티스토리 뷰

컴퓨터 관련

컴퓨터상의 문서 보안과 시스템 보안 문제

진리와 가치를 고루고루 2012. 3. 25. 18:27

[요약내용]

컴퓨터상의 문서 보안과 시스템 보안문제

결론 -- 심각하다.

● 이번에, 목록을 작성하면서 문서를 작성하고 관리하는 매크로를 작성하면서,
( 관련글  )
컴퓨터 보안과 관련한 내용을 예제 텍스트로 넣었는데,

문서작성을 생각해보니 개인의 일기장이라던지 상업적 출판을 목적으로 글을 작성한다던지,

기타 개인 회계와 관련된 문서를 작성한다던지 하는 경우에는 문서 보안이 필요할 것도 같습니다.

특히 위 페이지에 소개한 문서작성방식은 htm 파일이나 텍스트 파일형태로만 문서를 주로 작성하는 것을 예정해서 구성되어 있기에

문서 보안이 취약하다고 봅니다.

그래서 별도로 보안 삭제용 핫키나 보안 압축방법에 관한 매크로도 넣고

또 관련정보도 소개했는데

사실 이런 방법은 Dos 시절부터 통용되던 아주 단순하지만 기본적인 보안 방법이기도 합니다.

보다 전문적인 삭제방법은 삭제시에는 Bcwipe 같은 wipe 전문프로그램이나

기타 보안 목적의 다양한 프로그램들을사용해야겠지만,

그것은 본인의 매크로에서까지 지원해주기는 곤란하다고 보고 이 정도로 그치기로 합니다.

또 업데이트 파일에서 마련해 넣은 보안 압축이란 별 방법이 아니고

rar 프로그램에서 지원해주는 다음 옵션 -dw -hp 을 추가로 사용하는 것을 말합니다.

매크로 스트립트에서는

run, %A_scriptdir%\rar.exe a -ep -dw -hp%pCountt% "%rule%.rar" "%rule%", %nOD%

이라고 명령어가 사용되었는데

여기서 -dw란 압축에 넣는 파일을 압축하고 나서 wipe 삭제처리하라는 명령이고

-hp 는 암호를 넣어 파일을 압축할 때 그 파일의 이름이나 헤더도 외부에서 쉽게 보이지 않게 압축하라는 명령입니다.

○ 여하튼 대강 그 정도의 보안 방법을 마련해 넣고작업을 마치고 본인 작업을 시작하려는 데

주위분이 또다시 해커의소행으로 의심되는 형태로 시스템도 망가지고 했다는 소식을 접하게 되어서

~~ 다시 OS 시스템과 관련한 일반적인 보안 방법을 간단히 소개해보고자 합니다.

○ 우선OS가 정품인 경우 보다는어둠의 경로로 불법 다운받아 사용하는 이가 많고

또 그런 가운데보안 업데이트도 받지 않고 사용하다가,

시스템이 해킹되었다거나, 망가졌다는 소식을 주변에서 많이 듣게 됩니다.

그런 경우 시스템을 복구시켜 주고조금 대책을마련해서 고쳐주고
그리고한참 지나면또다시 시스템이 부서졌으므로 다시 고쳐달라는소식을 듣게 되는데

너무 험하게 사용해서 그러나 하고 내용을 알아보면 그저 쇼핑이나 하고, 그랬다고 합니다.

그러나망가지고 고쳐주고 하는 것이한 두번이어야지,

비슷한 일을 매번 반복해서 하려다 보면 좀 곤란함을 느끼게 됩니다.

너무 자주 시스템이 망가진다면,

OS도 정품을 사서 쓰고 컴도 좀 좋은 컴을 써야 하는데,

어디서 갖다 버린 컴[ 말 그대로 완전한 "트로이 목마"형 컴(^^)]을 줏어와 사용하는 경우가 많습니다.

그래서 그 안의 OS 구성내용이나 기본 장착된 프로그램 내용들도 좀 살펴보면

상당히신뢰가 가지 않은 상태임을 쉽게 발견하게 됩니다.

한 분은 최신형을 누가 이사 가면서 버리고 갔는데

성능이 너무 좋다고 자랑입니다만,

개인적으로 판단해보면 이는 정말 그 컴퓨터 자체가 "완전한 트로이 목마"자체라고 생각됩니다. (^^)

( 아마 그 분 생각은 ~~ㅎㅎㅎ 이것을 가져다가 잘 쓰라...ㅋㅋㅋ ) 아니었을까요?

○ 여하튼사정이 다양한 가운데

한 번 시스템이 망가지면 다시 OS 설치하고 사용하는 프로그램 일일이 다시 설치하고

설정도 잡아주고 데이터도 복구하고 이런 작업이 얼마나 귀찮고 시간이 많이 걸립니까.

그런 일을 한 두번 반복해 경험하다 보면 다음과 같은 교훈을 얻게 됩니다.

● 우선 최우선적으로개인 작성 데이터는 잘 백업관리해야 한다는 점입니다.

이것이 무엇보다제일 우선적이고 중요한일입니다.

이런 데이터는 상실되면 다른 사람들이 아무리 노력해도 복구해주지못하는 경우가 많기때문입니다.

프로그램이나 OS야 정말 시간만 좀 들이면 원상 복구가 가능하지만,

개인이 찍은 사진이나 시간을 들여 작성한 글이나,, 이런 것들은

복구가 쉽지 않고 개인에게 엄청난 타격을 주기 때문입니다.

=> 백업의 중요성!!!

● 한편 해킹으로부터의 보안대책은 무엇인가?

생각해보면

세계적으로 해커가 수도 없이 다양하고 해킹 목적도 해킹 방법도수없이 다양하기에

그 수많은 방법을 다 제대로 막아낼 방안을 찾기는 곤란하다고 봅니다.

특히 한국이 인터넷 속도가 세계에서 가장 빠르다고 소문이 난 이후

세계의 최고 해커들은 대부분 한국 컴에 침투해 자신의 뜻을 성취해보려고 하는 경우가 많다고 합니다.

그래서 많은 경우,

바이러스나 트로이 프로그램을 퇴치하는 프로그램을 사용하게 되는데,

그러나 이렇게 해도 어둠의 경로로OS를 다운받아설치하는 경우에는

이 방법으로는 보안에 의외로 취약한 부분이 있게 됩니다.

그것은 OS 자체가 어둠의 경로로 받아 시스템을 설치하게 되면,

해킹 자체가 트로이 목마같은 프로그램으로 이뤄지는 것이 아니라,

원래 OS 자체에서 '정식으로 합법적으로 지원해주는' 원격조종 기능들을 통해곧바로 해킹에이뤄지기 때문이라고 봅니다.

이 경우는 해킹이 원래 OS에서지원해주는 다양한 방법을 통해

정상적인 시스템 파일들과 프로그램을 통해이루어지기 때문에,

바이러스나 트로이 목마 프로그램 퇴치 프로그램을 사용해서는 이를 감지해내거나 사전에막거나

검사해 퇴치해 줄방법이 처음부터 없기 때문입니다.

그래서 보안문제에서아주 큰 빈틈이 생기게 됩니다.

모두가 다 정품 OS를 사용하고 보안 팻치 업데이트를 꾸준히 받고 바이러스퇴치프로그램도 가동시키고,

비상시 원상회복 방법을 통해 정상상태로 되돌리고, 시스템 ghost 백업 등등을 행하면서

사용한다면 피해가 비교적 좀 덜 발생하게 될텐데,

그러나 각 개인들이 다 그렇지는 않기에, 이런 부분들에서 큰 보안의 빈틈이 생기게 되는 것이라고 봅니다.

● 이런 경우들을 대비하여 일단 다음과 같이 시스템 보안방법을 간단히 소개하기로 합니다.

○ 우선 가능한 정품 OS 를 신뢰할 만한 경로로 구입해서 보안 업데이트를 꾸준히 받아가면서 사용하고

프로그램들도 꼭 사용할 프로그램들만 정상적인 프로그램들을 정식으로설치해 사용합니다.

그러나 그것이 당장은 곤란하다면 임시적으로 다음 방안들을 강구해 봅니다.

○ 우선현재, 자신이 작성해둔 데이터가 시스템파일이나 프로그램 폴더들과 함께 한 드라이브에 있다면

가능한 파티션을 분리하여 보관하거나, 별도의 저장매체에 자주 백업해 관리합니다.

- 먼저 처음 하드디스크를 구입 설치할 때 가능한 시스템 프로그램 용 드라이브와 데이터 드라이브를 파티션을 나눠 사용하도록 합니다.

- 사용중이더라도 가능한 partition magic 과 같은 프로그램을 이용하여 파티션을 분리해 낼수 있는지 검토합니다.

