▒안전한 육류공급의 메카[신흥산업]에 오신 것을 환영합니다.▒

	컴퓨터바이러스 감염여부 확인 및 예방법 컴퓨터와 인터넷 관리자		관리자

			2009-02-11

1. 컴퓨터바이러스 감염여부 확인방법

컴퓨터바이러스는 정상적인 프로그램의 실행과정을 중간에서
가로챔으로써 여러가지 증상을 발생시킬 수 있으며,
컴퓨터바이러스 프로그램 자체에서도 여러 가지 부작용들이 생길 수 있다.
이러한 감염 증후를 파악함으로써 컴퓨터바이러스에 의한 피해를 최소화할 수 있다.

컴퓨터바이러스에 의한 증상은 일일이 열거할 수 없을 정도로 다양하지만,
공통적인 것을 모아서 분류하면 다음의 4가지로 나눌 수 있다.

가. 속도 저하

컴퓨터바이러스는 정상적인 프로그램 수행 과정 중에 일부 루틴을 가로채서
자기가 먼저 실행된 다음에 원래의 프로그램을 실행시키기 때문에,
그만큼 실행 속도가 저하된다.

컴퓨터 시스템이 부트 바이러스에 감염되었을 때는 부팅 시간이 길어지며
디스크를 읽거나 쓰는 속도가 떨어지게 된다.
파일 바이러스에 감염된 경우에도 프로그램을 처음 시작할 때 읽어들이는 속도가 현저히 떨어진다.

나. 감염 흔적

컴퓨터바이러스는 감염되는 과정에서 여러 가지 흔적을 남긴다.
메모리의 사용 가능한 기억장소의 크기가 줄어들거나,
파일의 길이가 커지거나 파일 작성일이 변경되기도 한다.

다. 파괴 증상

부트 바이러스의 경우 자신이 숨어있을 메모리의 확보를 위해
기본 메모리 크기를 조정하기 때문에 실제 기본 메모리보다 크기가 작게 나타나게 된다.
그리고 DIR 명령을 실행시킬 때 파일명이 깨져나오는 경우는 파일명이 기록되어 있는
루트 디렉토리를 바이러스가 차지하거나 원래의 부트 섹터 내용을 이 곳에 쓸 때 발생한다.

이외에 파일이 실행될 때 비정상적인 동작 또는 정지할 수 있으며,
시스템 자체의 정지, 파일 시스템의 파괴 등의 증상이 나타날 수 있다.

파일 시스템을 파괴하는 경우,
감염 즉시 파괴적 행위를 수행하는 바이러스와
점진적으로 파괴적 행위를 수행하는 바이러스가 있는데,
후자의 경우는 사용자가 모르는 사이에 큰 피해를 입힐 수 있다.

라. 컴퓨터바이러스별 특이 증상

컴퓨터바이러스 제작자가 컴퓨터바이러스에 의도적으로 포함시킨
특징적인 증상 또는 부작용이 나타날 수 있다.

이상 증상으로는 화면에 엉뚱한 말을 출력하는 등의 단순한 것부터 깃발,
벌레 등의 그림을 출력하는 것, 화면의 좌우를 완전히 뒤바꿔 놓는 것,
음악을 연주하는 것에 이르기까지 매우 다양하다.

2. 백신 프로그램

가. 백신 프로그램 이란?

컴퓨터바이러스를 예방, 진단, 치료하기 위해서
만든 프로그램을 백신 프로그램이라고 한다.
백신 프로그램은 컴퓨터바이러스가 처음 발견된 후에
해당 컴퓨터바이러스를 퇴치하기 위하여 처음 만들어 졌으며,
이후에도 새로운 컴퓨터바이러스가 발견되면 기존의 백신 프로그램에
신종 컴퓨터바이러스에 대한 퇴치 기능이 추가되는 형태로 제작된다.

