우리가 백신을 치료하게 되면 다양한 웜이나 바이러스를 백신업체에서 진단을 하게 됩니다. 그런데 보통 보면 알수없는 긴 문장의 바이러스 이름이 눈에 보이게 됩니다. 보통 네이밍을 보면 대충 의미 파악을 할수는 있으나 자세한 내용을 알지 못합니다.

그런데 인터넷을 하다가 그 궁금증이 해결이 되었습니다. 바로 다음과 같이 네이밍을 한다고 합니다. 물론 정해져 있는 것은 아니겠지만 이러한 형태로 네이밍 하는 것은 분명 할 것입니다.


대부분 벤더들은 CARO(Computer Antivirus Research Organization)라는 스킴을 사용하는데 위 그림을 참고 하시면 되겠습니다.

1. type :  12type이 있는데 예를들면 TrojanDownloader 또는 Droppers 등의 용어가 쓰입니다. 현재 위 그림은 Worm
              이라고 나타내고 있습니다.

2. Platform: 말 그래도 플랫폼을 이야기 하는데 "Win32" API 에서 32bit 나 64 bit에서 적용되는 데스크탑용이나
                  서버 운영체제를  말 합니다. 윈도우 운영체제를 말하고 있네요

3. Family Name : 패밀리 네임은 유니크한 것으로 늘 맬웨어 저자와 상관이 없는 경우도 있으며 새로운 다양한
                         기술이 있으면 새로운 이름으로 네이밍 하기도 합니다.

4. Variant : 웜이나 바이러스 제작자가 변이를 만들어 내어 보통 A부터 Z까지 네이밍 하게 됩니다.
                 처음엔 AA~AZ, BA~BZ등등

5. Additonal infomation: 새로운특성이 나타날때 코멘트나 정보를 달아 줍니다. 
                                                                                                        -출처: MS security Intelligence Report


늘 웜이나 바이러스 체크 할때나 진단할때 나타난 네이밍을 보면 궁금한 점이 있었는데 이제는 어느정도 이해가 가는 군요. 물론 이것이 표준은 아니겠지만 해당 벤더나 업체 특성상 비슷한 스킴으로 네이밍을 하고 있을 것입니다. 그것은 우리가 같은 웜이나 바이러스를 진단하여도 진단명이 조금씩 틀리다는 것에서 알수 있습니다.  하지만 대부분 CARO 스킴을 사용하고 있다고 하니까 대동소이 하지 않을까 합니다.  혹시 궁금증이 조금 풀리셨나요?


Posted by 엔시스



최근 PC를 사용하다보면 자신도 모르게 이상현상을 일으키는 일이 있습니다. 그것은 수 많은 웹사이트 방문으로 자신도 모르게 악성코드가 PC에 설치되어 있는 경우가 많습니다.

따라서, 정기적인 점검이 필요하며 그런한 현상을 drive-by-download 라 지칭을 합니다. 아마도 제일 많이 감염되는 것이 바로 동영상을 클릭하여 볼때 설치되는 엑티브엑스 같은 것이 아닐까 생각해 봅니다.

아래 동영상 한번 참고 해 보시기 바랍니다.  영어의 압박은 늘 자신을 탓하게 되는군요..눈치껏 알아 들으세요 T.T  영어 잘하시는 분들 있으면 밑에 간략한 써머리 정도 해 주셔도 좋을 듯한데...대충 감만 잡아도 성공..



 




Posted by 엔시스

며칠전 부산블로거모임에 참여를 했다가 아직도 보안에 대하여 모르고 계신 분들이 많으셔서 어려운 보안보다는 쉬우면서 재미있는 보안으로 또는 한번씩 따라해 볼수 있는 초보자 보안에 대하여 살펴 보도록 하겠습니다..대체적인 의견이 보안에 대한 포스팅은 너무 어렵다는 것이었습니다.


우선 가장 관심이 많은 부분들이 자신의 PC가 안전한지 살펴 보는 것이겠죠..지금 이 내용은 가장 초보적인 눈높이고 하는 것이니만큼 이미 아시는 분들은 그냥 참고만 하시면 되겠습니다..제가 이런 것들을 기획한 것에 대해서는 추후 한번 정리하여 느낌을 적어 보겠습니다.


1. 우선 내 PC의 상태를 점검해 보자

가장 중요한 부분으로 자신의 PC의 현재 상태를 살펴 보는 것이겠죠..그러기 위해서는 각종 백신으로 한번 점검을 해 보아야겠습니다..인터넷 상에서 무료로 제공해 주는 백신이 많이 있으니 하나를 선택하여 설치해 봅니다..

많은 종류의 백신들이 있지만 대표적으로 V3나 알약 같은 것을 설치하여 점검을 해 봅니다..아무리 초보적인 부분이라고 해도 방향을 잡는 부분만 언급 할 것이니 굳이 설치하는 것까지 일일이 언급하지 않겠습니다..

그럼 점검 결과에 따라 내 PC상태를 알수 있겠죠...바이러스가 걸렸는지 ...아닌지...


2. 직접 상태 점검 해 보는 방법


1) 메뉴에서 실행명령을 타이핑 합니다..


                                [그림-1] cmd 명령어 실행

2) 명령어 창에서 netstat -an 이라고 타이핑 합니다..


                                                           [그림-2]  netstat -an 명령어 실행

위 내용을 보시면 실제  프로토콜이 보이고  자신의 PC IP와 포트가 좌측에 보이고  외부에 접속하는 외부 어드레스가 보입니다.
그리고 제일 우측에 보이시는 상태값이 보입니다..

  • LISTENING - 이것은 언제든지 포트가 열러있어 받아 들일 준비가 되어 있다는 이야기입니다.  로컬어드레스나 외부어드레스가 리슨하고 있다는 내용입니다. 언제든지 접속 할수 있다는 내용이지요..
  • ESTABLISHED - 실제 자신의 PC와 외부 디바이스와 컨넥션이 일어났다는 이야기이다..그것은 외부 아이피 어드레스를 보면 알수가 있습니다.



>netstat 명령어

  • Proto : 현재 netstat -an 명령어 실행시에 나타나는 열린 포트에 프로토콜을 말해 주는 것으로서 보통 TCP/UDP를 나타내어 준다.
  • Local Address : 현재 자신의 PC에서 나타나는 IP정보와 포트번호를 보여 줍니다.
  • Foreign Address : 외부에서 나에 PC에 연결되어 있는 IP정보와 포트정보를 보여 줍니다.
  • State : 상태값으로서 현재 LISTENING 는 서비스 준비가 되어 있다는 뜻입니다.
  •                                     ESTABLISHED는 실제 서비스가 연결이 되어 있다는 뜻입니다.
  • PID : 여기서 말하는 PID는 프로세스 ID로서 PID값을 알면 어떤 프로세스가 어떤 프로그램에 연결이 되었는지 알수가 있습니다. 따라서 실제 자신의 PC에서 해(害)가 되는 프로세스라고 하면 이 PID값을 찾아 제거하면 되겠습니다.



