뉴스레터
과거의 ‘도둑’이라 하면 담을 넘고 집에 침입해 갖가지 금품과 현금을 몰래 훔쳐가는 사람을 지칭했다. 하지만 요즘의 도둑은 예전처럼 발로 뛰지 않는다. 자신의 방안에 앉아 컴퓨터를 이용해 온갖 것을 훔쳐낼 수 있다. 특정 사용자의 컴퓨터에 접속해 금융거래 정보나 중요한 자료들을 빼내기도 한다.
이 뿐만이 아니다. 범죄대상이 된 컴퓨터에 카메라나 마이크 등이 장착돼 있다면 사용자의 사생활이 고스란히 노출될 수 있다. 실제 컴퓨터에 은밀히 저장해 뒀던 정보들이 사용자도 모르는 새 각종 웹하드 사이트에 올라오는 사례도 종종 일어난다.
또한 이 도둑은 범죄대상의 컴퓨터를 사용해 또 다른 컴퓨터를 공격하기도 한다. 범죄대상은 자신의 컴퓨터가 또 다른 범죄에 악용되고 있다는 사실을 쉽게 인지하지 못한다. 바로 ‘좀비PC’에 대한 얘기다.
자동화 프로그램인 ‘봇’, 좀비PC엔 ‘악성 봇’ 존재
![]()
좀비는 살아있는 시체를 뜻하는 말로 영화나 소설 등에서 등장하는 가상의 존재다.
좀비가 되면 보통 판단력이 없어지고 다른 사람들을 계속해서 감염시킨다. 이런 공포스런 설정덕분에 각종 영화나 게임 등에 많이 등장한다.
좀비PC라는 명칭은 바로 이와 같은 좀비의 특성과 비슷한 성격에서 비롯된 것이다. 좀비 PC의 정확한 명칭은 ‘악성 봇’이다. 봇(Bot)은 로봇(Robot)의 의미이며 악성 봇은 해커에 의해 감염될 수 있는 악성 프로그램을 일컫는다.
이와 관련돼 헛갈릴 수 있는 것이 바이러스나 악성코드이다. 하지만 좀비PC는 활성화되는 모습에서 차이를 보인다.
해커가 퍼뜨린 악성 봇은 바이러스와 마찬가지로 여러 가지 감염경로를 가지고 퍼져나간다. 하지만 바이러스와 다르게 악성 봇이 감염된 컴퓨터는 해커에 의해 조정이 가능하다. 내 컴퓨터가 악성 봇에 감염됐다면 해커는 내 컴퓨터에 전원이 들어와 있고 인터넷이 연결돼 있을 땐 언제든 자신의 컴퓨터 다루듯 사용할 수 있다는 것이다.
악성 봇을 이용한 원격 조정은 범죄에도 이용된다. 내 컴퓨터가 다른 컴퓨터를 공격해 이와 같은 악성 봇을 퍼뜨리기도 하며 DDos와 같은 범죄에 이용된다. 자신도 모르는 사이에 사이버범죄자가 돼 버릴 수도 있다는 것이다.
이렇게 특정 해커에 의해 다수의 컴퓨터가 자신도 모르는 채 조종이 되고 있기에 일명 좀비PC라 부르게 된 것이다. 영화에서 한 명의 좀비로 시작해 2명, 4명, 8명, 16명…이렇게 기하급수적으로 좀비가 늘어나듯 악성 봇 전파도 마찬가지다. 또한 이 많은 컴퓨터를 사용해 한 번에 특정 사이트나 시스템을 공격, 장애를 유발한 대표적 사례가 바로 DDos공격이다.
문제는 이 악성 봇을 퍼뜨리고 조종하는 범죄자를 찾기 어렵다는 점이다. 사실 ‘봇’ 자체는 범죄의 용도로 사용되는 것이 아니다. 봇은 사용자가 특정 웹사이트를 방문하거나 프로그램 사용 시, 원하는 정보를 빨리 찾게 도와주거나 관련된 유용한 정보를 제공하는 일종의 자동화 프로그램이다. 이런 봇 프로그램들은 정상적인 프로그램들에서도 사용되고 있기 때문에 그 중 악성 봇을 골라내기가 힘든 것이다.
“8080포트 = 좀비PC?” 근거 없어
이렇게 악성 봇은 일반적인 바이러스나 단순 악성코드에 비해 발견과 치료가 힘든데다가 최근 들어 관심이 급증한 만큼 잘못된 정보들도 빠르게 유포되면서 이용자들에게 혼란만 주는 일도 일어나고 있다.