- 비스타나 윈도우 7 등의 경우에는 사용중에도 (사용초기에는) 내 컴퓨터 - 관리 - 디스크 관리 에서 볼륨 축소 등이 가능하기도 합니다.

- 사용중일 때는 기존 시스템 상 드라이브 상의데이터를 별도 USB 드라이브 등에 bestcrypt나 truecrypt 등등과 같은 전문 보안 프로그램을 통해

보호 파티션이나 파일을 마련해잘 백업 보관해둡니다.

usb 메모리 스틱이나 usb하드디스크 들을 이용해 백업할 때는이동시 분실 염려가 많기 때문에 이런 프로그램 들을 통한 보호조치가 반드시 필요합니다.

○ 한편 자신이 OS에서 정식 지원해주는 "원격 조종 기능"을 사용할 필요를 느끼지않는다면, 이에 관련된 설정내용들을 모두 찾아해제시킵니다.

전에도 한번 설명해 드린 것 같지만,

인터넷으로 유통되고 불법 다운받는OS가전부 그렇다고는 말하기 힘들지만,

상당수의 경우는 그 OS 내부에 각종 해킹 장치가 합법적으로 다양한 형태로 중첩 구성되어 들어가 있고

따라서 종합 해킹 상자라고 보심이 옳지 않을까 합니다..

왜 어떤 전문 기술자가 그 어려운 OS 시스템을 일일히 손 보아서 아무 대가도 받지 않고 쉽게 다운받아 사용하도록

제공해주는 것인가? 왜 그런 엄청난 수고를 하는가.


여하튼 원래 윈도우에서는사용자가 편하게 사용할 수 있도록원격 조종 기능을 갖추고 있습니다.

이를 사용자 자신이 기능을 잘알아서 자신의 업무 목적에 잘 사용하면 좋은데,
그러나 그 OS를 그렇게 개조해
공중에 뿌려준 분이 다른 이들의 컴퓨터를 상대로 그 기능을행사하면 좀 이상하다고보게 됩니다.


그러나 정작 그런 OS를 개조하거나 변형 제작해 유포하는분은 그렇게 생각하지 않을 겁니다.
우선 사용이 매우 편하게 제작되었다.

설치시 등록키를 일일이 넣지 않아도 되고, 웬만한 설정이나 프로그램도 일일히 설치안해도 이미 기본으로 설정되어 있고 설치되어 있다.

그리고 설치 후에 바이러스 검사를 안 해도 되고 설령 해 본다해도 아무런 이상도 없다고 결과가 나온다.
그러나 그 이유는 왜인가..그것은 그렇게 설치한 컴퓨터 시스템들이바로 내 컴이나 마찬가지기 때문이야~~~~아마 이렇게 생각할 겁니다.

그리고 사실 그렇게 변형 제작된 OS를 다운받아 설치한 시스템들은 수만대가 사실 그 분의 시스템이라고 해도 지나치지는 않다고 봅니다.

● 그런데그 소유자가 자신의 컴을 들여다보고 필요하면 변경도 시키고 작업 명령도 내리고, 복사도 해오고 등등 한다고 하면

무엇이 잘못이고 무엇이 불법인가?

그러나 생각해보면, 예를 들어, 부부간에 사랑을 나누거나 서로 바라 보면 정상적인데,
그것을 외간남자나 외간여인 사이에서 행하면 불법인 이치와 마찬가지라고 봅니다.

시스템을 설치한 사람이 자신의 컴들 사이에서 그런 작업을 하면 원격 조정을 하면 정상적인데,

그렇지 않은 경우에 그런 행위를 하면, 결국 아주 훌륭한 트로이 목마를 제조해서 곳곳에 배포한 것과 마찬가지가 됩니다.

○ 그래서 의외로 보안이 취약한 부분이 이런 불법 개조 OS 들에서 다수 발생할 가능성이 있다고 봅니다.

대부분 이런 불법 OS로 설치된 시스템은 원래 OS가 지원해주는 "원격조정 기능"들이 모두사용가능한 상태로 기본 설정되어 있습니다.

그것은 OS가 원래 지원해주는 원격조정 기능을 통해 곧바로 아주 효과적인 트로이 목마 기능을 실행하게 된다는 의미도 됩니다.

그러나 만일 불법OS를 설치한 이가 나중에 자신이 그 시스템의 관리 권한을 완전히 차지하기 위해

사용자 계정에서암호를 설정해, 로그인 절차를 보호해 보려고 하거나,

새 관리자를 등록시키거나 등등의 작업을 수행하면,

그 이후 부팅시부터는 곧바로 정상 작동이 안되는 상태에 직면하게 됩니다.

그런 관계로, 상당히 조심해야 할 부분이라고 봅니다.

○ 이런 상태라면 원칙적으로 자신이 작성한 데이터를 백업받고 해당 시스템은 폐기하고

정상 시스템을 설치해야 하는데 이것이 당장 힘든 경우가 많으므로,

그런 경우에는

우선 자신이 작성한 데이터를잘 백업 보관한 상태에서

다음과 같은 임시 방편을 통해 조치를 취해 보아야 한다고 봅니다.

● 그러나 다음에 소개하는방법들도 사용자별로 시스템 사용 상황과 사용목적이 다 다르니,

자신의 시스템에서 안전한 방법인지 테스트 하기 위해 다음에 소개하는 방식대로 안전장치를 마련해두고

해나가는것이 좋을 듯 합니다.

○ 1차- 윈도우 시스템 원상 복구 방법의 마련

우선 부팅만 다시 하면 이전 상태로 그대로 원상 복구되는 프로그램을 마련합니다.

그런 목적의 프로그램으로는 대표적으로 Deeep freeze나 Shadow defender 등이 있는데

그 외에도 같은 기능을 유사하게 행하는 프로그램이 수없이 많습니다.

이들은 PC 방이나 도서관등 다중이 시스템을 사용해 시스템 고장이 발생할 가능성이 많은 환경에서 사용하는프로그램들입니다.

포맷을 하거나, 파일을 삭제해도 부팅을 다시하면 원상태로 다시 복구되게 하는 프로그램입니다.

반대로 시스템 사용중에는 가상 모드로 사용되기에 자료를 저장할 때에는 별도 매체에 저장하지 않으면 그 자료가 상실될 수 있다는

점도 주의해야 합니다.

또 원 처음 상태가 각종 해킹에 노출되고 바이러스가 걸려 있는 상태라면 치료하고 치료해도 부팅만 하면

다시 원상태로 된다는 점도 함께 주의해야 합니다.

그래서 테스트를 마친 후 설정을 바꾸려면 일단 보호모드를 해제한 후 작업하고 다시 보호모드로 들어가야 합니다.

Deep freeze나 Shadow defender 나 암호관리를 잘하고, 암호설정을 통해 각 관리기능을 사용할 수 있도록 설정을 해두어야

보호에 안전을 기할 수 있습니다.

여하튼 이들 프로그램을 마련해 설치하여

최소한 어떤 작업을 이후 하더라도 문제가 생기면

재부팅하면일단 작업 이전의 상태로는 되돌아갈 수 있도록

방책을 마련해 두고,

다음 작업들을 진행해봅시다.

○ - 일단 시스템 초기 상태가 테스트 과정에서 잘못되어도 적어도 원상태로 회복할 수 있는 상태가 되었다면,

이제 다음과 같이 테스트 차원에서 실행해봅시다.

○ 우선 자신이 원격조정 기능을 사용하지 않는데 설정이 되있다면 이에 관련한 설정을 모두 찾아 해지해봅시다.

○ 일단 원격조종 기능이란 무엇인가부터, 알아봅시다.

원래 윈도우 도움말에 다들어 있지만 모든 사용자가 이 도움말 내용을 다 읽고나서

OS를 사용하는 것은 아니므로

OS가 본래부터 지원해주는 원격조정기능이란 무엇이고 그 기능을 통해 원격사용자가 어떤 일들을 하는 것이가능한가 부터 이해하는 것이 필요하다고 봅니다.

그런 뜻에서 가장 기초적으로- 해당 부분 윈도우 도움말을 약간만 발췌 복사해 보면 다음과 같습니다.

원격 데스크톱 개요

원격 데스크톱을 사용하면 다른 컴퓨터에서 작업할 때 사용자의 컴퓨터에서 실행 중인 Windows 세션에 액세스할 수 있습니다.

예를 들어, 집에서 회사의 컴퓨터에 연결할 수 있으며 회사의 컴퓨터 앞에 앉아 있는 것처럼 모든 프로그램, 파일 및 네트워크 리소스에 액세스할 수 있습니다.