그래서 이러한 가장 간단한 명령어로 의심가는 포트가 열려있는지를 확인해 보는 것입니다..가장 쉬우면서도 자신의 PC에 어떤 포트가 열려 있는지 알수 있습니다..



                                                       [그림-3] netstat -ano 명령어 실행시     


로컬은 내 PC에서 열린 아이피와 포트를 알려주고 있으며, 포린어드레스에는 브라우져로 접속한 외부 서버IP나 기타 내 PC와 접속한 IP를 보여주고 있습니다. 그리고 상태값은 [리스닝]과 [Establish] 등 형태로 있으며, 보통 [establish] 같은 경우에는 내pc와 실제 컨넥션을 맺고 있는 상태이므로 집중적으로 그 프로그램과 프로세스, ip 등을 집중적으로 연구해 볼 필요가 있겠습니다. 물론 내 pc에서 정당하게 사용하고 있다면 제외입니다.


자신의 PC에서 어떠한 프로세스와 포트가 열려있는지를 먼저 파악하는 것이 우선이며 이러한 부분은 다음 강좌를 통하여 하나씩 풀어갈 예정입니다. 하나씩 하나씩 윈도우와 리눅스등에서 그냥 간편하게 할수 있는 보안에 대하여 풀어보겠습니다.


이렇게 한가지씩 가장 간단한 것부터 순차적으로 초보분들이 보안에 관심을 가져 볼수 있도록 콘텐츠를 꾸며볼 생각입니다.


맺음말

무료로 제공해주는 여러가지 악성코드 바이러스 웜제거 프로그램도 있지만 이렇게 자신의 PC에서 간단한 명령어 하나로 인하여 자신의 PC의 헬스체크를 할 수있습니다. 그것은 현재 나의 PC에 어떤 어플리케이션이 어떤 PID와 어떤 포트를 사용하여 외부에 연결이 되었는지를 알수 있는 것입니다.

간단한 방법이면서도 매우 중요한 방법이라 생각이 듭니다. 물론 응용어플리케이션을 사용하는 것이 더 쉽고 간편하겠지만 그렇지 못할 경우 바로 알아 볼수 있는 방법입니다. 참고 하시면 좋겠습니다.

 

Posted by 엔시스


최근에 웜,바이러스 확산으로 인하여 자주 PC를 점검할 필요성이 있습니다..그런 가운데 웜이나 바이러스는 대부분 프로세스를 동작 시키게 되어 있습니다...하지만 이러한 작업관리자에서의  변조된 프로세스 확인은 쉽지 않습니다..

첨부하는 유틸리티로 확인 하시면 훨씬 쉽습니다...참고 하시기 바랍니다..

Posted by 엔시스

브라우져 말썽이 새로운 것을 알아내다.

오늘 우연히 PC 작업을 하다가 새로운 사실을 발견 하였습니다.  그건 아주 간단하면서 흥미로운 것이었습니다.

며칠전서부터 자꾸 브라우져가 멈추는 현상이 계속더니 끝내는 이젠 자주 다운이 되는 것이었습니다..원인을 아무리 찾으려 해도 찾을수 없어 결국 운영체제를 다시 설치하게 되었습니다.

그래서 기존에 나누어졌던 하드디스크 드라이버 중에서 백업이 된 하드디스크는 나두고 기존운영체제가 깔린 곳을 포멧을 하고 다시 설치하였습니다.

우리가 항상 운영체제를 설치하다 보면 파티션을 나누는 부분이 있습니다..그런데 이곳에 아무런 생각없이 기존 파티션을 지우고 새로 생성을 시키고  그렇게 하여 엔터키를 치면서 설치를 하였습니다.


뒤바뀐 하드디스크 드라이브 명

문제는 모두 설치 하고 나서 다음과 같은 화면을 볼수 있었습니다...


사용자 삽입 이미지
그림을 보면 알겠지만  하드디스크를 나누는데 드라이브 문자열이 바뀐 것을 알수 있다.

그러니까  C가 D가 되고 D가 C가 된 것입니다.,.지금은 D드라이브에 윈도우 운영체제가 깔려 있는 것입니다,.

앞으로 여러가지 응용프로그램은 D에 깔리는 것입니다.

처음에 이런 현상을 보고 왠지 자꾸 헷갈리는 것 같아 다시 설치하려고 했습니다...왜냐하면 자꾸 D드라이브에서 데이터를 찾을려고 하기 때문입니다...습관이란 건 정말 무섭습니다..


웜이나 바이러스 공격이나 자동화 되는 공격의 노출에 방어

그런데 곰곰히 생각해 보았습니다..  웜이나 바이러스 , 스파이웨어 같은 프로그램들은 스크립트로 짜여진 경우가 많습니다.

그리고 자동적으로 우리가 흔히 많이 쓰는 디렉토리 경로에서 파일을 변조 하거나 숨겨서 실행 하기도 합니다.  보통 "C\windows\system32 " 라는 디렉토리를 많이 이용을 합니다.

시스템 파일이 많이 모여 있기 때문입니다..그런데  설령 웜이나 바이러스에 감염이 된다고 하더라도 위의 논리로 따지자면 드라이브명이 바뀌었기 때문에 C에서 찾을 수가 없지요..


윈도우 운영체제 파일은 꼭 C드라이브에만 설치 해야 하는가?

그런 생각에 다다르다 보니까  재설치를 하기 보다 오히려 보안 적인 측면에서 더욱 강화를 시킬수 있겠다는 생각을 했습니다.  재설치 안해도 되고 보안적으로 강화되고....

그 이후에 응용프로그램을 여러개 더 설치 하였는데 D드라이브에 아무런 에러 없이 잘 설치가 되었습니다.. 꼭 운영체제나 응용 프로그램을 C드라이브에 설치 안해도 된다는 것입니다. 그건 위에서 말한 자동화 된 웜이나 바이러스 , 스파이웨어로 부터 안전하다는 것입니다.

당연히 있어야 할 C\windows\system32 파일에 있어야 할 파일들이 드라이브명 변경으로 없으니까요..


마치는 글

남들이 보면 아무것도 아닐수도 있습니다..하지만 보안을 연구하는 사람으로서는 늘 여러가지 아이디어에 집중을 합니다..그 가운데 신문 기사에도 DDOS 공격이 나올때면 속수 무책인 실정을 보면 분명 무슨 대책이 있어야 할 것이라고 늘 생각했습니다.

