악성코드(Malware)란 사용자 컴퓨터에 악의적인 영향을 끼칠 수 있는 모든 소프트웨어를 말합니다.

[악성코드의 유형]

1. 컴퓨터 바이러스 (Computer virus)

 정상적인 파일이나 시스템 영역에 침입하여 그곳에 자신의 코드를 삽입하거나 설치하는 프로그램을 칭하는 이름으로 감염 방법이나 동작 원리에 따라 메모리 상주형 바이러스, 파일 바이러스, 덮어쓰기, 은폐형 등 여러 가지로 세분화하여 나뉩니다.

2. 웜 (Worm)

 컴퓨터 바이러스처럼 다른 파일을 감염시키는 것이 아닌 자기 자신을 레지스트리에 등록하거나 복사본을 생성하여 전파하는 등의 독자적으로 실행되는 악성코드를 말합니다. 

 웜은 이메일에 첨부되어 확산되거나, P2P 파일 공유, 프로그램 보안 취약점, 네트워크 공유 기능 등을 이용하여 스스로 증식하여 빠르게 확산한다는 특징을 가지고 있습니다.

3. 트로이 목마 (Trojan horse)

 정상적인 소프트웨어의 형태를 띠지만 악의적인 행위를 포함하고 있는 악성코드를 말합니다. 

다른 파일을 감염하는 형태가 아닌 스스로 피해를 유발하는 악성코드를 말하며, 주로 웹페이지, 이메일, 파일 공유 사이트 등을 통해서 일반 프로그램으로 가장하여 사용자가 클릭하기를 기다리는 형태의 전파 방법을 사용합니다.

4. 스파이웨어 (Spyware)

 사용자의 PC에서 사전 동의 없이 설치되어 컴퓨터의 정보와 개인 정보를 수집하는 악성코드의 종류입니다. 신용카드와 같은 금융정보 및 주민등록번호와 같은 신상정보, 사이트 아이디나 비밀번호 등의 각종 정보를 수집하여 원격지의 특정 서버에 주기적으로 보내는 형태를 말합니다.

5. 백도어 (Backdoor)

 감염된 사용자 PC에 특정 포트를 열어두어 정상적인 인증 과정 없이 원격 접속을 통해 직접 조작하는 형태로, 사용자 몰래 특정 파일을 삭제하거나 파일이나 정보를 빼가는 등의 행위를 합니다. 

 백도어의 종류에는 여러 가지가 있는데, 

1) 로컬 백도어의 경우 기존의 일반 계정의 비밀번호를 알아낸 후 새로운 계정을 만들어 사용하는 것을 말하고, 2) 원격 백도어의 경우에는 따로 시스템 계정이 필요하지 않으며, 원격에서 공격자가 지정한 포트를 통해 접속하여 사용합니다. 원격 GUI 백도어의 경우 원격관리 툴과 같은 형태로 직접 마우스를 제어하며 조작하는 형태입니다.

6. 키로거 (Keylogger)

 컴퓨터가 입력받는 정보를 기록하는 것으로 그 중에서도 주로 키보드를 통한 메시지를 중간에 가로채서 기록하는 형태를 말합니다. 키로거 탐지를 위한 다양한 키보드 보안 솔루션이 나왔지만 이에 대응하는 새로운 방식의 키로거가 계속해서 나오고 있습니다. 초기 키로거가 단순히 윈도우 메시지를 후킹하는 형태였지만, 루트킷을 이용하여 점차 고도화 된 기술의 키로거로 변화하고 있습니다.

7. 드롭퍼 (Dropper)

 일종의 악성 프로그램의 설치 프로그램의 형태로, 실행 시 내부에 포함되어 있던 바이러스나 웜, 또는 트로이 목마 등의 악의적인 프로그램이 설치되는 형태의 악성코드를 말합니다. 백신 프로그램에서 악성코드가 실행된 후 의심스러운 행위를 탐지하여 차단하는 방법 등 대응 방법을 우회하기 위해 프로그램 실행 자체에서는 파일 설치 이외의 아무 행위를 하지 않고, 일정 시간이 지난 후 악성코드를 실행하는 등의 시간차를 이용합니다.

