네트워크를 점유하는 바이러스를 확인하자

1. 네트워크 바이러스의 목적

네트워크 바이러스는 악의적인 사용자에 의하여 여러대의 PC를 감염시키고자 만들어지는 바이러스이다. 네트워크 바이러스는 감염된 PC와 동일한 위치(IP대역)의 PC를 모두 감염시키고자 하며 이렇게 감염된 PC를 이용하여 특정 서버를 공격(좀비PC를 이용한 DDOS공격)하거나 특정 정보를 빼내기 위하여 사용된다.

2. 네트워크 바이러스의 감염 경로

보통의 바이러스 감염 경로는 인터넷과 같은 서비스를 이용하는 PC가 특정 파일을 실행하거나 특정 서버에 접속하면서 감염이 된다. 하지만 네트워크 바이러스는 컴퓨터가 통신을 하기 위해 사용하는 모든 포트가 감염 대상이 될 수 있으며 특히 HTTP나 Telnet, SSH, FTP, SMB 서비스를 하는 서버는 더욱 감염이 손쉽게 이루어질 수 있다.

최근에는 이러한 네트워크 바이러스들이 좀 더 발전하여 동일한 IP대역의 PC를 무조건적으로 공격하는 것이 아닌 ARP(PC의 존재여부를 확인하는 프로토콜)를 이용하여 PC가 존재할 경우에만 공격하는 바이러스도 나타나고 있다.
또한 이동식 저장 장치가 많아짐에 따라 이동식 저장장치를 동시에 감염시켜 감염된 PC에 이동식 저장장치를 연결할 경우 Autorun 서비스를 이용하여 감염 시킬 수 있게 파일을 저장한다.
이러한 네트워크 바이러스는 인터넷이 발전하고 있는 현시대에 가장 위협적이며 네트워크를 통하여 전파하는 만큼 인터넷(네트워크) 속도를 느리게 하는 주 원인이 된다.

3. 네트워크 바이러스의 확인

네트워크 바이러스를 확인하는데 있어서는 여러 종류의 프로그램을 사용할 수 있다. 우선 감염 의심이 되는 바이러스의 전용 백신을 이용하여 확인해볼 수 있으며 네트워크 모니터링 프로그램을 통하여 확인하는 등 여러 방법이 있다.
하지만 전용백신을 이용하는 경우에는 많은 종류의 전용백신을 사용할 수 없기 때문에 네트워크 모니터링 프로그램과 윈도우의 프로세스 모니터링 툴을 이용하여 우선 확인을 하는 것이 중요하다.
현재 기존의 네트워크 모니터링 프로그램 중에 가장 많이 쓰이는 프로그램은 WireShark(구 Ethereal)이며 자신의 컴퓨터로 들어오는 모든 패킷을 확인할 수 있다. 하지만 WireShark의 경우 대량의 패킷이 흘러 들어오거나 네트워크에 대하여 잘 모르는 경우에는 구별하기 힘든 단점이 있다.
따라서 구별을 쉽게 하기 위하여 필터를 설정하여 볼 수가 있다.

다운로드 : http://www.wireshark.org/download.html

일반적으로 많이 쓰이는 공격 포트는 다음과 같다.

- SMB 서비스(윈도우 공유서비스) : 445
- HTTP서비스(WWW-웹 서비스) : 80
- FTP서비스(파일 전송 서비스) : 20, 21
- TELNET서비스(원격제어서비스) : 23
- SSH서비스(암호화된 Telnet-FTP 서비스) : 22

위의 포트 외에도 Terminal Service(3389), SQL(MYSQL-3306, MSSQL-1433, ORACLE-8080) 등의 다양한 포트를 지정하여 확인할 수 있다.
평소 사용하지 않는 포트인데도 불구하고 많은 양의 패킷이 올라온다면 공격으로 의심해볼 수 있으며 즉시 안티바이러스 프로그램을 이용하여 스캔해보기를 권장한다.

또한 WireShark뿐만 아니라 다양한 네트워크 모니터링 프로그램이 있는데 가장 쉽게 보기를 원한다면 TCPVIEW를 이용하기를 권장한다.
TCPVIEW는 MS 사이트에서 다운 받아서 볼 수 있으며 현재 사용중인 포트를 실시간에 가깝게 확인할 수 있다.

다운로드 : http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx

TCPVIEW는 사용중인 프로세스와 프로세스가 사용하는 IP 및 포트를 보여주기 때문에 분석하기 쉬우며 특히 File -> Save 메뉴를 이용하여 현재 네트워크 상태를 파일로 저장할 수 있기 때문에 깨끗한 상태의 PC의 상태를 저장해 놓는다면 네트워크 이상상태를 조금 더 쉽게 비교할 수 있다.
서버의 경우 네트워크 상태가 많이 나타나기 때문에 WinMerge를 이용하여 상태를 저장한 파일을 비교하면 조금 더 쉽게 분석할 수 있다.

다운로드 : http://winmerge.org/downloads/

네트워크 바이러스의 확인은 위와 같은 방법으로 확인할 수 있지만 시간이 지날수록 바이러스는 점점 진화하여 자신의 프로세스를 숨기고 네트워크 상태 모니터링을 막는 등 다양한 시도를 하고 있다.
따라서 위와 같은 방법으로 100% 확신을 해서는 안되며 항상 안티바이러스 프로그램의 업데이트를 수행하도록 하여야 한다.

(주)하우리 대응센터 자동화팀 연구원 조제경