활동중인 백도어를 발견했다면 무얼 어떻게 해야할까?

2007. 11. 20. 15:10Avast기술정보

활동중인 백도어를 발견했다면 무얼 어떻게 해야할까?


만약 내 PC에 기생하여 백그라운드로 활동하고 있는 백도어가 있다면 무엇을 어떻게 해야할지 걱정이 이만저만이 아닐 것입니다.

그저 바이러스나 웜 정도라면 우리가 알고 있는 백신 프로그램을 찾아서 설치한 후 검사를 통해 제거하면 될텐데 백도어는 그렇게 호락호락 우리가 검사해 낼 수도 없고 바이러스 백신 프로그램으로 찾아내기도 힘이 듭니다.

우연하게 백도어가 있음을 확인하였다면 반드시 PC상에서 백도어를 제거시켜야 합니다. 백도어를 제거하기 위한 고민 사항은 무엇일까 생각해 보겠습니다.

일부 백도어나 트로이목마에 해당하지만...

본 내용은 사실 일반적으로 모든 종류의 바이러스나 말웨어에 해당하는 것은 아닙니다.  특히 일반 바이러스나 EXE 감염된 파일 또는 Boot/MBR 감염 파일에 대한 것은 더욱 아닙니다.  이는 일부 백도어(backdoor)와 일부 트로이목마/웜(특히 키로그나 비밀번호 스틸)의 위협에 대해 적용가능한 내용입니다. 그럼에도 불구하고 이런 대처방안이 필요한 이유는 매우 크다고 생각합니다.

만약 내 PC에서 활동하는 백도어가 있다면...

만약 당신의 시스템 상에서 활동하고 있는 백도어(키로거/비밀번호 스틸)가 있다면 어떤 도움이 필요할지에 대해 정보를 공유해 보고자 합니다.

"백도어의 활동"이란 여기서 백도어 그자체가 운영체제 시스템 상에 설치되어 있는 것을 말합니다. 즉, 프로그램 시작 항목에 등록되어 있어서 실행중이거나 레지스트리를 변경하여 악의적 파일이 시스템 상의 어딘가에 존재하면서 악의적인 활동을 하는 그런 종류의 백도어가 현재 실행되고 있다는 것을 의미합니다.

WINODWS/WINNT 나 SYSTEM32/SYSTEM 폴더에서 실행중인 백도어 파일을 발견할 수 있도 있을 것입니다. 그러나 만약 백도어나 트로이목마가 아래와 같은 폴더에서 어베스트 실시간 방어가 이를 발견하여 차단하고 있다면, 그러면 그런대로 다행이라고 생각하셔도 될 것입니다. 그 이유는 해당 백도어가 비활동성이며 어떤 치명적인 피해를 줄 수 있도록 아직 운영체제 상에 감염되어 있지 않기 때문입니다(물론 이미 윈도우 시스템에 감염되었을 수도 있겠지만 말이죠).

- Temporary internet files
- TEMP-folders
- 새로운 Download/Email (전혀 클릭하거나 활성화하지 않았는데도 발견됨)


만약 백도어가 활동중에 있다면 해야할 일은


모든 비밀번호를 변경

적어도 이런 백도어를 찾아내어 완벽하게 제거한 후에 모든 비밀번호를 변경하셔야 하는 것입니다. 이 말의 의미는 PC에 있는 모든 관리자 및 사용자 비밀번호를 변경해야 한다는 것입니다.

특히 PIN 번호 같은 경우 (온라인 뱅킹이나 쇼핑몰 등에서 사용하는 비밀번호)
비밀번호나 다른 미감한 데이터가 PC 상에서 어디엔가 있고 이들이 암호화되어 있지 않다면 반드시 비밀번호를 변경하여야 합니다.


비번 변경이유는?

백도어의 감염이 발견되면 여러분의 PC에서 사용자가 키보드를 통해 입력하는 모든 중요한 비밀번호나 센서티브한 데이터가 이미 해커의 손에 넘겨졌기 때문입니다.
 