나. 백신 프로그램 사용

백신 프로그램을 사용하기 전에 사용자 및 관리자가 백신 프로그램의 한계점을
올바로 인식한다면 컴퓨터바이러스에 의한 피해를 크게 줄일 수 있다.
백신 프로그램을 사용하기 전에 알아둘 사항은 다음과 같다.

컴퓨터바이러스에 대한 예방

컴퓨터바이러스에 대한 예방법을 올바르게 인지하고 있어야 한다.
백신 프로그램만 믿고 다른 기본적인 예방법을 소홀히 하면 안 된다.

최신 버전의 백신 프로그램 사용

항상 최신 버전의 백신 프로그램을 사용해야 하는 이유는
구 버전의 백신 프로그램은 그 이후에 발견된 신종 컴퓨터바이러스는
진단하지 못하기 때문에 신종 컴퓨터바이러스에 대해서는 속수무책이기 때문이다.
최신 버전의 백신 프로그램은 각 백신업체의 홈페이지에서 다운로드 받을 수 있다.

백신 프로그램에 대한 신뢰도

백신 프로그램에서 진단하지 못하는 컴퓨터바이러스가 있을 경우가 많다.
빠른 속도로 많은 신종 컴퓨터바이러스가 발생함에 따라 개발된 백신 프로그램이
완벽하게 모든 컴퓨터바이러스를 진단한다고 신뢰를 해서는 안 된다.

백신 프로그램에서 잘못 진단하는 경우도 있다.

컴퓨터바이러스 백신 프로그램은 진단을 위해서
컴퓨터바이러스의 일부분을 사용하게 되는데,
정상적인 프로그램이 우연히 컴퓨터바이러스와 동일한 부분을 가지고 있으면
정상적인 프로그램임에도 불구하고 백신 프로그램은 컴퓨터바이러스라고 잘못 진단하게 된다.

백신 프로그램을 이용한 자원의 복구

백신 프로그램이 컴퓨터바이러스를 제거해도
감염된 자원은 완전히 복구되지 않을 수도 있다.
복사 방지가 되어 있는 플로피 디스크나 특수한 종류의 하드디스크가
부트 바이러스에 감염되어 있을 때는 함부로 치료하면 안 된다.

복사 방지가 되어있는 플로피 디스크의 경우에는
컴퓨터바이러스를 치료하면 프로그램이 작동하지 않을 수도 있으며,

특수한 종류의 하드디스크의 경우에는
컴퓨터바이러스를 치료하면 하드디스크가 작동하지 않을 가능성이 있다.
따라서 이러한 경우에는 백신 프로그램으로 치료하기 전에 구입처에 문의를 해야 한다.

또한 파일 바이러스의 경우에도 감염되면서
원래의 파일에 있던 내용을 파괴하 는 경우도 있는데,

이러한 경우에는 백신 프로그램으로 컴퓨터바이러스를 제거할 수는 있지만
완전히 복구되지는 않는다.
따라서 실행 파일의 경우에는 치료한 다음이라도 실행되지 않을 수도 있으며,
자료 파일의 경우에는 치료한 다음이라도 자료를 복구하지 못할 수도 있다.

모든 파일의 검사

ZIP등의 압축형태의 파일이나 LZEXE등의 실행압축형태의 파일을
백신 프로그램으로 검색하는 경우에는 실행 옵션에 따라 백신 프로그램이 검색하지 않고
그냥 통과하는 경우가 있는데 이를 간과해서는 안되며 가능한 압축된 파일 내에
컴퓨터바이러스에 감염된 파일이 존재하는지 확인해 보는 습관을 가져야 한다.

3. 관리적 예방 및 대응요령

컴퓨터바이러스의 예방을 위해서는 일반적으로 사용자 측면의 방지 지침과
시스템 관리자 측면의 방지 지침을 작성하여 준수하여야 한다.
그리고 컴퓨터바이러스 피해로부터의 신속한 복구를 위한
대응지침 또한 중요한 대비책중의 하나이다.