회사에서 프로그램을 실행시킨 상태로 집으로 돌아와서 회사의 데스크톱에서 실행되는 동일한 프로그램을 집의 컴퓨터에서 볼 수 있습니다. .....

등등이고, 그 외 원격 테스크톱 기능을 사용자가 사용하기를 원할 때 방법이 자세하게 소개되어 있습니다.

기능 설명을 보면, 다음 내용도 참조할 수 있습니다.

많은 원격 데스크톱 및 터미널 서비스 연결이 클립보드 공유를 제공하므로

원격 세션에 있는 동안 사용하는 프로그램에서 로컬 컴퓨터(현재 사용 중인 컴퓨터)에서 실행 중인 프로그램 등으로 잘라내고 붙여 넣을 수 있습니다....

원격 데스크톱 연결 창 내의 문서에서 텍스트나 그래픽을 복사하여 로컬 컴퓨터의 문서에 붙여 넣을 수 있습니다. ..

=> 이는 즉컴퓨터 사용자가 사용중 복사해 사용하는내용도 원격 사용자가 수시로 자신도 상대와 동등하게 사용할 수 있다는 이야기입니다.

..

원격 데스크톱 세션에 Windows 바로 가기 키를 적용하지 않으면터미널 서비스 바로 가기 키를 사용하여 많은 동일 기능을 수행할 수 있습니다.

=> 이는 터미널 서비스를 이용해도 같은 기능을 수행할 수 있다는 이야기입니다.

원격 데스크톱 웹 연결을 사용하여 인터넷을 통해 원격 컴퓨터에 연결할 수 있습니다.

이렇게 하려면 원격 컴퓨터에서 Windows를 실행 중이어야 하고 원격 데스크톱 웹 연결이 설치되어 있어야 합니다.

다음은 웹 연결을 사용하여 원격 컴퓨터에 연결하는 방법입니다.

  1. Internet Explorer나 다른 웹 브라우저를 열고 원격 컴퓨터의 이름 또는 IP 주소와 /tsweb/를 차례로 입력하여 URL을 입력합니다. 예를 들면 다음과 같습니다.
    • 컴퓨터 이름이 MyComputer이면 http://mycomputer/tsweb/를 입력합니다.
    • IP 주소가 192.168.1.120이면 http://192.168.1.120/tsweb/를 입력합니다.
  2. 원격 데스크톱 웹 연결 로그온 화면에 서버 이름(원격 컴퓨터 이름)을 입력하고 연결을 클릭합니다.
  3. 사용자 이름과 암호를 입력하고 확인을 클릭합니다.

연결을 끊으려면 로그오프하고 브라우저를 닫습니다.

참고

  • 원격 컴퓨터에 연결할 수 없고 방화벽을 사용하고 있으면 TCP 포트 80을 여십시오. 포트를 여는 방법은 해당 방화벽과 함께 제공된 설명서를 참조하십시오.

=> 이 도움말의 내용은 즉 원 OS 배포 제작자가 이후에 사용자들의IP 주소만 알아내면,

그 이후 자신이 배포한 OS를 설치한 컴에 자신이 미리 구성해 놓은 내용대로 모든 컴퓨터 기능을 자유롭게 이용가능하게 된다는 의미입니다

중복되는 감은 있지만 아래에 대강 윈도우 도움말의해당부분을 캡쳐해서 함께 올려봅니다.



[이미지 a-001]




[이미지 a-002]



[이미지 a-003]


사실본래 윈도우 OS는 그런 OS의 변형제작 배포자를 위해서라기 보다는

정품 구매 사용자들이 각기원하면 원격조정기능을 사용해 장소에 관계없이 편하게 컴을 사용할 수 있도록

원격조정 기능을 마련해 두고 자세한 사용 설명서와 함께

원격 조정실행에 필요한 환경을 제공해주고 있습니다.

○ 만일 정상적 정품 OS을사용하는 상태라면,

외부 해커는이런원격 조종기능을 자신이 획득해내기위해

같은기능을 갖는 트로이 목마와 같은 프로그램을 그 시스템안에 별도로 침투시키려고 다양한 노력을 하게 될 것입니다.

그래서 특정 프로그램 파일안에해당 트로이 목마 프로그램을 함께 넣어 두거나

프로그램의 일부 기능이 동일한 목적을 실현하도록프로그램들을 만들어 제공하거나,

불법 프로그램 다운로드 사이트 이용 과정에서그런 프로그램이 타인의 시스템에 자동설치되도록 각종수단을 동원하게 될 것입니다.

그러나 윈도우 OS 자체를 불법으로 다운받아 사용하는 이에게는

이런노력들이 별도로필요없다고 해도 지나치지 않습니다.

정품 윈도우에서 제공해주는 각종 원격조정 기능만을이용해도

그런 트로이 목마 프로그램들을 침투시켜실현하고자 하는 목적이 모두 정상적으로 실현이 되기 때문입니다.

○ 일단 사정이 그렇다고 하고,

이제, 이 기능을 정지시켜 보려 노력합시다.

●[ 기본적인 설정 변경 ]

이제 여하튼 그런 상태에서 원격 데스크톱 기능을사용하지 않으려면 다음과 같이 합니다.

  1. 제어판에서 시스템을 열고 원격 탭의 원격 데스크톱에서 이 컴퓨터에 대한 연결 허용 안 함 확인란을 선택하고 확인을 클릭합니다.

참고로 원격 데스크톱 기능을 사용하지 않도록 설정하려면 관리자 또는 Administrator 그룹의 구성원으로 로그온해야 합니다

단순히 내 컴퓨터에서 다음과 같이 해도 됩니다.



[이미지 b-001]



[이미지 b-002]





여하튼 위와 같이 시스템 원격 탭에서 해당 부분의 체크를 해제된 상태로 유지해야 합니다.

●[ 두번째 설정 변경 ]

원래 정상 OS 라면 저 정도로 그치면 되겠지만,

불법 OS는 제작시 다양한 상황을 예정하고

그 OS 안에 OS 자체가 제공하는 정상적인 시스템 dll 파일이나exe 실행 파일등과같은 정상적인 다양한파일들을 사용하여

원격조정이 가능하게 구성되어 있는 것 같습니다.

그래서 또 다시 다음과 같은 기본 설정 변경이 필요하다고 봅니다.

[ 원격조정과 관련한 서비스 실행 중지]

[이미지C_001]



일단 위 그림처럼 다시 내컴퓨터를 마우스 우버튼 클릭하고

나오는 메뉴에서 관리 부분을 클릭합니다.

[이미지C_002]


위 화살표 처럼 서비스 항목을 찾아 클릭합니다


[이미지C_003]




항목을 보면 어떤 서비스가 설치되어 있고 또 사용하고 있는지가 나타납니다.

상태 부분 탭을 클릭하면 시작됨(사용중) 인 서비스도 볼 수 있고 시작유형도 볼 수 있습니다.

일단 상태를 점검해보시기 바랍니다.


[이미지C_004]



○ 특히 저 서비스 설정 부분이 들어 있는가. 있다면 어떻게 되어 있는가 등을 점검해보시기 바랍니다.


[이미지C_005]




○ 일단 사용중인 서비스를 중지하려면 시작됨 부분을 마우스 우 클릭을 하고 나타난 메뉴에서 중지를 시킵니다.




[이미지 C_006]




○ 원격조정과 관련된 서비스는 그외에도 많이 있습니다. 다만 일부 서비스는 시스템 구동에 기본적인 경우도 있으므로 테스트 과정에서 충분히 테스트를 하시기 바랍니다.





[ 이미지 C_007]




○ 중지된 서비스를 앞으로 자동실행되지 않도록 하려면, 다시 마우스 우버튼 글릭해 속성 탭을 클릭합니다.

[이미지 C_008]



나타난 메뉴에서 사용안함으로 바꾸십시오.

"원격조정"과 관련한 서비스 항목은 두서너개,,터미널 서비스를 본인이 사용하지 않으면 그것도 사용안함으로 설정을 변경하시기 바랍니다.

나중에 시스템 사용과정에서 문제가 발생하면 다시 역순으로 설정을 바꾸면 됩니다.




●세번째 조치 -[ 시스템 개별 프로그램과 일부 동일 목적의 프로그램 폴더의 사용중지 ]

정상 OS 라면 역시 저 정도의 조치로 원격조정을 사용안하는 상태로 되었다고보겠지만,

그러나 불법 OS가 해킹 목적으로 제작되고 유포된 경우에는, 이런 조치만으로는 충분하지 않다고 봅니다.