8. 다운로더 (Downloader)

 프로그램에서 지정한 웹 사이트에 접속하여 추가 악성코드를 다운로드하여 실행시키는 악성코드입니다. 다운로더는 드롭퍼와 같이 백신 프로그램을 우회하는 목적으로 사용됩니다.

9. 다형성 바이러스 (Polymorphic virus)

 다형성 바이러스의 경우, 원본 바이너리에서 같은 기능을 수행하지만 형태는 달라지는 악성코드로, 바이너리 고유 패턴을 변경시켜 휴리스틱 기반의 백신 업체들의 감염여부를 파악하기 어렵게 하여 추적을 피하려는 목적의 악성코드입니다.

10. 애드웨어 (Adware)

 상업용 광고 목적으로 만들어진 악성코드로, 웹 브라우저 시작페이지 변경, BHO(Browser Helper Object) 객체를 이용하여 팝업 윈도우 생성 등의 동작을 합니다. 애드웨어와 비슷한 형태로는 하이재커(Hijacker)라는 툴바 설치 등의 브라우저 형태 자체를 변경시키는 악성코드가 있습니다.

11. 랜섬웨어 (Ransomware)

 랜섬웨어란 사용자의 문서와 사진 등을 암호화 시켜 일정 시간 안에 일정 금액을 지불하면 암호를 풀어주는 방식으로 사용자에게 금전적인 요구를 하는 악성코드를 말합니다.

12. 루트킷 (Rootkit)

 악의적인 행동을 하는 프로그램을 숨기기 위한 목적으로 시작된 악성코드로, 현재는 프로세스나 파일 등의 흔적을 사용자가 볼 수 없도록 하는 프로그램에 대한 이름으로 사용됩니다. 루트킷의 설치 위치는 커널, 가상화 계층, 부트로더, 펌웨어, 라이브러리 등 다양한 위치에서 작동될 수 있습니다.

13. 부트킷 (Bootkit)

 PC의 부팅영역인 MBR(Master Boot Record)를 조작하는 프로그램을 칭하는 이름으로, 크게 파괴형 부트킷과 은신형 부트킷으로 나뉩니다. 

 1) 파괴형 부트킷이란 MBR(Master Boot Record)과 VBR(Volume Boot Record)를 의미 없는 문자열 등으로 덮어씌워 부팅 시 시스템 정보를 읽어오지 못하게 만드는 형태이고, 

 2) 은신형 부트킷의 경우 부트섹터의 빈 영역에 악성코드를 설치하여 백신이 탐지하지 않게 만드는 형태를 말합니다.

Scan(스캔)은 방화벽과 IDS(침입 탐지 시스템)을 우회하기 위하여 발전했으며, 종류가 매우 다양합니다.

서버의 동작여부를 알아보는 가장 기본적인 스캔은 ping 을 이용하는 것입니다.

검사하고자하는 네트워크에서 동작하는 서버를 찾아내는 일은 공격대상 네트워크에서 공격대상의 IP주소를 결정하는데에 매우 중요합니다.

ping은 네트워크와 시스템이 정상적으로 작동하는지 확인하기 위한 간단한 유틸리티입니다.

ping은 ICMP(Internet Control Message Protocol)을 사용하며, 기본적으로 TCP/IP 네트워크에서 사용됩니다. 넷웨어(Netware)같이 다른 프로토콜 체제를 쓰는 네트워크에서는 ping 유틸리티도 다릅니다. 따라서 모든 네트워크에 ping이 있는것은 아닙니다.

(* Netware : 가장 광범위하게 설치되었던 노벨(Novell)의 네트워크 서버 운영체제

* ICMP : 호스트서버와 인터넷 게이트웨이 사이에서 메시지를 제어하고 오류를 알려주는 프로토콜 )

ICMP를 이용해 공격대상 시스템의 활성화 여부를 알아보는 방법은 아래 네가지입니다.

1. Echo Request와 Echo Reply를 이용한 방법 (가장 일반적인 방법으로, 일반적으로 옵션없이 ping을 사용하면 됩니다.)

2. Timestamp Request와 Timestamp Reply를 이용한 방법

3. Information Request와 Information Reply를 이용한 방법

4. ICMP Address Mask Request와 ICMP Address Mask Reply를 이용한 방법

ping을 이용한 테스트로는 지난 포스팅에서 ping test를 해보았으므로 참고하시면 됩니다.

