미소띠움
악성코드 제작자는 나의 습관을 알고 있다 - 사용자가 실행하는 악성코드 - 1 본문
악성코드란?
이 글의 범주를 정확하게 하기 위해서 악성코드라는 단어의 의미를 명확히 하고 넘어갈 필요가 있다. Virus, Exploit, Worm, Trojan, Backdoor, Spyware, Adware, Not-a-virus, Grayware 등이 악성행위를 하거나 사용자가 원치 않는 파일(혹은 프로그램)을 지칭하는 대표적인 예가 될 것이다. 이렇게 모든 악성행위(사용자가 원치 않는)를 하는 파일(혹은 프로그램)을 통칭하는 가장 큰 범주의 표현이 “악성코드” 이다.
누구를 위해?
이 글은 악성코드에 대한 기본지식이 없는 사람들을 기준으로 최대한 자세히 쓰려고 노력했다. 악성코드를 예방할 줄 알고, 관심이 많은 분들이라면 조금 지루하게 느껴질 수도 있을 것이다.
무엇을 위해?
악성코드 제작자들이 즐겨 사용하는 사회공학적인 방법들 중에서 작은 관심과 간단한 조작만으로도 예방 가능한 것들에 대해 살펴볼 것이다.
USB 외부 저장장치의 자동 실행
이 방법을 사용하는 악성코드는 대체로 Virus와 Worm이 해당된다.
일반적으로 USB 외부저장장치를 사용자의 시스템에 연결하면 아래 [그림 1.] 과 같은 사용자 선택 창이 뜨게된다.
[그림 1.] USB 연결 시 작업 선택 창
일반적인 사용자의 행동 패턴을 생각해 보도록 하자.
해당 옵션이 체크된 채로 [ 폴더를 열어 파일 보기 ]가 수행된다면, 이 후에 이 장치가 연결될 때 마다 자동으로 탐색기를 이용하여 폴더가 열리게 된다.
이 때에 Autorun.inf 가 동작하게 된다.
(이 동작방식에 대한 부분은 2009-02-04 일자 보안 컬럼 참조)
링크 : http://www.hauri.co.kr/virus/dic/colum_security02.html?menu=UjU=&uid=89&cpage=1&key=&searchkey=
USB 외부저장장치는 그 성격상 사용자의 주요 데이터 백업에 많이 이용된다. 하지만, 이렇게 감염된 USB 외부저장장치는 연결과 동시에 악성코드에 감염되고 사용자는 “윈도우를 포멧해도 악성코드가 사라지지 않는다”고 느낄 수 있다. 실제로 2008년 12월 1일부터 현재까지 그 변종이 활동중인 Worm.Win32.Conficker 와Trojan.Win32.Crypt.15872.B(일명 2090 바이러스)의 경우 USB를 통해서도 전파가 되었고, 일부에서는 ‘디스크를 포멧해도 바이러스가 다시 동작’한다는 신문기사가 나오기도 했다.
( [그림 2.] 참조 )
[그림 2.] USB 외부저장장치를 통한 재감염 / 전파
이 신문 기사는 출현 당시에 추측을 통해 보도된 내용이며, 실제로 포멧을 해도 악성코드가 사라지지 않는 것은 아니었다. 아마도 당시 감염 후 포멧을 진행했던 사람들이 백업해 뒀던 USB 외부저장장치를 연결하며 재감염이 일어났던 것으로 보인다.
이 신문 기사는 출현 당시에 추측을 통해 보도된 내용이며, 실제로 포멧을 해도 악성코드가 사라지지 않는 것은 아니었다. 아마도 당시 감염 후 포멧을 진행했던 사람들이 백업해 뒀던 USB 외부저장장치를 연결하며 재감염이 일어났던 것으로 보인다.
USB 외부저장장치 사용시 안전한 컴퓨팅 습관 기르기
[ 선택한 동작 항상 실행 ]옵션은 체크 해제 하도록 한다.
Anti-Virus, Anti-Spyware 제품으로 악성코드가 있는지 진단해보도록 한다.
탐색기를 이용해 접근할 경우에는 왼쪽 버튼 더블 클릭보다는 오른쪽 빠른 메뉴를 이용하여 [ 탐색(X) ]명령을 실행하도록 한다.
Comments