아주 사소한 것이지만 고정관념을 벗어나 버리게 되면 여러가지로 창의적인 아이디어를 창출해 낼수 있다는 교훈을 얻을 것입니다..원래 알고 보면 별거 아닌거 , 남이 이미 하고 난 거면 별거 아닌거라고 생각하지만 창의성은 이런 곳에서 출발한다고 생각합니다. 이제 우리는 윈도우 설치시에 운영체제를 꼭 C에 설치 하지 말고 C드라이브가 아닌 다른 곳에 설치 함으로 인하여  조금 더 보안성 강화에 힘쓸수 있다고 생각합니다..^^  그런데 드라이브가 바뀌니까 헷갈리긴 햇갈립니다.,.금방 익숙해 지겠지요..^^



Posted by 엔시스

윈도우 서버에 접속이 불안정하거나 아예 네트워크가 안된다는 신고를 받았다..이때에 외부로 핑테스트를 하여도 네트워크는 대답을 하지 않는다.

어떻게 된 것일까?

사용자 삽입 이미지


우선프로세스에 의심스러운 프로세스를 찾아 보았다...오호..전부 정상인거 처럼 보인다..
눈으로 봐선 모른다..이렇때 사용하는 것이 툴이다...

사용자 삽입 이미지

프로세를 추적하여 확인해 보니 svc.host를 가장한 이상한 프로그램이 점유하고 있었다. 그것은 그림에는 안 보이지만 패스워드 크랙 프로그램이 사용하고 있었으며 https 포트를 오픈하여 사용하고 있었다.

사용자 삽입 이미지

또한 기본적으로 guest 계정은 사용 불가로 설정 되어 있는데 위 그림을 보면 연결이 끊어진걸로 봐서 이미 컨넥션이 되었다가 끊어 졌다는 이야기이다..

결론

최종적으로 확인한 결과 해당 운영체제는 윈도우2003이었으며 패치가 안된 상태였다. 그리고 윈도우에서 제공 하는 기본 윈도우 방화벽도 설정이 안된 상태이다. 그렇다 시스템 해킹은 별거 아니다. 기본적인 사항을 안 지켰기 때문에 해킹을 당한 것이다. 패치란 것은 어떤 취약점이 생겨서 보완하는 수단으로 나온 것이인데 그 패치를 하지 않으니 좋은 먹이감이 되었다. 다행히 아직 런칭하지 않은 서비스라 그리 영향을 받지는 않았지만 해당 담당자는 많은 것을 느낄수 있었던 계기가 되었을 것이다.



Posted by 엔시스
TAG , 패치, 해킹

2006년 10월 KISA에서 제공하는 해킹 바이러스 신고 접수 현황을 보면 다음과 같다.

 
사용자 삽입 이미지
                                            <출처: KISA >

  여전히 웜/바이러스가 월등 많으며  10월 한달 유형별 처리 현황을 보더라도  스팸릴레이에  대한 수치가 여전히 높다는 것을 알수 있다.  특히, 스캐닝 같은 단순 침입시도 건수도 많은 걸로 보아  정보보호 부재로 인한 피해를 예감할수 있다.  실제 스팸릴레이 같은 경우 도용을 당하게 되면 시스템에 과부하 형태로 인하여 퍼포먼스가 떨어지게 되며  올바른 서비스에 지장을 주게 된다.

한가 더 주목할 점은 피싱 경유지로 97건이나 접수 되었다는 사실이다.  피싱은 미국에서나
있고 국내에서는 잘 안 일어날 것 같지만 실제로는 많다는 사실을 인지해야 한다.

홈페이지 변조등도 관리가 안되고 있는 싸이트들이 많아 그 캠페인의 일환으로 지금 KISA에서 휴먼홈페이지 정리 사업도 진행 중이다.

앞으로 정보보호에 대한 중요성은 더욱 커지고 해당 정보보호 담당자의 역할도 더욱 커진다는 것을 이러한 통계만 보아도 알수 있을 것이다.


Posted by 엔시스

출처: PC사랑 2006-8월호

구멍 뚫린 보안, 내 PC는 안전한가?
어떤 악성코드에도 끄떡없는 튼튼 PC를 만들자!


가짜 금융 사이트를 만들어 개인 정보를 빼내는 피싱 공격이 10배 이상 늘어나고 컴퓨터에 몰래 숨어 들어가서 시스템을 파괴하거나 다른 PC를 공격하도록 유인하는 악성 봇(Bot)도 크게 늘었다. 바람 잘 날 없는 인터넷이다. 이런데도 우리나라 OS 시장의 대부분을 차지하고 있는 마이크로소프트(이하 MS)는 2006년 7월부터 윈도 98의 업데이트를 하지 않겠다고 발표했다. 간단한 문서 작업을 하거나 음악을 듣고 인터넷을 하기에는 쓸만하기에 윈도98을 쓰는 사람들은 아직도 많다. 이런 때에 MS의 윈도 98 업데이트 중단 발표는 윈도 98 유저들에 대한 외면이랄 수밖에 없다.
윈도 98이 업데이트 되지 않으면서 생기는 가장 큰 문제는 보안에 큰 구멍이 생긴다는 것이다. 나날이 발전하는 해킹 수단이나 바이러스, 웜 등에는 꾸준한 보안 업데이트가 없으며 무방비로 노출될 수밖에 없기 때문이다. MS는 "윈도XP는 보안이 강하다"고 목소리를 높이고 전문가들도 "만족스럽지 않지만 윈도 98보다 외부 공격에 잘 견디도록 설계되었다"고 입을 모은다. 2004년 9월 서비스팩 2가 나오면서 상황이 나아졌지만 아직 부족한 점이 눈에 뜨인다. 더 이상 업그레이드가 없는 윈도 98, 서비스팩 2로도 안심할 수 없는 윈도XP. 어떤 것을 조심해야 하는지 하나씩 점검해본다.

[PC 보안-Ⅰ] 윈도는 최신인가?