라우터나 방화벽 등에서 ICMP Echo Request패킷을 막는 경우가 있는데, 이 때 이용할 수 있는 방법으로 위의 2, 3, 4 번입니다.

첫째로, Timestamp Request패킷을 이용하는 것으로, Timestamp Request패킷은 원격지 시스템의 현재 시각을 알아보기 위한 패킷입니다. Timestamp Request패킷은 송신자가 패킷을 보낸 시각과 수신자가 패킷을 받은 시각, 송신자가 수신자에게 전송하는동안 걸린 시간으로 공격대상의 현재 시스템 시각을 알 수 있게 해줍니다.

상대시스템의 Reply패킷이 돌아온다는 것은 상대시스템이 활성화 되어있음도 알려주는 것입니다.

두번째로, Information Request패킷을 이용하는 것으로 원래 Information Request와 Reply는 메인 프레임의 단말기처럼 부팅할 때 자신의 디스크가 없는 시스템이 스스로 IP를 설정할 수 있도록 하는 패킷으로, 자신의 네트워크를 찾기위해 개발되었습니다. 기본목적은 RARP, Bootp, DHCP같은 프로토콜과 같으나 다른 프로토콜을 이용한 방법에 비해 원시적이라고 할 수 있다. 이 방법에서도 위 Timestamp Request 패킷처럼 죽은 시스템은 Reply패킷을 보내지 않을 것입니다.

마지막으로, ICMP Address Mask Request 와 Reply패킷을 이용하는 것입니다. 이 패킷 역시 두번째 방법처럼 단말기가 부팅될 때 자신이 속한 네트워크의 서브넷 마스크를 알기 위해 보냅니다. 앞의 두 방법과 마찬가지로 Reply패킷이 돌아오는지 확인함으로써 상대 시스템의 활성화여부를 파악할 수 있습니다.

ICMP를 이용한 여러가지 ping은 시스템 하나를 조사하기에는 적절하지만 큰 네트워크에서 활성화 시스템을 찾는데는 효과적이지 않습니다.

네트워크 전체에서 활성화 시스템을 찾는 일을 스위핑(sweeping)이라 합니다. 스위핑은 검색하고자 하는 네트워크에 브로드캐스트 ping을 보내거나 자동화도구를 이용하여 특정범위의 네트워크에 ping을 보냅니다.

DNS에 관한 정보를 얻어오는 툴로는 nslookup, dig 등이 있습니다. 이번엔 가장 일반적인 nslookup을 사용해 보겠습니다. nslookup은 윈도우와 리눅스에 기본으로 설치되어 있습니다.

(* 리눅스를 이용하지 않거나 쓸일이 많이 없는 프로그래머/개발자라도 최소한 기초적인 지식 정도는 갖추고 있는것이 좋다고 생각합니다.)

cmd창을 띄워서 nslookup명령을 실행하면 현재 기본 DNS서버로 설정된 DNS서버와 연결되는 것을 확인할 수 있습니다. bns1.hananet.net은 SK Broadband의 DNS서버입니다. ns(Name Server)는 DNS서버를 가리키는 일반 표현입니다.

여기서, 조사하려는 DNS서버를 바꾸고 싶으면 server xxx.xxx.xxx.xxx 형식으로 입력합니다. (kns.kornet.net은 KT의 DNS서버입니다.)

- 도메인 정보 수집

: 특정 도메인에 관한 정보를 알고 싶을 때에는 아래와 같이 해당 도메인 이름을 입력합니다.

> www.google.com

이제, 이 DNS서버에는 어떤 ns가 있는지 확인하는 방법에는 어떤 것이 있는지 살펴보겠습니다.

검색하고자 하는 서버의 종류를 설정할 때는 set type 명령을 이용합니다.

set type=ns 라고 입력한 뒤, 검색하고자 하는 도메인을 입력합니다. google.com에 대해 검색한 결과 ns 서버 4개가 같은 IP주소로 운영됨을 알 수 있습니다.

set type명령으로 출력되는 DNS정보를 DNS레코드라고 하고, set type명령으로 확인할 수 있는 DNS의 레코드는 아래 표와 같습니다.