현재 인터넷 상에 알려진 ‘좀비PC’ 확인 법이 그것이다. 명령프롬프트인 CMD를 실행시킨 후 NETSTAT이란 명령어를 입력하면 현재 내 컴퓨터에 접속된 네트워크의 주소와 연결 포트를 확인할 수 있다. 이 때 포트 부분이 ‘8080’이라면 좀비PC라는 소문이 계속해서 퍼져나가고 있으며 이를 발견한 사용자들의 불안 섞인 목소리도 여기저기서 들려오고 있다. 하지만 이는 확실한 근거가 없는 방법이다. 해당 포트가 발견됐다 하더라도 좀비PC가 아닐 수도, 발견되지 않더라도 좀비PC일 수도 있기 때문이다.
![]()
‘포트’는 쉽게 말해 인터넷과 자신의 컴퓨터를 연결하는 통로라 볼 수 있다. 이 포트는 어떤 인터넷 서비스를 이용하느냐에 따라 사용되는 코드가 다른데 웹(http)사용 시는 80, 파일 전송(FTP)엔 21 등을 사용하게 된다. 즉, 차선이 많은 도로에 버스, 화물차, 승용차들이 통상적으로 다니는 차선이 존재하는 것과 비슷하게 생각할 수 있다.
그런데 해당 포트가 특정원인으로 인해 사용이 힘든 경우, 또는 특별히 다른 포트를 사용해야 하는 경우는 다른 포트를 통해 컴퓨터로 데이터를 전송할 수도 있다. 도로가 막힐 때, 혹은 다른 이유로 추월차선을 이용하거나 갓길, 샛길을 이용하기도 하는 것과 비슷한 원리다. 이 때 주로 사용하는 http의 80포트로부터 변경해 그를 반복하는 8080포트를 사용하기도 한다. 즉, 8080포트가 특별한 포트는 아니지만 일반적으로 많이 사용하기 때문에 일반적인 포트 외에 자주 나타나 특별한 포트처럼 보여 좀비 PC라는 루머를 낳게 된 것이다.
또한 특별한 경우가 아니더라도 이 8080포트를 사용하는 프로그램들도 있다. 데이터베이스 관리 프로그램으로 유명한 오라클이나 윈도우 메신저 서비스, 미디어 스트리밍 서비스 등도 이 8080포트를 기본적으로 사용한다.
또한 해커들이 얼마든지 포트를 변경할 수 있기 때문에 포트 자체로 감염여부를 판단한다는 것은 불가능하다. 사실이 아닐지라도 8080포트가 악성 봇이 들어오는 경로라는 것이 알려지면 그저 다른 포트를 통해 악성 봇을 전송하면 그만인 것이다. 물론 8080포트가 아닌 다른 포트를 통해 이미 악성 봇이 침투했을 수도 있는 일이다.
예방이 최선, 감염 의혹 시 백신 통해 검사·치료
그렇다면 악성 봇은 어떻게 확인하고 치료해야하는 것일까. 백신을 개발하는 여러 회사들도 이 때문에 골머리를 앓고 있다. 앞서 언급했듯 정상적인 봇과의 구분이 힘들고 계속해서 변종이 생겨나 찾아내기가 쉽지 않기 때문. 그렇다 할지라도 정상적인 백신프로그램을 사용해 악성 봇을 찾아내는 것이 최선이다. 물론 새로운 형태의 악성 봇이 나타날 때마다 백신프로그램도 업데이트가 되기 때문에 지속적으로 업데이트를 받으며 검사를 해 주는 것이 좋다.
좀비PC와 관련해 한국인터넷진흥원(KISA)에서 운영하는 ‘보호나라’에서는 접속만으로 간단하게 악성 봇 감염여부를 판단하는 서비스를 하고 있다. ‘DNS싱크홀’이라는 방법을 사용해 판단하는 방법으로 악성 봇 감염 PC들의 IP 리스트를 확보해 그로부터 감염여부를 판단하게 된다. 하지만 많은 인터넷 사용자들이 IP주소가 변화하는 유동 IP서비스를 이용하고 있기 때문에 이마저도 정확하지는 않다. 이에 KISA에서도 마찬가지로 백신프로그램을 사용하며 지속적인 업데이트와 검사를 권장하고 있다. 또한 실제 질병들과 마찬가지로 미리미리 예방하는 것이 최선의 방법이라는 것도 명심해야 한다. 다음은 KISA에서 제시하는 좀비PC예방을 위한 7가지의 방법이다.