2003년 8월 12일 인터넷을 공격한 블래스터 웜은 감염된 PC를 1분마다 재부팅한다. 전원이 켜지고 정확히 1분 뒤 시스템이 재부팅되므로 윈도를 쓰지도 못할뿐더러 웜을 치료할 틈도 없었다. 하지만 이미 7월 16일에 MS가 내놓은 보안 패치(MS03-026)를 했다면 막을 수 있었다.
2004년 4월에 비슷한 증상으로 네티즌들을 괴롭혔던 새서(sasser) 웜도, 2003년 1월 25일 국내 인터넷망을 초토화시킨 슬래머 웜도 패치만 미리 깔았다면 아무런 피해도 입지 않았을 것이다.
패치(patch)는 소프트웨어에 생긴 허점을 메우는 작은 프로그램을 통틀어 가리킨다. MS도 운영체제에서 발견된 오류를 해결하는 패치를 정기적으로 내놓는데, 보안과 관련된 것을 '보안 패치'라고 부른다(마이크로소프트는 이를 '핫픽스'라고 한다.)
패치를 반드시 해야 하는 이유는 운영체제에 오류가 있어서만은 아니다. 블래스터, 새서, 슬래머 웜에서 드러났듯이 시스템 공격자들은 MS가 내놓은 코드를 분석해서 윈도에 어떤 구멍이 있는지 알아낸다. 그리고 이를 공격하는 악성 코드를 만들어 인터넷에 뿌린다. 흔히 악성코드가 피해를 입히면 그제야 패치가 나온다고 생각하지만 그 반대일 수도 있다. 악성코드보다 먼저 스스로의 약점을 알아내 패치가 먼저 나올 때도 있다.

업데이트 확인하기
패치는 윈도 업데이트 사이트(update.microsoft.com)에서 내려 받으면 저절로 깔린다. 이 사이트에는 보안 패치 외에도 최신 드라이버와 유틸리티 등이 가득하므로 윈도의 성능을 높이는 데도 도움이 된다. 윈도 업데이트는 시작 → windows update 또는 익스플로러의 도구 → windows update를 누르면 윈도 업데이트 사이트에 접속한다.
여기서 ‘빠른 설치’와 ‘사용자 지정 설치’ 버튼이 있다. ‘빠른 설치’는 중요한 패치를 알아서 다 받아주고, ‘사용자 지정 설치’는 이용자가 원하는 것을 골라 받는다. ‘사용자 지정’ 버튼을 눌러 ‘자세한 정보’를 열면 현재 등록된 패치를 볼 수 있다. 이것들을 내려 받으려면 ‘설치’ 버튼을 누르면 된다. 윈도 업데이트 사이트에서 받은 패치 목록은 왼쪽의 ‘업데이트 내역 검토’에서 확인한다.

자동 업데이트 설정하기
중요한 패치가 나왔는지 확인하려고 날마다 윈도 업데이트 사이트를 찾을 순 없다. 윈도 XP의 ‘자동 업데이트’는 새로운 패치가 나오면 즉시 알려준다. 자동 업데이트에 관한 명령은 시작→설정→제어판→자동 업데이트에서 정한다. 여기에는 ‘자동’ ‘업데이트를 다운로드하고 이용자가 원하는 시간에 설치’ ‘업데이트 정보를 사용자에게 알리지만 자동으로 다운로드하거나 설치하지 않는다’ ‘자동 업데이트를 사용하지 않는다’ 등 4가지 옵션이 있다.
① 업데이트 사이트에서 파일을 내려 받는다. 이 과정은 PC 이용자에게 보고되지 않는다.내려 받은 파일은 매일 오전 3시에 깔린다. 만약 이 시각에 PC가 꺼져 있다면 다음에 켰을 때 깔린다.
② 백그라운드로 파일을 내려받는 것은 ‘자동’과 같다. 하지만 미리 정환 시각에 자동으로 깔리는 게 아니라 작업 표시줄에 ‘업데이트 파일을 설치할 준비가 끝났다’는 아이콘이 뜬다. 이 아이콘을 눌러 업데이트한다.
③ 윈도 업데이트 사이트에 새로운 파일이 올라오면 아이콘이 뜬다. 이것을 눌러 파일 전부나 일부를 내려 받는다. 필요한 것을 다 받으면 다시 아이콘이 뜬다.
④ 자동 업데이트를 쓰지 않는다. 이때는 윈도 업데이트 사이트에 자주 접속해서 새로운 파일이 올라왔는지 확인한다.


외부 공격을 막기 위해 보안 프로그램을 까는 것은 너무나 당연하지만 하루가 멀다 하고 새로운 악성코드가 나오면서 보안 프로그램만 믿을 수는 없다. 최근의 악성코드는 독립적인 파일로 실행되는 게 많아서 실행을 멈추면 피해를 줄일 수 있다. 현재 실행 중인 프로세스 중에서 무엇이 악성 코드인지 아는 것은 쉬운 일이 아니다. 따라서 평소에 실행 프로세스에 관심을 갖고 있어야 긴박한 상황에서 도움을 받는다.

프로세스 확인하기
프로세스는 현재 이용자가 실행한 프로그램의 실행 파일과 시스템을 운영하기 위해 시스템이 실행한 프로세스 두 가지가 있다. 현재 실행중인 프로세스도 아니고 시스템이 실행한 프로세스도 아닌 것이 CPU를 많이 쓰거나 메모리를 많이 차지하고 있으면 해당 프로세스를 의심해야 한다. 일반적으로 이용자가 쓰는 프로그램 이름은 쉽게 알 수 있다. 포토샵은 photoshop.exe이고 한글은 hwp.exe다. 그렇다면 윈도가 돌아갈 때 필요한 기본 프로세스가 어떤 것인지 알아두자.



explorer.exe윈도의 기본 쉘이다. 이용자가 파일을 클릭하거나 프로그램을 실행하면 이 쉘이 윈도에 전달한다.
internat.exe키보드 입력 로케일을 관리하는 프로세스다. 트레이에는 현재 한영 상태를 표시한다.
taskmgr.exe작업 관리자의 실행 파일이다. 프로세스를 확인하기 위해 작업 관리자를 열었기 때문에 나타난다.
csrss.exe윈도 생성, 쓰레드, 16비트 가상 MS-DOS 모드를 관리한다.
winlogon.exe이용자가 로그인할 때 뜨는 프로세스다.
lsass.exe이용자 인증이나 보안에 관련된 부분을 관리하는 프로세스다.
mstask.exe보통은 보이지 않지만 예약 작업을 관리한다.
system쓰레드를 만들고 실행하는 윈도의 기본 프로세스다.
spoolsrv.exe프린터의 스풀링을 담당한다.
winmgmt.exe윈도의 클라이언트를 관리한다. 클라이언트의 요청에 따라 초기화 등을 한다.
svchost.exe윈도 라이브 파일인 dll 파일로 실행되는 프로세스를 관리한다. 이런 프로그램이 많으면 svchost.exe도 그만큼 생긴다.
services.exe윈도의 백그라운드 서비스를 관리한다.

[표 1] 윈도의 기본 프로세스의 이름과 역할


표에 있는 것은 말 그대로 가장 기본적인 프로세스들이지만 이용자의 PC에 따라 조금씩 다를 수 있다. 수상한 프로세스가 있지만 어떤 프로세스인지 잘 모른다면 www.liutilites.com/products/wintaskspro/processlibrary에 접속해 보자. 여기서 프로세스 이름을 검색하면 시스템 관련 프로세스인지 웜이나 악성 프로그램인지 알려주므로 도움이 된다. 웜이나 스파이웨어가 확실하다면 키를 눌러 ‘작업관리자’를 띄운 뒤 ‘프로세스’ 탭을 누른다. 의심이 가는 프로세스를 끝내려면 그것을 골라 ‘프로세스 끝내기’ 버튼을 누른다.