Whois는 도메인에 관한 정보확인을 위해 유용하게 쓰입니다. Whois서버에서 얻을 수 있는 정보는 대표적으로 아래와 같은 것들이 있습니다.

- 등록, 관리 기관

- 도메인 이름, 도메인 관련 인터넷 자원 정보

- 목표 사이트 네트워크 주소와 IP주소

- 등록자, 관리자, 기술 관리자의 이름 및 연락처, 이메일 계정

- 레코드 생성 시기와 갱신 시기

- 주 DNS 서버와 보조 DNS서버

- IP주소의 할당 지역 위치

도메인을 통해 IP를 알아보고, 프로그래머는 그 IP를 WHOIS서버에 검색해서 아래의 그림과 같은 정보들을 얻을 수 있습니다. 저는 대표적으로 네이버와 구글에 ping을 보내어 IP를 알아본 후 검색해 본 결과로 아래와 같습니다.

먼저 윈도우사용자라면 cmd창을 이용하여 cmd를 실행시키고, 

다음과 같이 ping을 보내면, 응답을 통해 IP를 알아볼 수 있습니다. 네이버도 동일한 방법으로 해줍시다.

그리고 Whois서버는 우리나라에서는 대표적으로 KISA에서 서비스를 제공하고 있고 그 밖의 arin이라는 곳도 있습니다.

1) https://www.arin.net/

위의 URL에 접속하면 아래와 같이 Whois서버로 IP를 검색할 수 있습니다. 여기서 위의 cmd에서 얻은 IP를 입력하여 검색합니다.

해당 IP에 대한 정보를 얻을 수 있습니다.

(* 또한, IP를 알아보지 않고 검색창에 google 만 입력하여 쿼리를 전송하게 되면 아래와 같이 구글 사이트에 대한 여러 네트워크와 서버를 확인할 수 있습니다.)

2) http://whois.nic.or.kr/kor/ 

이번에는 네이버에 대한 IP를 통해 정보를 얻어보았습니다.

지역별 Whois서버 목록은 아래 표와 같이 정리해보았습니다.

[DoS(도스) 공격이란? 의미. ]

DoS(도스 (Denial of Service) : DoS는 인터넷 상의 특정 자원을 평소처럼 이용할 수 없는 상태를 말합니다. 이러한 서비스 단절은 여러 가지 이유가 있을 수 있는데 보통 네트워크 장애로 인한 제대로 된 서비스를 못하게 됩니다.

DoS공격은 보통 한 두대의 컴퓨터로 타겟 서버의 공략법으로 과다하게 트래픽을 유발하거나, 시스템 마비를 일으켜서 서비스 단절상태로 만들었지만 방어기법(IP Blocking : 과다하게 패킷이 들어오는 특정 IP를 막는 방어기법)으로 처리가 가능해지게 되었습니다.

 DoS는 효과적인 공격방법을 잃게 되고, 이 공격기법을 발전시켜서 나온 것이 Distributed DoS(DDoS) 방법입니다. 여러 곳에서 분산해서 동시다발적으로 집중 공격함으로써 IP Blocking 방어 기법을 무력화 시키는 방법입니다.

[ DDoS 공격이란? 의미. ]

DDoS(디도스(Distributed Denial of Service) 공격 (분산 서비스 공격) : 수 많은 개인 컴퓨터에 악성 코드 또는 해킹툴과 같은 것들을 유포하여 이들의 컴퓨터를 '좀비 PC'로 만들고, 좀비 PC화 된 컴퓨터들을 통해 지정된 특정 서버에 동시에 대량의 트래픽을 유발시켜 서버의 기능이 마비되도록 만드는 공격입니다.

이는 한 사람 혹은 특정 목적을 가진 그룹에 의해 여러 대의 컴퓨터들이 일제히 동작하도록 조종되어 특정 서버 혹은 사이트에 대량의 트래픽을 유발시켜 그 서버 혹은 사이트가 제 기능을 수행할 수 없게 만들기에 붙여진 이름입니다.

이 때, DDoS(디도스) 공격에 이용되어지는 개인 컴퓨터들이 일명 '좀비 PC'라고 불려지게 됩니다.