해커가 정상 시스템 파일과 프로그램들을 조합 이용하여

어떻게 해킹이 이뤄지도록 시스템 설정을 변경해 놓고 해킹 목적에 이용하는가는

그것을 설계해 놓은 해커만이 잘 알겠지만,

해커도 한 둘이 아니고, 해킹 방법도 수없이 다양하고

날로 새로운 방법들이 개발 적용되는 실정이기에,

사용자 입장에서는 다시 또 다음 조치들이필요하게 된다고봅니다.

○ 우선 기본적으로 정상적인 프로그램과 폴더 가운데에서

원격조정에 사용될 가능성이 높은기본 프로그램과 dll 파일을 찾아 삭제하거나 사용불능 상태로 만들 필요가 있습니다.

그런데 혐의가 가는 대부분 이들 프로그램은 시스템이 관리하는 상태이기에 아무리 삭제해보려해도 원상 회복됩니다.

한 때 autorun 바이러스가 유행한 적이 있는데 이들 프로그램도 비슷한 형태를 보입니다.

삭제해도 또 살아나고 삭제해도 또 살아나고,,사람도 그럴 수 있다면 참 좋을텐데 하는 생각을 가져보게 됩니다만,,,(^^)

그런데 여하튼 이들 원격조정에 이용될만하다고 의심을 갖게 되는

프로그램이나 관련 dll 파일도 시스템이 관리하기에 비슷한 모습을 보입니다.

삭제가 되지 않으므로 그 상태로 두고

자신이 해당 프로그램을 사용하지는 않기 때문에,

일단 그 파일들만사용못하게 조치를 취할 필요가 있습니다.

○ 다음 방법을 이용해 보십시오.


[이미지 d_001]

우선 왜 해당 파일들이 삭제가 잘 안되는가에 대한 MS사의 설명과 조치 방법입니다.

이 방법들을 사용해도 좋지만,

다음 방법을 사용해도 좋습니다.

이 방법은 autorun 바이러스처럼 삭제해도 끝없이 되살아나는 바이러스성 프로그램에도 응용 적용할 만 합니다.


[이미지 d_002]



○ 우선 자신이 자신의 시스템 상의 폴더나 파일 구조를 낱낱이 파악할 수 있는

기본 환경을 설정할 필요가 있습니다.

내컴퓨터를 열어 도구 탭을 클릭하고 폴더 옵션 부분을 클릭합니다.


[이미지 d_003]



보기 탭을 클릭후

위 설정처럼 모든 사용자에게 동일한 폴더 공유권한을 지정 부분의 체크를 해제합니다.


[이미지 d_004]


그 다음 보호된 운영체제 파일 숨기기 -> 체크해제

숨김 파일 및 폴더 표시 -> 체그

시스템 폴더 내용 표시 -> 체크를 합니다.

그리고 이 상태에서 적용을 클릭합니다.



[이미지 d_005]



이제 시스템 폴더도 자유롭게 열어 열람 가능하게 됩니다.


[이미지 d_006]


원격 조정에 이용될만한 프로그램이나 dll 파일들을 찾아 냅니다.

앞의 서비스 항목 부분을 참조하거나,

시작 - 모든 프로그램 - 보조프로그램 등의 항목에서 원격조정과 관련한 프로그램이 등록되어 있으면

속성 탭을 클릭해 어떤 프로그램 들이 그 작동을 하는가를 찾아낼 수 있습니다.

Windows \ system32 폴더안에서

그런 기능들과 관련이 있는 것으로 의심되고 정작 자신은 별로 사용할 일이 없는 파일들로서 다음 정도를 생각할 수 있습니다.

mstsc.exe => 원격데스크탑 연결

mstscax.dll => 원격 데스크탑 관련 dll 파일

rcimlby.exe => 원격 지원
sessmgr.exe => 원격 지원 기능 관리 제어
telnet.exe => 텔넷 서비스,,
tlntsvr.exe

등입니다.


또 시스템 프로그램 폴더

즉 보통 c:\Program Files\ 폴더안의 다음 폴더 안 파일들도 가능성이 높다고 봅니다.

Messenger\
NetMeeting\
Outlook Express\

이들 파일과 폴더 내용들을혹시 모르니, 다른 폴더에 백업을 받아 둡니다.

그 다음 각 파일들이나 폴더 부분에서마우스 오른쪽 버튼을 클릭 하여 나타나는메뉴에서 속성 탭을 클릭합니다.

그러면 위와 같은 메뉴를 봅니다.

[이미지 d_007]


보안탭을 누르고 다시 고급탭을 클릭합니다.



[이미지 d_008]


[이미지 d_009]



[이미지 d_010]



○ 이제 위와 같은 상태에서 - 부모 개체가 가진 사용 권한을 자식 개체에 적용 부분의 체크를 "해제"합니다.

=> 그러면 위와 같은 창이 나타나는데 다시 그 부분에서 [복사]를 일단 클릭합니다.

[이미지 d_011]



○ - 사용자와 권한 내역을 잠시 살펴봅니다.

보통 원격조종과 관련된 파일들에는 위와 같은 내용외에 사용자가 everyone이 들어가 있는 경우가 많습니다.

여하튼 일단 상태를 - 나중을 위해서 - 잘 캡쳐 해둡니다. 아니면 일단 내용이라도 기억해 둡시다..( 만일 필요하면 원상회복도 필요할 수도 있으므로..)

그 다음 각 항목을 제거 버튼을 통해 모두 제거합니다.

[이미지 d_012]


[이미지 d_013]


이제 이 상태에서 적용을 클릭하면 위와 같은 메세지가 나타납니다.

예를 클릭하면 이 파일은 이제 사용할 수 없게 됩니다.

만에 하나 나중에 다시 사용할 필요가 있게 되면, 소유자 상태에서 권한을 다시 앞처럼 변경한 후

사용하면 됩니다.

이처럼 의심이 가는 파일나 폴더 전체에 대해 조치를 하면 이후 그 들 파일이나 폴더 안 내용들은사용 불능상태가 됩니다.

- 이는 어디까지나 개별 사용자별로 사용상황이 다르니 각자 알아서 실행해야 합니다.

본인이 Messenger나 NetMeeting이나 Outlook Express 심지어 원격조정 기능도 빈번히 사용한다면

당연히 위와 같은 방법을 사용하면 안되는 것은 너무나 당연하다고 봅니다.

다만 자신은 평생 OS를 설치해 저런 프로그램을 사용할 일이 없다고 한다면,

저런 조치를 취해도 이후 사용에 아무런 지장이 없습니다.




○ 조금위험한 테스트- [ 사용자 계정 부분 ]의 변경 문제


[이미지 f_001]



만일 자신이 자신의 중요 데이터를 다 백업받은 상태에서

새로 시스템을 설치해 사용하고자 한다면,

기존 OS에서 사용자 계정을 관리자로 로그인 한 상태에서

암호를 새로 설정하거나, 또 다른 관리자 계정을 첨가하면

시스템에 어떤 결과가 일어나는지 테스트해보고자 한다면 사용자계정 란을 테스트 해보아도 됩니다. (^^)

다만 그냥 그대로 쓸려면 앞 단계 정도로 조치를 마치고 중지하고 끝내야 합니다.

만일 불량 OS 인 경우 일단변경조치를 하는 것까지는허용하지만,

그 이후재부팅시부터는 해당 시스템은 사용이 곤란한 상태로 되기 때문입니다. (^^)

따라서 이 부분의 테스트는 각자가 알아서 하시기 바랍니다.


앞에서 취한 시스템 원상 회복 프로그램이 가동된 상태라면
이 상태에서는 이 실험은 하기 곤란합니다.


원상 회복 프로그램이 가동된 상태에서는

지금처럼 변경을 하더라도 재부팅시는 하등 영향을 받지 않기 때문입니다.

원상 회복 프로그램을 설치하고 테스트를 하는 것은
여러 변경을 하는 경우 그래도시스템이 잘 돌아가는지 테스트해 보기 위함이었고,

반복 테스트를 해서 자신의 시스템 상황에서 정상 작동한다고 보면,
그 상태로 변경하기 위해서는
윈도우 보호 프로그램에서일단 보호모드를 해제하고 나온 다음
다시 비보호모드에서 부팅을 하고
시스템 변경이나 설정을 하고
그 상태에서 다시 보호 모드로 들어가야 합니다.
그 이후부터 변경 내용이 적용되게 됩니다.

만일 이 때 시스템이 망가져도 좋다고 한다면,

그 때에 위 테스트까지 해서 부팅하면 테스트가가능하다는 의미입니당...(^^)






●네번째 조치 - ● 고스트 ghost 프로그램을 통한 백업 방법

- OS 사용중에처음에 말한 원상 복구 조치를 취하더라도 완전하지는 않습니다.