사용자들은 컴퓨터 사용시 반드시 사용자 예방지침을 읽고 이에 동의하여야 한다.
이 지침의 목적은 사용자들이 모든 지침들을 숙지하도록 하고,
컴퓨터 보안에 있어서 사용자들의 적극적인 참여가 필요하다는 것을 인식시키는 것이다.

시스템 관리자 측면의 방지 지침은

중대형 컴퓨터의 유지와 안전을 책임지는 시스템 관리자를 지정하도록 하며,
시스템 관리자가 컴퓨터 사용과 관련된 지침과 절차를 만들어 사용자들이 이를 따르도록 한다.
컴퓨터 초보자들은 이 지침을 따라야 하며,
사용자들이 모든 지침과 절차를 적절히 따르도록 하기 위해서는 사용자 교육이 필요하다.

가. 사용자 지침

(1) 소프트웨어 관리

판매자와 공급자가 명확히 확인되고 갱신 정보가 확실한 소프트웨어,
유해한 코드나 파괴적인 요소가 없다고 검증된 소프트웨어를 사용한다.

믿을 수 있는 업체의 정품 소프트웨어만을 사용한다.

소프트웨어에 대한 정보, 업체 주소, 전화 번호,
라이선스 번호, 버전, 수정 정보를 완벽하게 관리한다.

원본 프로그램을 안전하게 저장한다.

즉, 쓰기 방지를 하고 복사본을 만든다.

소프트웨어를 안전한 장소에 보관한다.

운영체제를 포함한 설치된 소프트웨어의 환경 보고서를 관리한다.

이러한 정보는 나중에 소프트웨어를 다시 설치할 때 필요하다.

환경보고서 내용으로는 설치일, 시각, 소프트웨어명, 버전, 라이센스 번호,

원본 및 백업본 저장장소, 업체 연락처 등을 기입하도록 한다.

타 사용자가 네트워크를 통해 들어와 시스템 소프트웨어와
데이터에 접근할 수 없도록 쓰기 금지를 해야 한다.

사용자가 소프트웨어 공유장소로서 서비스되는 디렉토리를 제공했을 경우,
그 디렉토리에 대해 쓰기 금지하는 등 기술적 통제를 하여야 한다.

사용자들이 소프트웨어 저장소에 두기를 원하는 소프트웨어에 대해서는
반드시 시스템 관리자에게 알린다.

사용자들이 디렉토리로부터 소프트웨어를 복사하기 전에 우선
그들의 이름을 등록하게 함으로써 누가 소프트웨어를
어느 곳에 설치하였는가를 추적할 수 있도록 한다.

통신망을 통한 출처가 불분명한 소프트웨어는 받아들이지 않는다.
필요한 경우 새로 입수된 소프트웨어가 기존의 다른 소프트웨어에 해를 주지 않도록,
격리된 시스템에서 테스트한 후 사용하도록 한다.

(2) 운영 관리

일반적인 시스템 사용자가 컴퓨터를 사용할 때,
컴퓨터바이러스 감염을 방지하기 위해서 알아두어야 할 사항은 다음과 같다.

타인과 공유하는 파일이나 PC 통신망, E-Mail, 인터넷 등을 통하여
외부로부터 습득한 파일은 사용하기 전에 반드시 컴퓨터바이러스 검색을 실시한다.

컴퓨터바이러스 감염을 즉시 탐지할 수 있도록 시스템 운영상의 변경 사항
(날짜 변경, 특정화일 크기 변경, 시스템 정보변경, 디스크, 메모리 크기변경 등)을 기록 관리한다.

컴퓨터바이러스 감염을 조기에 발견하기 위해 최신 정보로 업데이트 되어있는
백신 프로그램을 이용하여 정기적으로 컴퓨터바이러스 감염여부를 검색한다.

네트워크를 통하여 소프트웨어 및 데이터에 접근하는 것을 막기 위해 패스워드 관리를 철저히 한다
(쉬운 패스워드 사용하지 않기, 공유 패스워드 없애기, 주기적인 패스워드 변경 등).