개인 사용자의 컴퓨터가 '좀비PC' 로 되는 것은 개인 사용자들이 파일을 다운로드 받거나, 유해사이트와 같은 곳에 접속했을 때나 혹은 이메일이나 메신저 등의 경로를 통해 사용자의 컴퓨터에 몰래 악성코드 또는 해킹툴이 심어지게 됨으로써 완성되게 됩니다.

이렇게 악성코드나 해킹툴이 심어진 컴퓨터를 해커가 원격으로 조종하거나 미리 입력된 명령에 의해 사용자의 의지와 상관없이 해당 컴퓨터에서 특정 서버나 사이트로 무차별적인 패킷을 보내게 되는 것입니다.

즉 이렇게 특정 서버나 사이트가 하나하나의 '좀비PC'들로부터 무차별적인 패킷을 받게 되면, 서버 컴퓨터의 시스템이 이를 처리할 수 없을 정도로 시스템에 과부하가 걸리게 됩니다. 이렇게 과부하에 걸리게 되면 컴퓨터가 먹통이 되거나, 사용할 수 없을 정도로 버벅거리게 됩니다.

* 여기서 패킷이란, 네트워크 통신에서는 수신자(Receiver)와 송신자(Sender)가 있습니다. 수신자와 송신자 간에 데이터를 주고 받을 때 전송하기 쉽도록 일정단위로 데이터를 잘라서 보내게 되는데, 이 때 이 잘려지는 데이터 단위를 패킷이라 부르게 됩니다.

즉, 일반 사용자가 어떤 사이트에 접속하기 위해 해당 서버에 페이지 요청을 할 때에도 그 요청 정보는 패킷 단위로 서버에 전달되고, 파일을 다운로드 하거나 업로드 할 때에도 또한 패킷 단위로 데이터전송이 이루어지게 됩니다.

DDoS(디도스) 공격은 일반적인 바이러스(Virus)나 해킹(Hacking)과는 달리 공격하는 대상의 컴퓨터에 침투해서 자료를 삭제하거나 훔치거나 하는 것이 아니라, 공격대상에게 대량의 트래픽을 유발시킴으로써 시스템이 과부하에 빠지게 만들고, 정당한 다른 신호들을 받지 못하게 방해하는 작용만 하게 됩니다.

DDoS(디도스) 공격의 문제점은, 공격에 이용된 '좀비PC'들이 악성코드나 해킹툴의 흔적을 감추기 위해 스스로 하드디스크를 손상시켜 사용자의 컴퓨터가 동작 불능 상태가 되어버리게 만든다는 것입니다.

[ DDoS 공격 ] 

[대비책]

프로그래머/개발자 뿐만 아니라 자신의 PC가 좀비PC가 되는 것을 원치않는 PC 사용자라면 항상 자신의 PC를 잘 관리해야합니다. 대비책은 컴퓨터에 지식이 있는 프로그래머/개발자 뿐만 아니라 누구나 쉽게 할 수 있습니다. 단지 귀찮아서, 사소한 것쯤이야 하는 마음에 위험에 노출되는 것이죠.

1 - 자신의 운영체제는 항상 업데이트를 통해 최신 보안 패치를 받아 두도록 합니다.

( * 윈도우 운영체제일 경우 자동업데이트를 설정함으로써 최신 보안패치상태를 유지할 수 있지만, 혹시라도 아니라면 수동으로라도 업데이트를 하여 최신 보안패치를 적용하는것이 좋습니다.)

2 - 인터넷으로 웹 서핑 할 때, 간혹 프로그램을 설치 할 것인지 묻는 창이 뜨는 경우가 있을 것입니다.

이럴 경우, 신뢰할 수 있는 곳의 프로그램이라면 설치에 동의하고, 확실하지 않다면 무조건 설치를 거부하는 것이 좋습니다.

설치를 거부한다고 해서 '예' 또는 '아니오' 중에서 '아니오'를 눌러도 안되고, 둘 중 어느것도 선택하지 말고 창을 강제로 닫아야합니다.!

3 - 컴퓨터에 관한 지식에 자신이 없으면 이메일 확인시에 발신인이 분명치 않거나 모르는 사람이라면 메일을 보지 말고 그냥 삭제하도록 합니다. (중요한 메일 일 경우에는 발신인을 불명확하게 보내지 않았을 것이라 믿읍시다.)