프로그램에 따라서는 부팅을 다시 해야만 정상 설치되고 테스트도 할 수 있는 프로그램도 많기 때문입니다.

그리고그런 종류의 프로그램이시스템에 말썽을 일으키는 경우가 대단히 많습니다.

그래서 이런 프로그램을 테스트 한 번 해보다

시스템이 망가지면, 원상회복 프로그램도 도움이 전혀 안 됩니다.

그럴 때 10 분 정도의 시간만으로 원상회복을 할 수 있는 방법이 고스트 ghost 프로그램을 이용한 복구방안입니다.

○ 다만 이 ghost 로 복구를 하려면 기본 요구사항이 상당히 복잡합니다.

원칙적으로는 CD 부팅이거나 usb 부팅이거나 등으로 별도 운영체제로 부팅을 할 수 있어야 하고

그 상태에서 시스템 상황을 백업받고 또 백업받은 이미지 파일 .gho 파일을 가지고

ghost 프로그램을 이용해 망가진 시스템 드라이브나 파티션에 대해복구를 행할 수 있게 됩니다.

그래서 원칙적인 방법으로백업받거나, 복구하는 것이 일반 사용자에게 그다지 쉽게 느껴지지 않습니다.

- 만일 가능하다면 별도 usb 매체등을 통해 pe 부팅을 할 수 있게 만들어 놓고 그 안에 각종 복구 프로그램과 시스템 백업파일을 보관해두고 사용하는 것은 좋습니다. -

○ 그러나 일반 사용자 입장에서는 이 작업이 상당히 번거롭고 어렵게 느끼므로

그런 경우에는다음과 같이 한 번의 키로 손쉽게 이용할 수 있는 ghost 백업 복구방법이 있으니 이용하시기 바랍니다.

http://www.onekeyghost.com/



● 우선 고스트 백업을 받기 위해서 기본적인 요구사항이 있습니다.

■우선시스템을 백업받을 별도의 파티션이나 디스크가 있어야 합니다.

즉 하나의 디스크가파티션이두개 정도 분리되어 있거나 별도 디스크가 부착되어야 합니다.

○ 그리고 백업받아 놓을 파티션의상태는되도록 깨끗해야 합니다.

OS 설정사항도 정상으로 설치 운영되어 있고 ( 위와 같은 설정 변경도 다 마쳐지고...)

각 프로그램도 자신의 상황에 맞게 설정이 다 맞춰지고 정상적으로 구동되고,

바이러스나 트로이 목마 같은 유해 프로그램도 검사가 다 맞춰지고

-- 그래서 모든 사항이 잘 되고

심지어 디스크 오류검사나

파일 조각 모음까지 완료되면 더 좋습니다.

여하튼 다음에 그 상태로 다시 복구해서 후회하지 않을 정도가 된 상태에서 백업하시면 좋습니다.

- 참고로 시스템 원상회복 프로그램을 사용하는 경우,

윈도우에서 지원하는 시스템 원상회복은 사용을 해제 하는 것이

디스크 용량면이나 시스템 효율면에서 좋을 수 있습니다.

서로 기능이 중복되기 때문입니다.

[이미지 f_004]



내 컴퓨터 우클릭후 - 나타나는 메뉴에서 속성 을 클릭후 시스템 복원 탭에서 사용안함을 체크하면 됩니다.

그러면 c:\System Volume Information\ 폴더 안에 들어간백업용 파일들도 없어지고

작업효율도 빨라집니다.


또 아울러 실행 창에서 다음 명령을 실행해전원관리 기능도 해제하는 것이 좋습니다.

powercfg -h off

이렇게 하면, c:\hiberfill.sys 파일도 없어집니다.

이는 메모리 용량에 해당한 임시페이지 파일들로서 전원관리(일시 시스템 대기 모드진입시)

상황을 임시페이지 파일로 저장해 재 사용시 불러 주는 파일인데,

필요 없는 경우 위와 같이 기능을 해제후 사용하십시오

시스템 상황에 따라 이런파일 용량이 몇십 기가 이상씩 되기도 합니다.

- 이들은 ghost 백업파일과는 무관하기는 합니당..-


○ 여하튼 시스템 전반적 상황이 가장 원만하다고 판단되면, 고스트 백업을 다음과 같이 실행합니다.

http://www.onekeyghost.com/에서 프로그램을 다운받아 실행하면 다음 메뉴가 보입니다.

[이미지 g_001]


먼저 install을 실행합니다.

이는 고스트 백업 및 복구가 필요한 상황에서

도스 상태로 부팅해서 해당 작업을 할 수 있도록

부팅시 메뉴 선택창을 만들어 줍니다.


[이미지 g_002]

install 부분을 클릭하면 나오는 부분에서 Choice 메뉴부분을 선택하고

부팅시 메뉴가 보이게 되는 시간도 한 15 초 정도로 알맞게 조정해줍니다.

이제 이 상태에서 OK 버튼을 클릭하면

시스템 폴더에

OKDOS\
Uninstall.\
okldr
okldr.mbr

등이 설치됩니다.

그리고 이후 부팅시부터 onekey복구용도스 모드로 진입할 수 있는메뉴가 나타나게 됩니다.

그리고 부팅시 그 메뉴를 선택해들어가면

이후 자동으로 고스트 복구가 실행되거나,백업을 다시 받거나,,등등 작업을 할 수 있게 됩니다.


[이미지 g_003]

한편 advanced 메뉴를 선택하면 고스트 백업과 관련해 다양한 옵션을 선택할 수도 있습니다.

자신의 시스템 상황에 맞게 설정을 변경해 사용할 수 있습니다.


[이미지 g_004]

이제 이런 상태에서 윈도우 시스템을 별도의 파티션이나 디스크에 백업할 수 있습니다.

Backup 백업을 체크후,

백업받을 시스템 드라이브 C: 를 선택하고,

백업받을 파일을 확인하여

실행하면 됩니다.

그러면 -- 이후 시스템이 재부팅되면서, 도스로 부팅한 상태에서

고스트 백업이 자동으로 진행되게 됩니다.

■ 참고로 앞에 처음 말한 윈도우 시스템 원상회복 프로그램 (Deep freeze 등)을 사용하고 있는 상태라면,

앞과 같은 재 설정은 모두 보호모드를 해제한 상태에서 실행해야 합니다.

■ 만일 해당 원상회복 프로그램이 처음부터 가동된 상태로 복구되게 하려면,

일단 해제된 상태에서 install 까지만 실행하십시오

=> 그 다음 보호모드로 들어간 후

재 부팅하고,

부팅 옵션에서 Onekey를 선택하고 나서

그 이후 시스템 파티션을 도스상태에서 백업하면 됩니다.

=> 이 상태에서 곧바로 백업받을 수 있으려면 한 시스템 드라이브 내에 파티션이 둘 이상 있는 것이이상적입니다.

○ 한편기존에 백업받은 고스트 파일이 있다면 해당 gho 파일을 선택한 후

위 상태에서 Restore[ 복구 ] 를 실행할 수도 있습니다.

실행하면 역시 자동으로 도스로 재부팅후 고스트 복구를 실행하고

다시 윈도우로 재부팅실행하게 됩니다.

소요시간은 10분 ~15 분 정도로 간편하고 확실한 복구방법이 됩니다.

- 기타 원칙적인 ghost 프로그램을 통한 복구방법이나,

별도 usb 매체에 pe 부팅방법을 마련해 부팅하고 복구하는 방법은 모두 생략합니다.



●다섯번째 조치 - [ 사용시 대책 ]

○ 사실이상으로 시스템의 해킹을 방지하고

해킹으로 시스템이 망가질 때 다시 원상회복하거나,

빠른 시간내에 복구하여 원래 가장 잘 작동하던 상태로 되돌릴 수 있는 방안의 대강을보았습니다.

그런데자신이 이상적인 상태라고 생각하고 보호조치도 취하고 백업도 받아 놓은시스템 상태가

사실은 그렇지 않고

해커에 의해 여전히 노출되고 조종될 수 있는 상태라면

이런 반복된 복구가, 늘 해커에게 노출되는 상태로 되돌려 놓게 됩니다..(^^)

○ 그래서 다시 추가 조치가 조금 필요합니다.

자신은 정상이라고 보는데, 여전히 시스템에 해커가 침투해서 해킹을 하는 것이 발견된다면,

예를 들어 갑자기 시스템이 혼자 바삐 작동하며 돌아가기도 하고,

또 별 작업도 안하는데 프로그램 실행이 늦게 되기도 하고,

이상한 오작동이 발견된다면, 좀 둔한 해커가 침투해 활동을 시작하는 것으로 볼 수도 있습니다.