시작 프로그램을 정리하자
앞에서 본 것처럼 작업관리자에서 프로세스를 멈췄다고 해도 윈도 시작 프로그램으로 등록되어 있으면 윈도가 시작할 때마다 다시 뜬다. 그러므로 프로세스뿐 아니라 시작 프로그램도 찾아봐야 한다. 윈도 시작 프로그램을 정리하는 방법은 세가지가 있다.
시작→프로그램→시작 프로그램 폴더에 등록된 것을 없애거나 msconfig 프로그램, 레지스트리에 등록된 것을 지우는 것이다.

첫째, 시작 프로그램 폴더에 등록된 것을 지우는 것은 쉽다. 시작→프로그램→시작 프로그램을 고르고 여기에 바로가기 아이콘을 고른 뒤 마우스 오른쪽 버튼을 눌러 ‘삭제’를 고른다.

둘째, 시작→실행을 누르고 msconfig라고 치고 엔터 키를 눌러 ‘시스템 구성 유틸리티’를 실행한다. ‘시작프로그램’ 탭을 고르면 윈도가 시작할 때 뜨는 프로그램 목록이 뜬다. 윈도에 깔아놓은 프로그램이 많으면 여기에 등록된 것이 많다. 체크 표시를 빼면 된다. 다음 표는 윈도 시작 프로그램에 등록되는 프로그램이다. 여기서 어떤 것을 빼고 어떤 것을 빼지 말아야 하는지 고민해야 한다. 이 부분이 시작프로그램 관리에서 가장 중요하고 어려운 부분이다. 이용자마다 쓰는 프로그램이 다르기 때문에 자신의 PC에서 필요한 것인지 아니지 판단할 수 있는 기준이 없다. 모두 이용자가 PC에 깔린 응용프로그램에 대해 필요한 것인지 아닌지를 판단해야 한다.



실행 파일 이름설명
LoadPowerProfile전원관리 프로그램으로 윈도의 전원관리를 한다.
ctfmon고급 입력 로케일 프로그램이다. IME 한글 입력기다. 한영 입력을 한다.
IMJPMIGctfmon과 함께 필요한 프로그램이다.
TINTSETPINJPMIG와 더불어 ctfmon에 필요한 프로그램이다.

[표 2] 윈도 XP를 처음 깔았을 때 msconfig에 등록된 시작 프로그램


실행 파일 이름설명
AhnSD안철수연구소 V3 백신 프로그램
daemon DAEMON Tools데몬툴 가상 CD 프로그램
NeroCheck네로 버닝롬 체크 프로그램
msmsgsMSN 메신저 프로그램
autoupdate응용프로그램의 자동 업데이트 프로그램

[표 3] 윈도 기본 시작 프로그램 자주 등록되는 프로그램


체크 표시를 해제하면 실행되지 않는다. 자신이 잘 모르는 프로그램을 해제하면 시스템에 이상이 생길 수 있으니 정확히 아는 것만 없앤다. ‘확인’을 누른 뒤 윈도를 다시 시작한다.

셋째, 앞선 두 가지 방법을 써도 작업 관리자에 프로세스가 뜬다면 레지스트리에 등록된 것이므로 이것을 손봐야 한다. 시작→실행을 누르고 regedit라고 치고 레지스트리 편집기를 연다. HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft → Windows → CurrentVersion → Run 키를 찾는다. 오른쪽 창에 시작 프로그램 목록이 뜬다. 여기서는 자신에게 필요 없는 것을 골라 Del 키를 눌러 지운다.

불필요한 프로그램은 지운다
PC를 쓰다 보면 많은 프로그램들을 깔아서 쓰게 된다. 또한 내가 모르는 사이에 내 PC에 깔리는 프로그램도 생긴다. 이런 프로그램들 중에서 일부는 불필요한 것도 있을 수 있고, 하드디스크 용량과 메모리를 차지해서 PC의 성능을 떨어뜨리고 보안을 위협하기도 한다. 따라서 반드시 필요한 프로그램 외에는 지우는 게 좋다.
시작 → 제어판 열고 ‘프로그램 추가/제거’를 고른다. ‘프로그램 추가/제거 등록정보’ 창이 열리면 내 PC에 깔린 프로그램들이 무엇인지 볼 수 있다. 내가 깔지 않은 프로그램을 찾는다. 지울 프로그램을 고른 뒤 ‘추가/제거(R)…’ 버튼을 눌러 지운다.

윈도 98와 윈도 XP에서 ‘계정’이라고 하는 것은 PC 이용자를 뜻한다. PC를 켰을 때 아이디와 암호를 넣는 것은 윈도에게 이용자가 누구인지를 알려주는 것이다. 윈도 XP는 계정이 administrator(관리자)와 guest(제한된 이용자) 두 가지다. 계정을 이렇게 나누는 것은 시스템을 관리하는 권한을 구분하기 위해서다. Administrator는 윈도 설정을 바꾸고 프로그램을 지우거나 깔 수 있다. 제어판의 모든 명령을 제약 없이 이용한다고 생각하면 된다. 반면에 guest는 이미 깔린 프로그램을 쓰는 것에 만족해야 한다. 계정을 만들 때는 암호도 정하는데, 어렵게 만들지 않으면 쉽게 노출된다. 일부 이용자들은 암호를 치는 것이 귀찮거나 걸지 않은 PC라면 누구나 쉽게 볼 수 있고, 인터넷을 통해 침입할 수 있다. PC를 안전하게 지키는 암호를 거는 게 좋다.

윈도를 쓰려면 계정과 암호를 넣어라!
로그인 암호는 부팅 단계에서 이용자를 확인하는 바이오스 암호와 달리 윈도에서 이용자를 확인하는 것이다. 윈도에서 로그인 할 때 등록된 이용자만 컴퓨터를 쓸 수 있도록 해준다. 로그인 창에서 이용자는 자신의 사용자 이름과 암호를 치면 윈도를 쓸 수 있다.
다른 사람의 방해를 받고 싶지 않거나 외부 공격으로부터 자유롭기 위해서라도 계정은 반드시 필요하다. PC 한 대를 여럿이 쓸 때는 프라이버시를 위해서, 혼자 쓸 때는 혹시 모르는 침입을 막기 위해 계정을 만들어서 암호를 걸어놓는다.
계정을 만들려면 시작→제어판을 고르고 ‘사용자 계정’ 아이콘을 누른다. 사용자 계정이 뜨면 administrator(또는 자신의 계정)가 보일 것이다. 암호를 걸려면 자기 계정으로 들어가 ‘암호 만들기’를 누른다. 만약 새로운 계정을 등록하려면 계정 창에서 ‘새 계정 만들기’를 누른다. ‘새 암호’ 항목에 암호를 집어넣고 ‘확인하기 위해 다시 새암호 입력’에도 똑같이 친다. 마지막에는 암호를 잊어버렸을 때를 대비해서 ‘암호 힌트’를 넣는다. 이것은 꼭 입력할 필요는 없다. 만약 암호를 없애려면 지금 ‘암호 변경’ 창에서 지금의 암호를 쓴 뒤 ‘새암호’ 칸을 비워놓으면 된다.