보통의 경우 사용자들은 자신의 비밀번호를 대부분 확실히 기억하지 못하고 또는 어떤 비밀번호가 어떻게 사용하였는지 알지 못한 채 인터넷을 사용한 경우가 많아서 구체적으로 어떤 비밀번호가 누출되었는지 알 수 없는 경우가 많습니다.


백도어 제거

비밀번호를 변경하라고 말씀드렸지만 사실 PC에서 백도어를 먼저 완전하게 제거하고 제거를 확신한 이후에 모든 비밀번호를 변경하시기 바랍니다. 제거를 할때는 인터넷에서  랜 케이블을 빼고 하시면 더욱 확실합니다.

만약 백도어 제거를 시작하기 전에 관리자/사용자 비밀번호를 변경하는 것은 백도어를 제거한 이후에도 다시 비밀번호를 해커에게 알려주는 결과를 초래하므로 백도어 제거가 완료된 후 비번을 변경하시기는 것이 바람직합니다.



또다른 제안(PC 포맷?)

어떤 사람들은 완전하게 시스템을 포맷하라고 충고하는 경우도 있습니다. 이는 확실하지 않으면 믿지못한다는 논리에 의거한 것인데 어떻게 보면 가장 완벽한 방법이라고 할 수 있습니다.  PC 상에 어떤 의심스러운 사용자가 접속했다면 자신의 시스템 상에 모든 데이터를 읽거나 수정하거나 삭제할 수 있다는 것을 의미하고 자신의 비밀번호, PIN 번호 기록이나 로그를 확보할 수 있기 때문에 치명적인 보안사고가 발생할 수도 있게 됩니다. 예를들면 쇼핑몰에서의 아이디/비번과 카드 비밀번호 노출을 통해 지불이 이루어질 수도 있을 것입니다.


포맷을 하기전에 고려사항이 있습니다:

포맷을 하기전에 시스템의 주요 보안 이슈나 민감한 데이터가 무엇인지를 결정하여야 합니다. 물론 여러사람들이 웹서핑이나 게임만을 사용하는 경우를 제외하고는 모든 대부분의 PC는 이런 정보를 확실하게 알고 있어야 합니다.

시스템을 재설치하라는 것은:

시스템 포맷을 하고 재설치하는 것은 백도어 감염 이전 상태로 되돌린다는 이야기 입니다. 이를 위해서는 데이터 백업, 서비스팩, 윈도우 업데이트, 패치, 중요 드라이버, 이메일, 주소록, 연락처, 주요 설정값 등을 먼저 백업하여야 합니다. 이런 백업이 바로 포맷전의 중요 고려 사항입니다.


  1. 하드를 포맷합니다 : "FORMAT C:" (시스템이나 윈도우 파티션을 포함하여)
  2. 온라인 연결하지 않고 오프라인 상태에서 윈도우 재설치
    인터넷에 먼저 연결되어 있다면 네트워크 상에서 자동으로 웜바이러스에 감염되기 때문에 온라인을 제거한 후에 재설치 하십시오.
  3. 모든 서비스팩, 중요패치, 업데이트를 오프라인으로 설치 또는 방화벽 안단에서 설치
  4. 시스템을 복구 복원하기 전에 백신을 설치하고 먼저 바이러스나 백도어를 상세히 검사 어베스트에서는 철저분석을 통해 검사합니다.
  5. 시스템 복원후에 모든 비밀번호 및 보안 관련 내용 들을 변경합니다.

이와 같이 자신의 PC에 백도어나 트로이목마가 있다면 신중하게 처리하여야 합니다. 단순하게 백신만을 사용하여 제거하기를 시도한다면 해커는 여러분의 PC를 영원히 장악하고 있을 것입니다. 순진한 해커들은 자신의 PC를 단순히 좀비로 만들어 스팸메일 정도나 보내고 말겠지만 악의가 많은 해커라면 여러분의 비밀정보로 무엇을 할지 예측하기 어려울 것입니다.

어베스트 안티바이러스(http://www.avast.co.kr)