- 원래 사용자가 모르게 지켜 봐야 하고

또 파일을 옮겨 가져오거나 작업을 하더라도

사용자가 사용안할 만한 틈을 노려 해야 될텐데,

사용자가 눈치챌 정도로 ~해킹을 하면 해커의 윤리규정위반입니당...^^

사실 일반 사용자는 해커가 자신의 폴더나 파일을 열어보고 뒤지고 다녀도

잘 알아채지 못합니다.

그러나 다음 방안을 사용하면,

자신 이외 누가 언제 그 파일을 접근해 열어보았는지 확인할 수가 있습니다.

●일반 컴 사용자가 행할 수 있는 해킹 여부의 사실 확인 작업

일반 사용자 입장에서

해커가 정말 침투하는지 확인해보기 위해서는

우선 미끼용 폴더나 파일이 필요합니다.

이름을 회계 폴더로 적어 놓는다거나,

password.txt

암호파일 등으로 해커가 관심가질 만한 내용으로 파일이나 폴더 이름을 기재하고

그 안의 파일 내용도 적절하게만들어 놓고저장해 놓습니다.

사실파일들은누구라도 한번 그 파일을 액세스해서 사용할 때마다

사용 액세스 타임이 기록되게 됩니다.

직접 열람하지 않고 단순히복사해하거나 등등의 작업을 해도 마찬가지입니다.

- 그래서 이 액세스 한 시각을 확인해보면

해커가 다녀갔는지 여부를 확인가능하게 됩니다.

물론 액세스 타임을 확인하기 위해 윈도우에서 제공하는

보통의 방법을 사용하면

자신이 그 파일의 액세스 한 시각을 알아보기 위해

그 파일 속성탭을 열면

자신이 그 파일을 여는 순간의 시간이 곧바로 나타나므로

과거 내역을 확인하기 곤란합니다.

( 이 경우는 자신이 지금 그 파일을확인해보는 그시간 자체만 알려주게 됩니다. ^^)

그래서 다음과 같은 방안을 마련해두어야 합니다.

우선

토탈커맨더의 사용자열 설정창에서 액세스 시간 보기용으로 사용자열을 하나 따로 만들어야 합니다.



그 상태에서토털커맨더에서 그 사용자열로 폴더를 열어보면

그 폴더안의 파일들의 액세스 타임이 모두 나타나게 됩니다.

직접 각 파일을 열어보지 않고도 각 파일들의 접근 사용 시간이 나타난다는 의미입니다.

이제 원래 미끼용 폴더나 파일을 만들어 두고

그 상태를 캡춰해두거나,

파일로 복사해 저장해 둔 상태에서

다시 시간이 지나 토털커맨더를 통해

이 내용을 확인하고대조해 보면

그 동안 해커가 이 폴더를 다녀갔는지 아닌지 여부를쉽게 확인가능하게 됩니다.

( 자신이 매번 빈번히 파일들을 이용하면서 이런 내용을 확인할수는 없겠지요,,

그래서 자신이 평소에 결코 사용하지 않는 미끼용 폴더나 파일이별도로 필요하게 됩니다. )



[ 이미지 ]






○ 샘플로 system32 폴더를 기준 내용과 비교해 보는 과정입니다.
샘플 내용이긴 하지만, 이런 방식으로 오늘 시스템에서 새로 사용된시스템 파일 내역도살펴볼 수 있습니다.

이런 내용에 대한 목록이나 사용자 열을 어떻게 만드는가에 대해서는 - 관련글 http://blog.paran.com/story007/46867974 ) [이미지-09] 부분을 참조하시면 됩니다.

위 폐이지 내용은 주석 목록 파일 만드는 방식을 소개한 것이지만,
소개된 방법과 같은 형식으로 하되,
단지 선택 내용만액세스 타임으로선택해 만들면 됩니다.

그리고 사용자열을 선택하여 위와 같은 액세스 타임이출력되어 나올 때
이 출력내용 전체를목록으로 만드는 방법도 위 페이지에 소개된 방식과 같습니다.
만일 필요하다면, 일정 폴더와 그 하부폴더 파일 전부
또는 드라이브 전체 폴더와 파일을대상으로 작성해도 됩니다.

이에 대해 목록 만드는방법은 역시 목록 만드는 관련 페이지 내용을 참조하면 됩니다.
간단히 말하면, 목록 만들기를 원하는 최상위 부모폴더에서 Ctrl + B 를 누르고
출력된 내용을복사해 편집창에서 붙이면됩니다.
모두 목록만들기와 주석 편집에서 이미 설명한 것과 같은 방식으로 행하면 됩니다.

그러나 만일 관심갖는 파일이 몇몇개에 불과하면 단순히 캡처를 실행해도 됩니다.


일반 웹사이트라면 관리자가 별도로 관리하고 확인해 볼 로그 파일이나 기록이 있으니

이를 통해 확인할수도 있겠지만,

일반 컴 사용자는 그런 별도의 방법을 사용하지는 않으므로 곤란하다고 보고

대신 위에 소개한방법을 통해

자신의 시스템에 해커가 침투하고 활동하는지 여부를확인할 수 있다고 봅니다.

한편외부 사용자가 외부권한을 가지고

해당 폴더나 파일에 접근해 사용하게 되면,

보안 탭에서 그 컴의 일련번호 등의 내용이 적혀 나오는 경우도 있습니다.

따라서 보안탭을 열어서, 확인해 볼 수도 있습니다.

그러나 이렇게 미끼 파일들을 마련해 두고

확인함으로써해커가 침투한흔적을 발견한다고 해서,

그다지 특별한 예방대책이 나오는 것은 아닙니다.


파일 액세스 여부만으로는

정확히 누가 무슨 목적으로 침투했는지 일일히 확인해보기는 곤란하고,

다만 어떤 해커인가가분명 침투해 그 파일에 접근 했다는 사실만

자신이 확인해 볼수 있을 뿐입니다.

그래서 사실 이런 확인은

어떤 해커인지 몰라도 확실히 어떤 해커가

자신의 컴퓨터에 침투해 활동하고 있는것만은맞어..

이런 사실을 확인해보는 것뿐입니다.

그러므로 그런 확인여부와 관계없이

자신에게 개인적으로 중요한 파일들은

별도로 잘 관리해야 한다고 봅니다.

해커에 대한 뚜렷한 대책이 없으면,

인터넷이 연결되 작업하는 컴퓨터와 별도로,

인터넷이나 네트워크와 분리된 상태로 작동하는 컴에서

보안이 필요한 작업을 하거나,

USB 매체에 보호조치를 강구하여 자신의 개인 자료를 보관하는 등

관리에 신경을 기울여야 한다고 봅니다.

이전 글에도 밝혔듯이 랜선을 임시로 뽑아 놓고 보안이 필요한 작업들을 그 때 그 때 한다 해도

사용흔적이 임시 페이지 파일 등이나 별도의 log 파일등에

그대로 남아 있거나 기록되는경우가 많으니,

완전한 대책은 되지 못한다고 봅니다.




●여섯섯번째 조치 - [ 사용중의방어 대책 ]

○ 한편 한참 컴퓨터 사용 중에

해커가 침투하여 활동하는 것 같다고 판단되면

가장 손 쉬운 방법은

ctrl + Alt + Del 키를 눌러 프로세스 탭을 클릭해

어떤 프로그램 들이 실행되고 있는지 확인해 보는 것도 좋습니다.

이렇게 살피려면 처음 부팅시 정상 실행되는 프로세스 들이 어떤 종류가 있는지를

평소 잘 살펴보아야 합니다.

그리고 그 외의 프로그램들이 프로세스 란에 보이면

그 부분을 중지시켜 어느 정도 예방을 거둘 수 있습니다.

참고로 해커가 무슨 다른 명령을 내려 수행하거나 하면 시스템이 좀 느려질 수 있습니다.

자신은 아무런 실행도 안 시키는데 갑자기 시스템이 동작하고 이상한 작동을할 수도 있고..


그럴 때마다 CTRL + alt +del 키를 눌러 프로세서 부분을 살펴보십시오.
자신이 실행시킨 프로세스가 아닌 것들이 돌아가면 정지시키면 됩니다.
물론 프로세스를 처음 부팅시부터 관찰해 윈도우 실행시 기본으로 실행되는 프로세스가 무엇인지
잘 파악하고 그것은 제외시켜야 할 것입니다..

참고로 윈도우 상에 있는 정상적인 여러 dll 파일이나 프로그램을 조합시켜 이를 이용하여 해킹 목적을 실현할 때는
rundll32.exe
dllhost.exe 등이 가동되는 것을 볼 수 있습니다.