4 - 메신저 프로그램을 사용한다면, 메시지를 통해 특정 URL이나 파일이 첨부되어 올 경우가 있을 것입니다. 이럴 경우에 함부로 클릭하지 말고, 메시지를 보낸 사람이 직접 보냈는지부터 확인해봅시다.

(확실하지 않으면 함부로 클릭하거나 실행하지 맙시다.)

5 - P2P 프로그램이나 서비스를 제공하는 사이트를 이용해 파일을 다운받을 때에는 반드시! 백신과 같은 프로그램을 이용해 검사한 후 사용하도록 합시다.

6 - 외부 침입자로부터 여러분의 시스템이나 파일이 무단으로 사용되지 못하도록 여러분이 사용하는 운영체제의 필요 없는 공유 설정은 모두 해제하고, 꼭 필요한 경우는 공유 권한은 '읽기' 로 해놓고, 사용한 후에는 공유 설정을 모두 해제하도록 합시다.

7 - 백신과 같은 보안 프로그램을 설치하여 항상 여러분의 시스템을 감시하도록 설정해두고, 검사 엔진은 항상 최신버전으로 업데이트를 유지시켜 둡시다..!!

자신의 PC가 좀비 PC가 되지않도록 스스로 잘 관리하는 습관을 들이는 것이 중요합니다.

악성 코드 퇴치 프로그램을 표방하는 프로그램은 많습니다. 문제는 좋은 성능을 가진 프로그램을 선택해야 한다는 것입니다. 성능이 극히 많이 떨어지는 악성 코드 퇴치 프로그램이나 아예 악성 코드 퇴치 기능이 없는 가짜 악성코드 퇴치 프로그램들이 유포되고 있는 실정이기 때문입니다. 따라서 이런 것들에 속지 않으면서, 믿을 수 있는 악성 코드 퇴치 프로그램을 선택하는 것이 매우 중요한 문제입니다.

ㆍ 무료로 제공되는 프로그램

악성 코드 퇴치 프로그램들 중에는 개인 사용자에게 무료로 제공되는 프로그램들도 많이 있습니다. 무료 프로그램들 중에서도 좋은 성능을 갖는 프로그램들이 많이 있으므로, 비용을 지불하고 악성 코드 퇴치 프로그램을 구입할 사정이 되지 않는 경우 이런 프로그램들을 사용하시면 됩니다. 대게 무료 프로그램들은 그 회사의 유료 프로그램의 기능을 일부 제외하거나 축소한 프로그램으로, 기본적인 진단 및 치료 성능은 동일하지만, 부가적인 기능에서 차이가 있는 경우가 많습니다.

ㆍ 유료(상업용) 소프트웨어

유료 악성코드 퇴치 프로그램 역시 여러 종류가 있습니다. 모두 각각 장단점을 가지고 있는 프로그램으로, 개인 사용자의 입장에서는 어떤 것을 사용하더라도 상관은 없습니다만, 가급적이면 주변에 많은 사람들이 사용하고 있는 악성코드 퇴치 프로그램을 구매하는 것이 좋을 것입니다. 구매하시기 전에 알아두어야 할 것은, 악성코드 퇴치 프로그램의 경우 계속 지원이 핵심적인 부분이기 때문에, 보통 1~2년 단위로 일정 금액을 지불하고 재계약을 하여야 한다는 점입니다.

ㆍ 악성 코드 데이터베이스의 정기적인 업데이트

악성 코드 퇴치 프로그램을 사용하는데 있어 가장 중요한 것은 지속적으로 진단/치료 모듈의 업데이트가 이루어져야 한다는 것입니다. 악성코드 퇴치 프로그램은 자신의 데이터베이스에 등록되어 있는, 자신이 알고 있는 악성코드만 진단하고 치료할 수 있습니다. 즉, 악성코드 퇴치 프로그램의 생명은 그 데이터베이스에 있습니다. 따라서 단지 설치만 해두고 그 데이터베이스의 업데이트를 하지 않는 경우, 사실상 그 이후에 만들어지고 발견된 악성코드에 대해서는 전혀 진단조차 하지 못하게 됩니다. 사실상 이런 악성코드 퇴치 프로그램은 있으나마나한 프로그램입니다.