인가되지 않은 사용자가 몰래 시스템을 사용할 수 없도록,
시스템을 입력대기 상태로 남겨두지 말아야 한다.

전문 기관으로부터 신종 바이러스에 대한 정보를 습득하고,
공지를 통하여 컴퓨터바이러스에 의한 피해를 사전에 예방한다.

(3) 사후 지침

컴퓨터바이러스에 감염이 된 경우
사용자는 감염의 확산을 방지하고 피해를 최소화하기 위해 다음 사항을 따른다.

컴퓨터바이러스에 감염되었을 경우,
시스템 사용을 일시 중지하고 즉시 시스템 관리자에게 통지한다.

최신 컴퓨터바이러스 백신 프로그램을 수행하여 컴퓨터바이러스 검사 및 복구를 실시한다.

복구가 되지 않거나 시스템 부팅 불능 등의 상황이 발생하면
시스템 관리자 및 백신업체 등 컴퓨터바이러스 치료 전문가에게
이를 즉시 통지하고 그의 지시에 따른다.

컴퓨터바이러스 감염에 의한 손상 확산을 막기 위해
시스템 복구에 대해 관리자 및 컴퓨터바이러스 치료 전문가의 자문을 구한다.

컴퓨터바이러스 감염 후에는 바이러스가 확산되지 않도록
치료가 완료되기 전에는 절대로 파일을 다른 시스템에 복사하지 않는다.

의심되는 파일 및 디스켓, CD-ROM 등을 철저히 검사하여 컴퓨터바이러스의 감염경로를 파악한다.

컴퓨터바이러스 감염의 확산을 막기 위하여 감염된 CD-ROM은 파기한다.

치료 후 컴퓨터바이러스 감염 경로, 컴퓨터바이러스 치료 절차,
파악된 컴퓨터바이러스 종류, 증상, 일시 등을 기록으로 남겨 추후 재감염에 대비한다.

컴퓨터바이러스 치료 후 이 사실을 타인에 알려 치료 방법 등을 공유 한다.

나. 시스템 관리자 관리 지침

(1) 소프트웨어 관리

소프트웨어 게시판이나, 네트웍 등에서 소프트웨어를 다운 받을 때,
악성 소프트웨어에 감염될 위험이 있다,
감염으로부터 사용자를 보호하기 위해 관리자는 아래 사항을 실행하여야 한다.

사용자에게 악성 소프트웨어의 특성,
이러한 소프트웨어의 확산과 이를 방어하기 위한 기술적, 관리적 지침 등을 교육하여야 한다.

공용 소프트웨어의 다운 로드시 백신 프로그램 등으로 무결성 검사를 반드시 거치도록 한다.

일반 사용자가 소프트웨어를 설치할 수 없도록 한다.
사용자는 우선 새로운 소프트웨어가 입수되면 시스템 관리자에게 알리도록 한다.

그리고 컴퓨터바이러스와 관련된 위험에 대하여 잘 알고 있는
사용자가 소프트웨어가 다른 소프트웨어나 데이터를 변경시키거나 지우지 않는다는 것을
확인하는 시험을 수행한 후 설치한다.

일반 사용자가 직접 공개 도메인, 다른 시스템, 내부 시스템으로부터
획득한 소프트웨어를 시스템에 추가할 수 없도록 해야 한다.

일반 사용자들을 타인의 무단접근으로부터 데이터를 보호하도록 교육한다.
사용자들이 접근 통제와 파일 보호 메커니즘을 사용하는 방법을 숙지하도록 하여
다른 사람들이 자신의 파일을 수정하지 못하도록 한다.
가능하면, 사용자가 생성한 파일은 그 사용자만 접근할 수 있도록 하고
다른 사람은 접근할 수 없도록 파일 보호 설정을 하게 한다.