물론 이들 프로그램 자체는 정상적인용도로도 사용되는 프로그램이니까 삭제하셔서는 안 되고,

자신이 특별히 관련 프로그램을 실행하지 않았는데도 이들 프로그램이 작동되고 있다면

잠깐 프로세스를 정지시키면 된다고 봅니다.

이런 목적을 위해

프로세스 상황 내역을 수시로 쉽게 살펴보고불필요한 프로세스를 중지시킬 수 있는 전문프로그램이 많이 있으니

이용하시면 좋습니다.

특히 인터넷 사용시 갑자기 느려지거나, 할 때

쉽게 열어서 불필요한 프로그램이 실행되는 것을 중지시키면 됩니다.

실행되는 process 들에 관해 좀 더 자세한 내역을 자세히 알자면,
processexplorer 같은 프로그램을 실행시켜
해당 프로세스들이 어떤 프로그램과 관련하여 작동하고 있는지도 살펴 볼 수 있습니다.

그러면 해당 프로그램이 어떤 프로그램이나 registry 내용과 관련하여 실행되고 있는지를

점검해 볼 수 있습니다.

자신의 상황과 크게 관련이 없는데도 반복실행된다면,

해당 부분을 찾아 삭제해줘도 되고,

그 해당 프로그램을 아예 삭제할 수도 있습니다.

잘 모르면 일시적으로 해당 registry 내용이나

프로그램들을 임시 백업복사해두고

삭제한 상태에서 비교 테스트해보셔도 됩니다.




- 관련 전문 프로그램은 직접 검색해서 다운받아 실행해보시고
비교적 아주 간단하고 가벼운 프리웨어 프로그램만
함께 첨부해 올려봅니다.

1332802286_process02.zip





●일곱번째 조치 -

앞에 다양한 방법을 나열해 보았지만,

사실 이상의 방법은 가장 기본적인 방법일 뿐이고

몇몇 사용자 분의 시스템을 이런 식으로 정비해두고

다시 한 참 후에 관찰을 해보면

앞과 같은여러 조치를 취해 놓았어도

사실 해커는 여전히 다시 또 다른 형태로 나타나 활동하고 있음을관찰할 수 있게 됩니다.

>>>

그래서 사실 어둠의 경로로 다운받은OS를 설치해둔 시스템에서작업하는 것은

사실상 해커와 자신이 컴퓨터에 나란히 앉아서같이 해당 작업 내용을 보면서

심지어 어떤 때는 해커가 직접해당 내용도 만들고 변경도 하고

필요하면 복사도 해가고 서로 사이좋게 공동 연구나 집필 작업을 하는 것과 같은 상태라고 보시면 됩니다.
심지어 돈도 필요하면 자신의 계좌에서 꺼내 쓰고^^

게임도 자신의 상황을 상대에게 다 미리 알려주면서 하고~~(^^)

>>>

이전 글에서도 밝혔듯

자신은 해킹할 만한 가치가 없는 작업을 하기에 해커가 침투할 이유도 없고,

침투한다하더라도, 별 지장이 없다고 생각하면서 컴을 사용하시는 분이 주변에 많습니다.

그런데 그런 분이 대부분, 시스템이 망가져서 자주 수리를 요청함을 보게 됩니다.

왜 그럴까요?

우선 해커가 각 컴퓨터 사정을 미리 다 알고침투를 행하거나,

또 아니면 미리 알고 포기하거나 하지는 않습니다.

왜냐하면 해커는 직접 해킹을 해보기 까지는 개별 컴퓨터 사용자들의 구체적 상황을잘은 모릅니다.

일단 그러니 침투를 해서 살펴봐아죠..

또 하나 해커의 해킹 목적은 단일하게 금전이면 금전 그런식으로 통일되어 있지 않다는 점입니다.

해커가 해킹을 하는 목적은 해커 나름대로 수없이 다양하고 방법도 가지가지입니다.

국적도 소속도 수없이 다양하고

국경도 없이 곳곳에서 활동하고 출몰합니다.

단순히 DDos 공격에서 자신의 명령을 효과적으로 이행할 좀비 컴퓨터를 확보할 목적으로 침투하기도 하고,

그리고 공격이 성공적으로 끝나면 자신의 흔적을 없애기 위해

해당 시스템을 파괴해서 포맷을 하거나, 재 설치를 해서야 겨우 사용할 수 있도록

만들고 떠나는 경우가 대단히 많습니다..

그러니 자신이 특별히 중요한 일을 해야만 해커가 이를 알고

침투하는 것이 아니라는 것입니다.

그리고 이용했으면 고맙다고 인사나잘하고 떠나면 될 것 같은데,

보통 사후 이용이 상당히 곤란할 정도로 파괴시켜 놓고 사라집니다.

그 이유야 해커가 해킹을 한 사용 흔적과 증거를

남기지 말자는 취지라고 추측이 갑니다만 ...

여하튼 애꿎은 사용자들만 좀비피씨로 이용되고나서

불행한 운명을 맞이한다고 봅니다.




사실 그래서 다양한 보안 방법을 강구해서 사용자들이 사용하게 되는데

보안방법이 완전하다면 MS 사 같은 경우, 처음 OS를 제작해 배포한 이후

보안 패치 업데이트를 할 필요가 없을 것입니다.

그러나 보안 패치 업데이트는 어제도 오늘도 그리고 내일도 쉬지 않고 행해지고 행해지게 되리라 봅니다.

이것은 무엇을 말하는가..

한번 보안 취약점이 해커에게 뚫린 사실이 발견되어서

제작자가노력해서 다시 방비책을 세워 보안패치 업데이트를 합니다.

그러나 다시시일이 지나면 또 해커에 의해 뚫린다는 것을 의미합니다.

그러면 또 제작자는 대비책을 세우고 또 업데이트하지만

그러나 또 다시 뚫리고 또 막고

또 침투하고...이 과정을 계속 반복하게 됩니다.

사정이 이러한데

설치도 귀찮고 이후 잦은업데이트도귀찮다고

아예 수년전 OS를 설치해 놓고 그것도 초기 설치 상태로만 계속 사용하는 분들은

어떻겠습니까..

이런 경우는 아무리 정품 OS에 정품 프로그램만 사용한다하더라도

그것은 해커와 공용 컴퓨터를 사용하는 상태가 쉽게 되고 만다고 보셔야 합니다.

그리고 아무리 보안대책을 또 만들고 또 만든다해도

오늘의 그 보안대책은 그보안효과가오늘까지 있다는 의미일뿐

내일까지도 그 보안대책의 보안효과가 유효하다고는확신할 수 없습니당......(^^)

사정이 이러하므로, 보안대책에는 근본적으로 완전한 것은 없다는 사실을

각성하는 것이 기본적인 보안 방안이기도 합니다.

그래서 정말 해킹되고 오늘 시스템이 다 없어져도

아무 관계없다는 상태까지 도달하셔야 한다고 봅니다..

그리고 앞에 소개한아주 기초적이고 기본적인 방법만이라도 잘 파악한 상태에서

작업을 해나간다면, 개인의 귀중한 자료나 정보가 해커에 의해 악이용당하는 사태는

많이 예방될 수 있지 않을까 생각해봅니다.

앞에 소개한 방법까지 포함해서 완전한 보안대책이란 없다--이 사실을 아는 것이

바로 중요한 보안방법의 하나입니다.






●여덟번째 부수적조치 -

○ 참고로 해커가 일단 타인의 시스템 침투에 성공하면,

그 상태를 다음 부팅시에도 계속 유지하기 위해서

초기 실행시부터 그 해킹 툴이 작동되게 시스템에 변경을 가하려는 경우가 대단히 많습니다.

해커가 일일히 사용자가 언제 컴을 켜고 사용을 시작할 지 그것을 알기도 힘들고

그렇다고 마냥 대기상태로 날밤을 지새며 지켜 볼 수도 없는 노릇이기에...(^^)

결국 부팅시 자동으로 처음 실행되는 프로그램 항목에 자신의 해킹 툴을 넣으려고 노력하게 됩니다.

○ 거꾸로 사용자는 그것을 예민하게 생각하고 잘 관리할 필요도 있게 됩니다.

초기에 자동실행되는 시작 프로그램-- autorun 프로그램 등도 마찬가지입니다.

그외에도 registry 설정으로 부팅 초기에 실행되는 프로그램 들이 많습니다.

우선 일반 사용자 입장에서 이 내용을 쉽게 파악하려면,

다음과 같은 방법을 사용하면 좋습니다.