ㆍ 프로그램의 한계점을 분명히 알고 이용

현재 내가 가지고 있는 악성코드 퇴치 프로그램으로 세상의 모든 악성 코드를 퇴치할 수는 없습니다. 이것은 악성코드 퇴치 프로그램의 문제가 아니라, 악성코드 퇴치 프로그램의 특성상 당연한 것입니다. 다만 각 악성코드 퇴치 프로그램 제작사는 새로운 악성코드가 등장하면 가능한 한 빠른 시간 내에 이를 분석하여 자사의 진단/치료 데이터베이스에 이를 추가하게 되므로, 이러한 악성 코드의 출현과 진단/치료의 간격이 짧은 악성코드 퇴치 프로그램 제작사일수록 더 많은 악성코드를 진단할 수 있게 된다.

ㆍ 두 개 이상의 프로그램을 동시에 사용하는 경우

악성 코드 퇴치 프로그램마다 진단할 수 있는 악성코드의 범위가 조금씩 다를 수 있다는 점 때문에, 철저한 방역을 위하여 한 컴퓨터 내에 두 개 또는 그 이상의 악성코드 퇴치 프로그램을 사용하는 사례가 많이 있는 것으로 알고 있습니다. 하지만, 이는 일반적으로 권장되지 않는 사용방법입니다. 특히 요즘 대부분의 악성 코드 퇴치 프로그램에서 사용하고 있는 “실시간 감시” 기능의 경우, 두 개 이상의 프로그램에서 이를 사용할 경우 이론적으로 서로 충돌을 일으켜 시스템을 먹통을 만들거나, 혹은 둘 다 무용지물이 되거나 하는 사태를 빚을 수 있는 가능성이 있기 때문입니다.

따라서 원칙적으로, 한 시스템 내에는 1개의 악성코드 퇴치 프로그램만 실행하는 것이 좋습니다. 굳이 여러 개를 사용하여야 하겠다면, 시스템 감시 기능은 그 중 가장 신뢰할 수 있는 어느 하나만 켜놓고, 정기적으로 시스템을 검사할 때에만 여러 개의 프로그램을 돌려보는 것이 최선입니다.

ㆍ 다운로드 프로그램 설치 시 주의

웹에서 설치되는 형식의 다운로드 프로그램 중 일부는 인터넷 시작페이지를 고정하거나 사용자의 정보를 유출하기도 하며 심한 경우에 시스템 및 데이터를 파괴하기도 합니다. 따라서 설치되는 프로그램의 정보를 정확히 알고 설치할 필요가 있으며 목적과 제작사가 불분명한 프로그램은 절대 설치해서는 안 됩니다. 책임 소재가 불분명한 웹사이트 방문 시 주의 해당 회사가 분명치 않거나 책임소재가 불분명한 웹사이트에서 많은 컴퓨터 사용자들이 악성코드나 바이러스에 감염되고 있습니다. 이런 방법으로 유출된 개인 정보들은 범죄에 악용될 수 있으며 따라서 와레즈나 성인사이트에 방문하는 사용자들의 각별한 주의가 요구됩니다.

ㆍ 파일 다운로드 시 주의

웹상으로 다운로드 받게 마련되어 있는 일부 파일들은 바이러스나 악성코드가 숨겨져 있으며 파일을 다운로드 받을 경우 감염되게 됩니다. 이러한 경우는 와레즈나 불법 성인사이트에서 자주 볼 수 있으며 따라서 출처가 불분명한 파일은 결코 다운받아서는 안 됩니다. 메일 첨부파일 확인 시 바이러스와 악성코드는 메일을 통해 감염되고 있으며 실제로 가장 많은 피해를 입히고 있습니다. 따라서 알지 못하는 사람에게 온 메일의 첨부파일은 절대 확인하지 말아야 합니다. 또한 메신저나 포탈 및 채팅사이트에서 다른 사용자가 보낸 파일 역시 받기 전에 각별히 주의해야 합니다.

