있는 경우 디스크의 용량이 모자라면 바이러스를 치료할 수 없다.이런 경우는 플로피 디스크에 있는 바이러스를 치료할 때 흔히 발생되는데, 이럴 때에는 바이러스가 발견된 파일을 하드디스크로 이동(move)시킨 후에 바이러스를 치료 하면 된다.
5. 데이터 복구
정상적으로 데이터를 복구하기 위해서는 정기적인 백업이 중요하다. 만약 데이터를 백업해 두지 않은 상태에서 중요 데이터가 삭제되거나 손상되어 꼭 복구해야하는 데이터가 있다면, 시스템에서 접근하지 못하는 상황에서 ScanDisk나 Defrag와 같은 시스템에 접근하는 응용 프로그램을 이용하여 복구하려고 시도하는 것이 정상적인 복구시에 더 많은 문제를 일으킬 수 있으므로, 전문 복구업체에 연락하여 복구하는 것이 가장 안전하다.
데이터가 손상되었을 때 복구율을 높이려면, 가능한 루트 디렉토리 밑에는 중요한 파일을 저장하지 말고, 정기적으로 디스크 조각 모음(Defragment)을 실행해 주고, 파티션을 나누어 사용하는 것이 좋다. 중요 데이터를 보관할 디스크 드라이브를 별도로 두고 해당 드라이브에는 데이터 저장 외에 다른 작업을 하지 않는 것도 좋은 방법이다.
|
'♠ 일 하 며 공 부 하 자 > 경비지도사 공부방' 카테고리의 다른 글
2012년 제 14회 경비지도사 2차-일반경비지도사 (q-net) 가답안 (0) | 2012.11.19 |
---|---|
테러리즘 (0) | 2012.07.25 |
대 테러부대, 주요 국제테러 조직 (0) | 2012.07.25 |
암살범의 특징 (0) | 2012.07.25 |
테러 발생 원인론 , 국가 대테러활동지침(대통령훈령47호) (0) | 2012.07.25 |