사용자의 소프트웨어 다운로드를 기술적으로 통제할 수 없을 경우,

LAN서버나 다중 사용자 디렉토리에 소프트웨어를 저장하지 않도록 한다.

신뢰할 수 있는 곳으로부터 상용 소프트웨어를 구매한다.

긴급사태에 대비하여 쉽게 구할 수 있는 곳에 소프트웨어를 보관한다.

문제가 발생하였을 경우 업체와 즉시 접촉할 수 있도록 연락체계를 확인 해 둔다.

구입한 프로그램의 디스켓, 테이프, CD-ROM등을 안전한 장소에 저장 해 둔다.

(2) 컴퓨터 관리

컴퓨터바이러스 검색 조치를 순조롭게 실행하기 위해 컴퓨터 관리 정책을 명확히 수립한다.

컴퓨터바이러스 감염을 막기 위해 새로운 장비를 설치할 때 컴퓨터바이러스 검색을 수행한다.

컴퓨터바이러스 감염 손상에 적절히 대응하기 위해
설치된 하드웨어 및 소프트웨어의 상세 정보를 남겨둔다.

인가되지 않은 접근에 의한 컴퓨터바이러스 감염 확산을 막기 위해
시스템에 접근할 수 있는 사용자나 관리자의 수를 최소화한다.

(3) 네트워크 관리

컴퓨터바이러스 감염확산 범위를 확인하기 위해
네트워크에 연결되어 사용한 사용자 목록을 관리하는 체계를 세워 유지 관리한다.

컴퓨터바이러스 감염 손상에 적절히 대응하기 위해
긴급사태 경보 시스템을 설치하고,
사용자들에게 이러한 경보의 의미와 필요한 대응 조치를 명확히 알려 주도록 한다.

인가되지 않은 접근에 의한 컴퓨터바이러스 감염 및
손상 방지를 위해 외부 네트워크로부터 사용자 접근 통제를 실시한다.

인가되지 않은 접근에 의한 컴퓨터바이러스 감염 손상을 막기 위해
공유 프로그램이 저장된 디렉토리에 일반 사용자의 쓰기 권한을 막는다.

(4) 운영 관리

컴퓨터바이러스 감염 손상에 적절히 대응하기 위해
사용중인 시스템을 정기적으로 백업하여 일정기간 동안 보존한다.

컴퓨터바이러스 감염에 의한 손상을 방지하기 위해
익명으로 사용 가능한 서비스의 수를 제한하도록 한다.

인가되지 않은 접근을 감지하기 위해
접근 기록정보를 정기적으로 분석하여 악의의 접근을 막는데 활용한다.

컴퓨터바이러스에 의한 감염을 조기에 검색하기 위해
정기적으로 컴퓨터바이러스 검색을 수행하며 최신 백신 프로그램을 사용한다.

(5) 경영 관리적 지침

컴퓨터 사용자들에게 컴퓨터바이러스에 대한 피해와 경각심을 고취시킨다.

모든 외부 프로그램을 회사 내부 시스템에 도입하는 것을 통제하여야 한다.
여기에는 외부에서 얻은 복사본, 상용통신망(PC 통신망)을 통해 얻은 프로그램,
E-Mail을 통한 프로그램, 인터넷을 통한 프로그램,
가정에서 사용하던 프로그램 등을 포함한다.

E-Mail 또는 인터넷 등 외부 통신망과의 접촉을 위한
전용 시스템(Stand-alone system)을 갖는 것이 바람직하다.

중요한 파일의 원본을 독립된 곳에 보관하고 주기적으로 비교한다.

회사 전체의 정보시스템 보안정책을 적절히 수립하고 실행계획을 장기적 안목에서 수립한다.

(6) 사후 검색

컴퓨터바이러스 감염 발견시 감염된 시스템 서비스를 중지시키고
백신 프로그램 등으로 치료 후 재개시킨다.

컴퓨터바이러스 발견시 시스템 사용자에게 필요한 정보를 즉시 전달하여 감염확산을 막는다.