ㆍ 쿠키 삭제

웹페이지 로딩 속도 향상을 위해 웹페이지의 일부정보를 사용자의 컴퓨터에 저장하고 있습니다. 이를 쿠키라 하는데 이 쿠키 역시 바이러스와 악성코드에 감염될 수 있습니다. 따라서 인터넷 사용이 끝난 후에는 반드시 이 쿠키를 삭제해야 하며 익스플로러 사용자의 경우에 익스플로러 안에서 [도구] > [인터넷] > [일반] > [임시인터넷파일] > [쿠키삭제]의 과정을 통해서 삭제하실 수 있습니다.

ㆍ 보안패치 설치

지금 이 순간도 수많은 해커들이 OS및 응용프로그램의 헛점을 찾기 위해 노력하고 있습니다. 그러한 약점을 이용한 공격은 시스템과 데이터를 파괴할 수 있습니다. 이러한 공격을 예방하기 위해서는 정기적인 OS의 보안패치 설치가 필수적입니다. 윈도우즈 사용자의 경우에는 윈도우즈 업데이트에서 설치하실 수 있습니다. 윈도우즈의 사용자 계정과 패스워드는 다른 사용자의 시스템 접근차단을 위해서도 사용되지만 바이러스에 의한 손실을 막는데 유용합니다. 따라서 윈도우즈 계정을 반드시 사용하고 패스워드는 영문, 숫자 혼용으로 8자리 이상으로 만들어야 합니다.

ㆍ 최신 업데이트 바이러스 백신 사용

최신 업데이트 된 바이러스 백신은 유입되는 악성 바이러스를 실시간으로 탐지하여 삭제합니다. 하루에도 새로운 바이러스가 수없이 발견되는 만큼 언제나 최신 업데이트된 바이러스 백신으로 시스템을 보호해야 합니다.

ㆍ 방화벽 사용

해커들은 시스템의 작은 약점을 이용해 공격하며 공격을 알아챘을 때는 이미 정보가 유출되었거나 시스템 및 데이터가 파괴 되었을 수 있습니다. 따라서 바이러스 백신과는 별개로 방화벽을 반드시 사용해야 하며 방화벽과 바이러스 백신으로 PC클리닉을 통해서 컴퓨터를 가장 안전하게 사용하실 수 있습니다.

ㆍ 하드디스크는 어떤 이유이건 데이터가 손상될 수 있는 저장 매체입니다. 최악의 상황을 대비해서 중요한 데이터는 정기적으로 백업해야합니다. 즉, 시스템이 부팅되지 않는 긴급한 경우를 대비하여 부팅용 디스켓을 만들어 둬야 합니다.

ㆍ 정기적으로 보안 관련 사이트를 방문하여 보안 관련 각종 정보를 확인해야 합니다.

ㆍ 공유 폴더를 사용할 때에는 반드시 암호를 지정해 두고, 읽기만 가능하도록 권한을 설정해야 합니다. 아울러 목적이 달성된 이후에는 공유를 반드시 해제하여야 합니다.

ㆍ 파일 확장자 유의

윈도가 항상 파일 확장자를 보여주도록 시스템을 설정해야 합니다. 그리고 VBS, SHS, PIF 라는 확장자가 붙은 이메일 첨부파일은 될 수 있으면 열지 않는 것이 좋습니다. 이런 확장자는 정상적인 첨부파일에는 거의 사용되지 않습니다. 따라서 인터넷 웜 바이러스일 가능성이 매우 높습니다.

또한 NAME.BMP.EXE나 NAME.TXT.VBS 같은 이중 파일 확장자를 가진 파일도 열어보지 않는 것이 좋으며, PORNO.EXE나 PAMELA_NUDE.VBS, NAKED.VBS,SEX.EXE와 같은 성적인 파일이름을 가진 첨부파일은 무시하도록 합니다. 이는 쑤신자의 호기심을 유발하기 위해 자극적인 파일명으로 위장한 컴퓨터 바이러스일 확률이 매우 높습니다.

마지막으로 사진, 문자, 파일그림 등으로 꾸며진 아이콘이 있는 첨부파일도 주의하셔야 합니다. 또한 IRC, ICQ, AQL 같은 인터넷 채팅을 통해 알게 된 낯선 사람으로부터는 절대로 첨부 파일을 받아서 열지 않도록 합니다.

ㆍ 컴퓨터를 사용하지 않을 때는 네트워크나 모뎀 케이블을 연결해두지 말고, 컴퓨터 전원도 될 수 있으면 끄는 편이 안전합니다.