우선 startup monitor 라는 프로그램을 설치하면

외부 프로그램들이 침투되거나 설치되는 과정에서

초기 실행 옵션에 일정한 내용을넣으려고 할 때 사전 경고창을 띄어주게 됩니다.

기타 바이러스 전문 프로그램들도 유사한 기능을 갖고 있습니다.

○ 한편 초기 실행에 등록된 프로그램 사항도 일괄적으로 살펴보고,

삭제하거나 변경할 수 있는 프로그램도 있습니다.

startup.exe 라는 프로그램을 실행하면 시스템에 초기 실행되는 프로그램들을 살펴볼 수 있습니다.

여기에서 불필요한 것들을 삭제하면 부팅도 빨라지고

시스템도 효율적이 되니 이용하시기 바랍니다.

○ 해커들이 해킹을 하거나, 해킹 툴을 장치할 때 하드디스크의 시스템이나 윈도우 폴더 안에도 많이 설치해 넣고,

기존 정상 윈도우 시스템 파일들과 유사한 형태로 만들어 넣는 경우가 많습니다.

최근에 해킹된 내용을 보니 windows/ehome 폴더에 이상한 파일들이 가득 차서 활동하는 것을 본 적이 있는데,

대강 이런 식입니다. 사용자 대부분이 윈도우 폴더나 시스템 파일들에 대해 잘 모르는 상태이므로,

그런 식으로 정상 시스템 파일인 것처럼 위장하여 활동을 하려고 하기 때문입니다.

그러나 그 외에도메모리 장치 들에 침투하는 경우도 있습니다.

초기 Cmos 작동시부터 무언가 활동을 시작해보려는 념(念)들이 그런 시도를 하게 만드는 것 같습니다..

Puremem 같은 프로그램을 이용하여 가끔씩 메모리 상태도 세척하고

log off 한 다음 깨끗한 상태로 재로그인해 사용하시는 것도

좋다고 봅니다.

특히 게임사이트 등에서 각종 프로그램이나 해킹 툴이 다운되 작동하는 상황에서

상태를 원상태로 돌려서 사용할 때는 유효한 방법입니다.

기타 등등~~

인터넷 임시 파일 폴더 내용들도 불필요한 것은 삭제하시고

○ 토탈커맨더 명령창으로 cd %temp% 명령어를 입력하면 시스템 임시 폴더 내용도 볼 수 있으니,

가끔씩 이런 임시파일들이 쌓여 있는 폴더안 내용도 확인하셔서 불필요한 파일들은 삭제하고 사용하시면 좋다고 봅니다.



●아홉번째 조치 -

○ 여하튼 이런 여러노력으로 비교적깨끗한 상태가 다시 마련되면,

윈도우 시스템 원상회복 프로그램 (Deep freeze 등)을 설치해

사용도중에 해킹 프로그램들이 재 침투해 피해가 발생하더라도

일시적인 피해만으로 그칠 수 있도록 예방조치를 취할 필요가 있습니다.


○ 그리고 다시 한 번 강조하건대 자신이 작성한자료는

자신이 책임을 지고 보안 조치도 취하고

또 보호조치도 취해야 할 필요가 있습니다.

이동시 사용하고자 usb 매체를 많이 사용하고

이 안에 각종 패스워드와 개인 정보사항을 넣고 이용하는 경우가 많은데

분실할 때 어떤 대책이 있어서 그렇게 사용하는지 의문이 가는 대목입니다.

이동시 사용할 usb 매체는 늘,

bestcrypt나 truecrypt 같은 보호 프로그램들을사용하여

타인이 함부로 내용을 열어 볼 수 없게 보호장치를 강구한 상태에서 사용하셔야 합니다..

기타 여러 보안장치에 사용되는 암호도

각 상황에 맞게 달리 사용하시고

그러면서도 본인은 잘 기억할 수 있는 형태로 만들어 사용하시고,

○ 더 나아가 기계적인 암호 찾기 프로그램으로 쉽게

암호가 해제되지 않도록

암호도 가능한 여러가지 기호나 부호를 사용하여 최소 15 글자 정도는 되게 만들어서

사용하셔야 한다고 봅니다.

암호를 해제하는 프로그램은 피로를 못 느끼고 빈번히 사용되는 문자 부터 시작해

가능한 모든 문자를 넣어서 암호를 찾아가기에,

큰 도움이 되지 못합니다.

모든 사이트에 동일한 암호를 사용한다거나,

모든 파일에 같은 암호를 사용한다는 것도 위험한 것은 마찬가지입니다.

물론 사용자는 자신이 암호를 기억할 부담을 줄이고

심지어 자신도 나중에는 암호를 잊어서 사용하지 못하는 경우도 있기에 이를 예방하고자

단일한 암호만 계속 사용하기 쉽지만,

이는 보안에 취약합니다.

어떤 분은 암호 기억에 쉽게 하기 위해 아예 텍스트 파일안에

각 사이트의 암호와 비밀번호를 모두 기재해 넣고

심지어 은행 보안카드 내용까지 다 그 안에 기재해 넣고 사용하시는 분도 계십니다만,

------ 이 분은 다행히 계좌에 들어 있는 돈이 너무 적어서 다행이지만, (ㅎ)--

치명적인 결과를 초래하는 원인이 된다고 봅니당..

단지 이런 pssword 텍스트 파일들은

몇몇 관리할 가치가 없는 사이트 들의 암호를 텍스트에 넣고

앞에 적은 방법처럼,

해커가 활동하는지 안하는지 자신이 스스로 확인해볼용도로

미끼파일로 이용해보시면좋다고 봅니다.

몇몇 적은 돈이 들어간 계좌는 정말 해커가 돈을 찾아가는지,

확인하기 위해서라도

정확히 내용을 기재해두시는 것도 좋다고 봅니당...

그래도 일단 돈을 찾아가서 쓰고 나면 다시 잡더라도

그 금액을회복하는 것은 힘듭니당...(^^)

○ 일단 여기 소개한 방법 외에도여러가지 전문적인 보안 방법은 많이 있겠지만,

일반 컴퓨터 사용자 입장에서는 그런 대책들은

배보다 배꼽이 더 커서 불편을 초래하는 방안들이 된다고 보고,

이 이상의 방안들이 필요하신 분들은개별적으로 보안 대책과 방안을 찾으시기 바랍니다...



Ω♠문서정보♠Ω

™[작성자]™ Prince evilstupidmiserable Little
◑[작성일]◐ 2012-03-25
♨[수정내역]♨ 
▩[ 디스크 ]▩ DISK 
ж[ 웹 ]ж web http://story007.tistory.com/91
⇔[ 관련문서]⇔

■ 문서 정보

[ 관련글 ]

---- 문서작성과정에 본 스크립트 사용 취지 목적 방식 등의 이해와 관련된 글들 ----------

● 문서 작업의 기본프로그램 Cyberarticle => http://story007.tistory.com/109
● 문서 재편집과정에서 cyberarticle 사용하기=> http://story007.tistory.com/111
● 웹 저작에 도움되는 cyberarticle => http://story007.tistory.com/111
● 문서작업시 전문 저술용 프로그램 등을 사용해야 하는 이유 => http://story007.tistory.com/107
● 블로그 글 쓰기와 순서정리하기 => http://story007.tistory.com/153
● 논문 소설 등 작성시 토털커맨더와 오토핫키 이용해 편집하기 [ = 토털커맨더 주석파일로 목록관리하기 ] => http://story007.tistory.com/99
● [업그레이드용]- 매크로 수시 업그레이드 부분은 http://story007.tistory.com/89

● 문서작성시 Cyberarticle 없이 Cyberarticle과 비슷한 효과를 내기 [ = 토털커맨더 이용해 목록 쉽게 만들기 + 오토핫키 사용하기] => http://story007.tistory.com/101

--cf-- 
● 텍스트 htm파일들을 책처럼 보는 프로그램 => http://story007.tistory.com/117
● 글 작성에 도움되는 편집기 Scrivener => http://story007.tistory.com/154

- Editplus로 autohotkey스크립트 짜고 테스트 실행하기 -- 
● Editplus로 autohotkey스크립트 짜고 테스트 실행하기 => http://story007.tistory.com/97

● 컴퓨터상의 문서 보안과 시스템 보안 문제 => http://story007.tistory.com/91

● 논문 소설 등 작성시 토털커맨더와 오토핫키 이용해 편집하기[업그레이드용 페이지]=> http://story007.tistory.com/99
● 문서작업시 백업관리의 필요성 http://story007.tistory.com/86

{!-- 관련 문서 링크--}
Ш[ 관련 문서 인용 부분 ]Ш
ㅹ[ 코멘트 등 정리 내역]ㅹ


댓글