컴퓨터바이러스 치료 후 컴퓨터바이러스 종류, 증상, 감염 위치, 일시 등을 확인해 두어
재감염시 대처할 수 있도록 한다.

컴퓨터바이러스 재감염을 방지하기 위해 원인을 분석하고 예방조치를 취한다.

컴퓨터바이러스 감염에 의한 손상의 재발을 방지하기
위해 특정 전문가에게 필요한 정보를 알려 주고 자문을 구하며 대책을 수립한다.

(7) 사용자 교육

컴퓨터바이러스와 관련 위협에 대한
사용자 교육은 잠정적인 사고의 지연, 검색, 복구 능력을 향상시켜 준다.
따라서 관리자는 시스템 사용자에게 보안 조치와
컴퓨터바이러스 예방 조치 법 등을 교육하고 계몽하여야 한다.

악성 프로그램의 작동, 확산 방법, 악용 가능성, 시스템 취약성 등에 대한 대처 요령

보안 정책 및 절차

공개 소프트웨어의 백업, 저장, 사용 정책

기술적 대응책

컴퓨터바이러스 제거 지침, 제거방법

시스템이나 소프트웨어 모니터링 방법

긴급사태 대응 절차

(8) 기록

컴퓨터바이러스 예방 및 대처능력의 효율성을 높이기 위해
컴퓨터바이러스 감염 및 조치에 대한 기록을 남겨두어 추후 재감염에 대비한다.

다. 비상 대응책

컴퓨터바이러스나 관련 위협에 대한 비상 대응책의 목적은
이러한 공격에 대한 완벽한 복구를 위한 것이다.

사용자 교육, 기술적 통제, 소프트웨어 관리, 감시를 포함한
효과적인 시스템 관리는 비상 대응책의 수립에 도움을 주며,
컴퓨터바이러스 공격에 보다 효과적으로 대응할 수 있도록 해준다.

시스템 관리 활동 외에 관리자는 컴퓨터바이러스나 관련 위협에 대한
비상 대응책을 고려하여야 한다.

가장 효과적인 비상 대응책은 백업이다.
컴퓨터바이러스로부터의 복구 능력은 데이터의 주기적인 백업에 의존한다.

백업 데이터를 체크하여 파괴여부를 확인하여야 한다.
백업 절차가 부정확하거나, 백업 소프트웨어에 대한 공격,
데이터 결함 등으로 인해 백업 데이터가 손상될 수 있다.

컴퓨터바이러스 감염 후 비상 복구 대응책 또한 중요하다.
백업은 프로그램에 숨겨진 컴퓨터바이러스를 포함할 수 있으며,
이를 이용한 복구는 또 다른 문제를 발생시킬 수 있다.

따라서 복구 시에는 원본 프로그램을 이용하여야 한다.
매크로 언어를 사용치 않는 대부분의 데이터는 직접적으로 실행되지 않으므로
백업파일로부터 복구할 수 있다.
백업 등을 위한 명령어 파일은 컴퓨터바이러스가 없는 상태로 보존하고 있어야 한다.

이외에도 컴퓨터바이러스 공격에 대비한
다른 비상 대응책이 있어야 하며 아래 항목을 고려하여야 한다.

시스템 구성, 소프트웨어, 네트워크, 모뎀, 시스템 관리자,
책임자 등에 대한 정확한 기록을 보존하여야 한다.

컴퓨터바이러스 검사, 치료 등을 수행하는 프로그램 수행 절차를 마련 해 둔다.

재감염 방지를 위해 기존의 복구 사례 기록을 활용한다.

비상시 사용자들이 연락할 수 있는 컴퓨터바이러스 대응 기술반을 편성 한다.

문제 발생시 보안 사항을 알려주기 위한 비상 연락망을 보존한다.

중요 시스템을 네트워크로부터 분리시킨 후 복구한다.

[출처 : CERTCC-KR]