암호는 복잡하게 쓰자
암호를 만들 때 대부분 숫자나 자신이 기억하기 쉬운 단어 등을 이용해서 암호를 쓴다. 그러나 이런 암호는 해커들이 쓰는 간단한 프로그램을 이용하면 쉽게 알아낼 수 있다. 암호는 되도록 복잡한 것을 써야 안전하다. 반대로 너무 복잡한 암호를 만들어 놓고 잊어버릴까봐 암호를 수첩에 적어놓거나 심지어는 책상 근처에 메모해 놓아 다른 사람이 보게 되는 수도 있다. 몇 가지 예를 보자.

① 00000
② password
③ dlwlgn2575
④ EJrqhRdl


①은 너무 쉬운 번호라서 암호로 적당하지 않다. ②는 길이는 적당하지만 영문 단어이므로쉽게 노출 된다. ③은 영어와 숫자가 8자리 이상으로 조합되어서 적절하다. ④는 비록 영어로만 구성되었지만 한글 ‘떡볶이’인 쌍자음이 들어갔다. 즉 대소문자가 섞여 있어 쉽게 알아내기 힘들다. 암호를 만들 때는 숫자와 문자(대문자, 소문자)로 만들고 특수문자(!@#$%^&* 등)까지 넣으면 해킹의 위험은 거의 없다고 할 수 있다.
비교적 긴 길이의 암호라도 입력하는 모습을 다른 이가 보면 추측을 해서 알아낼 수 있다. 또한 해킹 기술의 일종인 ‘스니핑’을 쓰면 암호를 알아낼 수 있다. 스니핑은 일종의 도청기술로서, PC에서 송수신되는 데이터를 해커에게 보내준다. 암호 역시 스니핑에 의해 네트워크에 노출될 수 있다. 따라서 일정 시간이 지나면 암호를 바꾸는 게 좋다. 적어도 3개월 정도마다 한 번씩 바꿔주는 게 좋다.

쓰지 않는 계정을 막아라
윈도 XP는 이용자 계정뿐 아니라 여러 가지 시스템 관리 계정이 생긴다. 제어판의 사용자 계정에서 보이지 않을 뿐이다. 이런 관리자와 사용자 계정은 시스템의 주요 설정에 대한 권한을 갖느냐의 차이에 따라 위험성이 다르다. 이미 깔린 프로그램을 쓰는 것이 전부인 사용자에 비해 관리자는 프로그램을 깔고 시스템 설정을 바꾸는 등 권한이 막강하므로 시스템을 망가뜨릴 수 잇다. 계정을 막으려면 시작 → 실행을 누르고 lusrmgr.msc라고 치고 엔터 키를 눌러 ‘컴퓨터 관리’를 연다. 계정을 막으려면 계정 목록에서 쓰지 않는 계정을 찾아 계정을 마우스 오른쪽 버튼으로 누르고 ‘속성’을 고른 뒤 ‘계정 사용 안함’을 체크한다. 그렇다고 모든 계정을 막는 것은 바람직하지 않다. 이용자가 만든 계정이나 guest 계정을 중지시키는 것은 상관없지만 PC가 쓰는 계정(ASPNET, HelpAssistant 계정 등)까지 막으면 프로그램 실행에 문제가 생길 수 있다.

2001년 9월 17일 미국, 유럽, 라틴 아메리카에 퍼진 ‘님다’ 바이러스는 다음날 저녁 한국에 상륙하면서 엄청난 피해를 입혔다. 님다 바이러스는 e메일로 퍼졌지만 공유폴더를 뚫고 들어오기도 한다. 님다뿐만 아니라 win32/parite, win32/lovgate.worm 등도 공유폴더로 침입해서 시스템을 감염시킨다. 공유폴더는 다른 사람과 자료를 공유하려고 네트워크에 만들어놓는 저장 공간이다. 집으로 치자면 문을 활짝 열어놓는 것과 같아서 사고의 위험이 많다. 그런데도 쓰는 이유는 그만큼 편하기 때문이다. 예를 들어, 회사에서 프로젝트를 진행할 때 관련 자료를 공유폴더에 놓으면 동료들이 공유폴더에서 자료를 쉽게 끌어와서 읽거나 편집할 수 있다. 공유폴더를 쓰더라도 보안에 각별히 신경을 써야 한다.

공유폴더 만들기
윈도 XP는 보안 기능이 뛰어나서 계정과 암호를 모르면 절대로 폴더나 파일을 읽을 수 없다. 따라서 고유폴더를 만들더라도 완전 공개가 아니라 계정과 암호를 알아야만 읽을 수 있게 설정하는 게 좋다. 공유폴더를 만들 때는 ‘읽기 전용’으로 해서 혹시나 모르는 외부 침입을 막는다. 만약 다른 사람에게 자료를 쓰는 권한을 주더라도 이는 믿을 수 잇는 사람만 쓸 수 있게 한다.
네트워크에 개방할 폴더를 만들려면 마우스 오른쪽 버튼을 누르고 ‘속성’을 고른다. 공유 폴더의 등록 창에서 ‘공유’ 탭에 있는 ‘이 폴더를 공유’를 체크한다. ‘공유’ 탭이 없으면 탐색기의 도구→ 폴더 옵션 → 보기 탭에서 ‘모든 사용자에게 동일한 폴더 공유 권한 지정’의 체크 표시를 없앤다. 이제 같은 ‘작업 그룹’(제어판→시스템→’컴퓨터 이름’ 탭의 ‘변경’ 버튼)에 속한 사람들은 이 폴더를 자유롭게 드나들 수 있다. 접속자를 제한하려면 이 창에서 ‘사용 권한’을 누른다. Everyone은 작업 그룹의 모든 사람을 가리킨다. 내 공유폴더에 들어오는 모든 사람에게 같은 권한을 준다는 얘기다. 이들이 읽기만 하게 하려면 ‘읽기’를 ‘허용’으로 한다.