△윈도우 보안 업데이트 △백신 프로그램 설치 및 주기적 검사 △PC 방화벽 설정하기 △신뢰할 수 있는 웹사이트에서 제공하는 프로그램만 설치 △다운로드 파일은 악성코드 꼭 검사 △출처가 불분명한 메일은 클릭하지 않기 △메신저, SNS에 첨부된 URL클릭 조심
이 뿐만이 아니다. 범죄대상이 된 컴퓨터에 카메라나 마이크 등이 장착돼 있다면 사용자의 사생활이 고스란히 노출될 수 있다. 실제 컴퓨터에 은밀히 저장해 뒀던 정보들이 사용자도 모르는 새 각종 웹하드 사이트에 올라오는 사례도 종종 일어난다.
또한 이 도둑은 범죄대상의 컴퓨터를 사용해 또 다른 컴퓨터를 공격하기도 한다. 범죄대상은 자신의 컴퓨터가 또 다른 범죄에 악용되고 있다는 사실을 쉽게 인지하지 못한다. 바로 ‘좀비PC’에 대한 얘기다.
자동화 프로그램인 ‘봇’, 좀비PC엔 ‘악성 봇’ 존재
좀비는 살아있는 시체를 뜻하는 말로 영화나 소설 등에서 등장하는 가상의 존재다. 좀비가 되면 보통 판단력이 없어지고 다른 사람들을 계속해서 감염시킨다. 이런 공포스런 설정덕분에 각종 영화나 게임 등에 많이 등장한다.
좀비PC라는 명칭은 바로 이와 같은 좀비의 특성과 비슷한 성격에서 비롯된 것이다. 좀비 PC의 정확한 명칭은 ‘악성 봇’이다. 봇(Bot)은 로봇(Robot)의 의미이며 악성 봇은 해커에 의해 감염될 수 있는 악성 프로그램을 일컫는다.
이와 관련돼 헛갈릴 수 있는 것이 바이러스나 악성코드이다. 하지만 좀비PC는 활성화되는 모습에서 차이를 보인다.
해커가 퍼뜨린 악성 봇은 바이러스와 마찬가지로 여러 가지 감염경로를 가지고 퍼져나간다. 하지만 바이러스와 다르게 악성 봇이 감염된 컴퓨터는 해커에 의해 조정이 가능하다. 내 컴퓨터가 악성 봇에 감염됐다면 해커는 내 컴퓨터에 전원이 들어와 있고 인터넷이 연결돼 있을 땐 언제든 자신의 컴퓨터 다루듯 사용할 수 있다는 것이다.
악성 봇을 이용한 원격 조정은 범죄에도 이용된다. 내 컴퓨터가 다른 컴퓨터를 공격해 이와 같은 악성 봇을 퍼뜨리기도 하며 DDos와 같은 범죄에 이용된다. 자신도 모르는 사이에 사이버범죄자가 돼 버릴 수도 있다는 것이다.
이렇게 특정 해커에 의해 다수의 컴퓨터가 자신도 모르는 채 조종이 되고 있기에 일명 좀비PC라 부르게 된 것이다. 영화에서 한 명의 좀비로 시작해 2명, 4명, 8명, 16명…이렇게 기하급수적으로 좀비가 늘어나듯 악성 봇 전파도 마찬가지다. 또한 이 많은 컴퓨터를 사용해 한 번에 특정 사이트나 시스템을 공격, 장애를 유발한 대표적 사례가 바로 DDos공격이다.
문제는 이 악성 봇을 퍼뜨리고 조종하는 범죄자를 찾기 어렵다는 점이다. 사실 ‘봇’ 자체는 범죄의 용도로 사용되는 것이 아니다. 봇은 사용자가 특정 웹사이트를 방문하거나 프로그램 사용 시, 원하는 정보를 빨리 찾게 도와주거나 관련된 유용한 정보를 제공하는 일종의 자동화 프로그램이다. 이런 봇 프로그램들은 정상적인 프로그램들에서도 사용되고 있기 때문에 그 중 악성 봇을 골라내기가 힘든 것이다.
“8080포트 = 좀비PC?” 근거 없어
이렇게 악성 봇은 일반적인 바이러스나 단순 악성코드에 비해 발견과 치료가 힘든데다가 최근 들어 관심이 급증한 만큼 잘못된 정보들도 빠르게 유포되면서 이용자들에게 혼란만 주는 일도 일어나고 있다.
현재 인터넷 상에 알려진 ‘좀비PC’ 확인 법이 그것이다. 명령프롬프트인 CMD를 실행시킨 후 NETSTAT이란 명령어를 입력하면 현재 내 컴퓨터에 접속된 네트워크의 주소와 연결 포트를 확인할 수 있다. 이 때 포트 부분이 ‘8080’이라면 좀비PC라는 소문이 계속해서 퍼져나가고 있으며 이를 발견한 사용자들의 불안 섞인 목소리도 여기저기서 들려오고 있다. 하지만 이는 확실한 근거가 없는 방법이다. 해당 포트가 발견됐다 하더라도 좀비PC가 아닐 수도, 발견되지 않더라도 좀비PC일 수도 있기 때문이다.