관리 목적 공유폴더를 없애라
공유폴더는 아이콘에 손바닥 그림이 붙기 때문에 탐색기에서 바로 알 수 있다. 하지만 깊숙이 숨어 있는 공유폴더라면 찾기 어려울 수도 있다. 모든 공유폴더를 확인하는 방법은 ‘컴퓨터 관리’다. 제어판→관리도구→컴퓨터 관리를 눌러 창을 띄운 뒤 왼쪽 창에서 공유폴더→공유를 누르면 오른쪽에 공유폴더가 나타난다. 그런데 여기에는 C$, D$와 같이 내가 공유하지 않은 드라이브까지 공유된 것으로 나온다. 이것은 ‘관리목적 공유폴더’라고 한다. 풀이하면 ‘컴퓨터나 네트워크 관리를 목적으로 만든 폴더’다.
네트워크에 연결되는 순간 각 PC의 모든 드라이브가 공유되었기 때문에 시스템들을 손쉽게관리할 수 있다. 하지만 이 관리목적 공유폴더는 보안이 취약하다. IP 주소, 관리자 계정의 ID와 암호만 알면 누구나 쉽게 뚫고 들어올 수 있다. 2004년의 win32/IRCBot.worm도 이 폴더를 공격했다. 이 폴더는 개인 이용자에게는 필요 없는 것이다. 공유하지 않도록 바꾸면 그만큼 안전해진다. 하지만 마우스 오른쪽 버튼을 눌러 ‘공유중지’를 시켜도 그때뿐이다. 재부팅하면 다시 생긴다. 따라서 레지스트리를 고쳐 공유하지 않도록 바꾸자.
시작 → 실행을 누르고 rdgedit라고 쳐서 레지스트리 편집기를 연다.
HKEY_LOCAL_MACHINE→System→CurrentControlSet→Services→LanmanServer→Paramaters를 연다. 오른쪽 창에서 AutoShareWks 키를 골라 오른쪽 버튼을 눌러 ‘수정’을 고른 뒤 값을 0으로 바꾼다. 키가 없다면 빈 곳에 마우스 오른쪽 버튼을 눌러 등록→DWORD 값을 고른 뒤 이름을 AutoShareWks로 바꾸고 값을 0으로 한다. 레지스트리 편집기를 닫는다. 재부팅을 한다. 관리목적 공유폴더가 사라졌는지 확인하려면 제어판→관리도구→컴퓨터 관리를 열고 컴퓨터 관리→시스템 도구→공유 폴더→공유를 눌러 C$와 D$ 등이 있는지 본다.


네트워크는 물리적으로는 통신망을 연결하는 것이지만 논리적으로는 ‘포트’(port)를 통해 인터넷을 항해하고, e메일을 주고 받고, 메신저로 대화를 나눈다. 포트는 0번부터 65,536번까지 있다. 이 중에서 0~1,023은 인터넷 표준 기구인 IANA(internet assigned numbers authority)가 관리하는 ‘잘 알려진 포트’(well known port)다. 그 중에 대표적인 것을 살펴보면 웹은 80번, FTP는 21번, 텔넷은 23번이다. IANA는 이처럼 가장 일반적인 인터넷 서비스에 대한 포트를 정해서 혼란을 막는다. 이런 기준이 없다면 어느 웹 서버는 포트가 80번이지만 또 다른 웹 서버는 90번이면 웹 서비스를 제대로 이용할 수 없을 것이다. IANA는 1,024 포트부터는 따로 규칙을 정하지 않고 누구나 자유롭게 쓸 수 있게 했다. 따라서 메신저, P2P 프로그램은 1,024 이후의 포트를 이용한다. 예를 들어 스타크래프트 배틀넷은 6112 포트다.

포트에 대해 헛갈리지 않으려면 ‘애플리케이션’이라고 이해하는 게 좋다. 앞에서 웹은 80번 포트를 쓴다고 했다. 이를 “내 PC의 80번 포트와 웹 서버의 80번 포트가 연결된 것”으로 오해할 수 있는데 80번 포트는 서버의 포트다. 시스템을 웹 서버로 꾸미는 애플리케이션이 뜨면서 80번 포트를 열어놓고 접속을 기다리는 것이다. 따라서 우리가 웹 사이트에 들어갈 때는 80포트를 통과하지만 그곳에서 받은 정보가 내 PC로 들어올 때는 1,024 이후의 포트를 이용한다. 내 PC는 몇 번 포트로 웹 서비스를 받는지 궁금하겠지만 운영체제가 그때그때 비어있는 포트를 쓰게 하므로 포트가 정해진 후에야 알 수 있다. 이렇듯 포트를 통해서 데이터를 주고 받는 통로는 이론적으로 6만5천537개나 된다. 그 수만큼의 통로가 외부에 열려 있어서 언제 공격 당할 지 모른다. 이를 막기 위한 안전장치가 ‘방화벽’이다. 수많은 포트 중에서 정상적인 것만 열어놓고 나머지를 닫는다.

윈도 XP의 방화벽
윈도 XP가 처음 나왔을 때는 방화벽이 들어 있지 않아 방화벽 프로그램을 깔아야 했지만 윈도 XP는 서비스팩 2에 방화벽을 포함시켜 누구나 쉽게 방화벽으로 PC를 보호할 수 있다. 제어판의 방화벽에는 ‘사용(권장)’ ‘예외 허용 안 함’ ‘사용 안 함’ 3가지 옵션이 있다. 이것을 이용해서 포트를 관리한다.

① ‘사용(권장)’은 윈도 방화벽의 기본 값이다. 이것은 ‘예외’ 탭에 등록한 프로그램이나 서비스를 뺀 나머지 신호를 막는다. 예를 들어 ‘예외’ 탭에서 ‘원격 지원’과 ‘파일 및 프린터 공유’를 체크하면 외부에서 이 시스템을 원격 접속하거나 네트워크가 다른 시스템과 파일이나 프린터를 이상 없이 공유한다.
② ‘예외 허용 안 함’ 탭에 등록한 프로그램이나 서비스를 비롯해 대부분의 외부 통신을 무조건 막는다. 이 상태에서는 인터넷, e-메일, 메신저와 같은 가장 기본적인 서비스만 이용할 수 있다. 라디오를 듣거나 호텔이나 공항과 같은 공공 네트워크에는 연결하지 못한다. 위험한 바이러스나 웜이 인터넷에 퍼질 때는 이 옵션을 이용하면 PC를 안전하게 보호할 수 있다.
③ ‘사용 안 함’을 체크했을 경우 방화벽이 해제되면서 외부로 연결된 모든 문이 열려 자유롭게 신호가 드나든다. 네트워크가 지나치게 자유로워지므로 피해를 입기 쉽다.