‘포트’는 쉽게 말해 인터넷과 자신의 컴퓨터를 연결하는 통로라 볼 수 있다. 이 포트는 어떤 인터넷 서비스를 이용하느냐에 따라 사용되는 코드가 다른데 웹(http)사용 시는 80, 파일 전송(FTP)엔 21 등을 사용하게 된다. 즉, 차선이 많은 도로에 버스, 화물차, 승용차들이 통상적으로 다니는 차선이 존재하는 것과 비슷하게 생각할 수 있다.
그런데 해당 포트가 특정원인으로 인해 사용이 힘든 경우, 또는 특별히 다른 포트를 사용해야 하는 경우는 다른 포트를 통해 컴퓨터로 데이터를 전송할 수도 있다. 도로가 막힐 때, 혹은 다른 이유로 추월차선을 이용하거나 갓길, 샛길을 이용하기도 하는 것과 비슷한 원리다. 이 때 주로 사용하는 http의 80포트로부터 변경해 그를 반복하는 8080포트를 사용하기도 한다. 즉, 8080포트가 특별한 포트는 아니지만 일반적으로 많이 사용하기 때문에 일반적인 포트 외에 자주 나타나 특별한 포트처럼 보여 좀비 PC라는 루머를 낳게 된 것이다.
또한 특별한 경우가 아니더라도 이 8080포트를 사용하는 프로그램들도 있다. 데이터베이스 관리 프로그램으로 유명한 오라클이나 윈도우 메신저 서비스, 미디어 스트리밍 서비스 등도 이 8080포트를 기본적으로 사용한다.
또한 해커들이 얼마든지 포트를 변경할 수 있기 때문에 포트 자체로 감염여부를 판단한다는 것은 불가능하다. 사실이 아닐지라도 8080포트가 악성 봇이 들어오는 경로라는 것이 알려지면 그저 다른 포트를 통해 악성 봇을 전송하면 그만인 것이다. 물론 8080포트가 아닌 다른 포트를 통해 이미 악성 봇이 침투했을 수도 있는 일이다.
예방이 최선, 감염 의혹 시 백신 통해 검사·치료
그렇다면 악성 봇은 어떻게 확인하고 치료해야하는 것일까. 백신을 개발하는 여러 회사들도 이 때문에 골머리를 앓고 있다. 앞서 언급했듯 정상적인 봇과의 구분이 힘들고 계속해서 변종이 생겨나 찾아내기가 쉽지 않기 때문. 그렇다 할지라도 정상적인 백신프로그램을 사용해 악성 봇을 찾아내는 것이 최선이다. 물론 새로운 형태의 악성 봇이 나타날 때마다 백신프로그램도 업데이트가 되기 때문에 지속적으로 업데이트를 받으며 검사를 해 주는 것이 좋다.
좀비PC와 관련해 한국인터넷진흥원(KISA)에서 운영하는 ‘보호나라’에서는 접속만으로 간단하게 악성 봇 감염여부를 판단하는 서비스를 하고 있다. ‘DNS싱크홀’이라는 방법을 사용해 판단하는 방법으로 악성 봇 감염 PC들의 IP 리스트를 확보해 그로부터 감염여부를 판단하게 된다. 하지만 많은 인터넷 사용자들이 IP주소가 변화하는 유동 IP서비스를 이용하고 있기 때문에 이마저도 정확하지는 않다. 이에 KISA에서도 마찬가지로 백신프로그램을 사용하며 지속적인 업데이트와 검사를 권장하고 있다. 또한 실제 질병들과 마찬가지로 미리미리 예방하는 것이 최선의 방법이라는 것도 명심해야 한다. 다음은 KISA에서 제시하는 좀비PC예방을 위한 7가지의 방법이다.
△윈도우 보안 업데이트 △백신 프로그램 설치 및 주기적 검사 △PC 방화벽 설정하기 △신뢰할 수 있는 웹사이트에서 제공하는 프로그램만 설치 △다운로드 파일은 악성코드 꼭 검사 △출처가 불분명한 메일은 클릭하지 않기 △메신저, SNS에 첨부된 URL클릭 조심
- 조재형 객원기자
- alphard15@nate.com
- 저작권자 2011-01-17 ⓒ ScienceTimes
관련기사