바이러스도 문제지만 웜이나 스파이웨어 등을 차단하는 기능까지 합쳐져 백신이라기보다는 종합 보안 프로그램이라고 할 수 있다. 이런 프로그램들은 웜 바이러스를 미리 알아채고 이미 감염되어 있는 것을 없애준다.
우리나라에서는 안랩의 ‘V3 프로’, 외국에서는 노턴안티바이러스 등 많은 보안 프로그램이 잇다. 어떤 것을 쓰느냐는 이용자의 몫이고 PC에는 하나씩 보안 프로그램을 깔아 주는 게 좋다. 정품 소프트웨어를 구입해서 쓰거나 보안 업체에서 배포하는 프리웨어를 이용해도 된다. 보안 프로그램을 깔았다고 끝나는 것이 아니다. 꾸준하게 관리하는 자세가 필요하다.

바이러스 검사를 자주 한다.
백신을 깔아 놓아도 웬만한 것은 막아주지만 그래도 PC 전체를 검사하는 작업을 자주 해주는 게 좋다. 이용자가 직접 수동으로 검사할 수도 있지만 예약을 해두면 정해진 주기마다 자동으로 검사하게 할 수 있다. 다만 자동 검사는 PC가 켜져 있을 때만 작동한다. 그렇지만 이용자가 PC를 쓰는 시간에 검사를 하면 PC가 느려지는 등의 문제가 있으므로 점심시간 등 이용자가 PC를 쓰지 않는 시각으로 정하는 게 좋다.
예를 들어 V3 2004는 V3 프로그램을 열고 도구→ 예약 검사를 골라 예약 검사 창을 연다. 예약 검사 창에서 ‘추가’ 버튼을 눌러 ‘검사 주기’와 ‘검사 대상’을 정한다. 적당한 시각과 대상을 고르면 자동으로 바이러스 검사를 한다.

바이러스 엔진은 최신으로 유지하자
웜 바이러스는 신종 또는 기존 것의 변형이 나타나는 속도가 매우 빠르다. 나날이 발전하고 늘어나는 웜 바이러스를 백신프로그램이 탐지하려면 백신업체가 서비스하는 최신 엔진을 항상 유지해야 한다. PC가 인터넷에 연결되어 있다면 간단하게 업데이트를 해주는 자동 업데이트 옵션을 써서 업데이트를 할 수 있다. ‘V3 프로 2004’ 창에서 현재 엔진의 날짜를 확인하고 최신의 것이 아니라면 백신 엔진을 최신의 것으로 업데이트해야 한다. 이전 버전의 엔진이 탑재된 백신 프로그램으로는 자주 검사한다 하더라도 새로운 웜 바이러스는 탐지할 수 없으니 중요하다. ‘V3프로 2004’ 에서 수동으로 업데이트 하려면 왼쪽 위에 있는 ‘업데이트’ 버튼을 누르면 된다. 업데이트가 끝나면 엔진의 날짜가 최근 것으로 바뀐다. 매번 수동 업데이트하기가 귀찮다면 예약 검사처럼 업데이트도 자동으로 하게 설정한다. ‘스마트 업데이트 유틸리티’창을 열고 ‘환경 설정’ 버튼을 누르고 ‘예약 설정’ 탭을 고른다. ‘추가’ 버튼을 누르고 ‘주기’ ‘요일’ ‘시각’을 정하고 확인을 누르면 예약이 된다.

실시간 감시는 항상 켜놓자
예전의 백신 프로그램은 바이러스에 감염된 뒤에 치료하는 방식이었지만 요즘 나오는 백신이나 보안 프로그램은 감염을 미리 막는데 노력한다. 이것이 ‘실시간 감시’ 기능이다. 파일이나 e메일, 메신저 등을 감시해서 바이러스가 있다면 이를 읽지 못하게 해서 감염을 막고 치료하는 것이다. 어떤 이들은 실시간 감시가 윈도를 느려지게 한다면서 꺼놓으라고 하기도 하는데 안전을 생각한다면 반드시 켜놓자.
V3 프로 2004창에서 ‘실시간 검사’ 부분을 보면 실시간으로 검사하고 있는 항목을 확인할 수 있다. ‘시스템 감시’ ‘인터넷 감시’ ‘시작 프로그램 감시’ ‘POP3 감시’ 등이다. On은 가시하고 있다는 것이고 Off는 감시하지 않는다는 뜻이다.

From PC사랑 2006년 8월호

Posted by 엔시스
국가사이버 안전센터 9월호에 따르면 아직도 교육기관이 여전히 해킹 사각지대로 나타나는걸을 알수 있다.  지난 블로깅에서도 이야기했다시피 어찌 보면 아이러니 한 사항일지도 모른다
그건 아마 가장 취약할수 있는 중,고등학교에 관련 전담인력이 없어서 일지도 모른다.

사용자 삽입 이미지

위그림에서 알수 있듯이 아직도 웜 바이러스에 의한 사고 유형이 많으며 이는 해당 운영체제 담당하시는 사람들의 마인드에서 비롯되지 않은가 생각한다.  웜과 바이러스는 최신 운영체제 패치만으로도 상당한 효과를 거둘수 있기 때문이다.

또한 그림3에서는  교육기관과 지자체가 단연 절반에 가까운 사고를 당한걸로 나타난다. 이는 중앙행정기관에서 일괄적으로 처리하는 형태보다는 각 지자체에서 전담할수 있는 인력이 있어 바로 현장에서 처리할수 있는 인력이 필요할 것이다.  사실 , 해당 기관에 인력이 있는지 없는지는 알수가 없다. 만약, 있다고 하면 담당자는 자신의 역할을 다하지 못한 것이다.

다음 포스팅에는 왜 교육 기관이 항상 많은 사고를 당하는지와 그 해결 방안은 없는지에
대한 포스팅을 해 보고자 한다.


사용자 삽입 이미지

그리고 주요 사고 유형별 현황을 보면 지난 1년단 웜,바이러스에 대한 사고가 많으며 최근에는 중국발(中國發) 해킹으로 인하여 여러가지 해킹의 난이도 및 자동화툴로 인하여 해당싸이트에 숙주해 있다가 패치가 안된 운영체제를 사용하는 유저가 접속하게 되면 그 파급효과는 상당한 것이다.

따라서 그런 수치는 7월 이후로 계속 꾸준히 증가하고 있으며 근본적인 대책이 강구가 되어야 할것이다.  그것은 정보보호에 대한 인식의 확대와 마인드를 함양함으로 인하여 나 스스로가 정보보호에 대한 관심을 가짐으로 인하여 1.25 대란과 같은 사항을 막을수 있을 것이다.

<전주현>
Posted by 엔시스