“보안의 정석 – USB 디스크 보안편”
지난달 새로 출시한 “보안의 정석 - 무선랜 보안편”에 많은 성원을 보내주셔서 감사 드립니다.
특히 “실력” 보안의 정석은 언제 나오시는지 많은 문의가 있으셨습니다.
“실력” 보안의 정식은 “실력”에 걸맞도록 한 단계 업그레이드된 수준으로
가까운 시일에 찾아 뵙도록 하겠습니다. ^^
이번달 “보안의 정석 – USB 디스크 보안 편(기본)”은 우리가 열쇠고리 같은 곳에 많이 끼우고 다니는 “USB 메모리”에서 활동하는 악성코드를 주제로 합니다.
지금 USB 메모리가 예전에 사용하던 3.5인치 디스켓에 비해 용량도 비교할 수 없을 정도로 크고 사이즈도 열쇠고리에 끼우고 다닐 정도로 매우 작으며 이제는 가격까지 저렴해져 누구나 가지고 있을 정도로 매우 보편화되었습니다.
하지만, USB 메모리와 윈도우의 자동 실행 기능이 만나면서 악성코드를 유포시키는 대표적인 매개체로 자리 잡게 되었습니다.
<그림 : PC에 꽂는 USB 메모리>
윈도우의 자동실행(Autorun) 기능
윈도우에서 제공하는 자동실행(Autorun)은 CD나 USB 메모리 등을 컴퓨터에 연결했을 때 자동으로 특정 프로그램을 실행할 수 있는 기능입니다.
예를 들자면, 알약 설치 CD를 넣었을 때 자동으로 설치 프로그램(Setup.exe)이 열리는 것이나 USB 메모리를 PC에 연결했을 때 “원하는 작업을 선택하십시오.”라는 창을 나오게 합니다.
이것을 가능하게 하는 것은 CD나 USB 메모리의 첫 폴더(루트 폴더)에 있는 AUTORUN.INF 파일에 있으며, AUTORUN.INF에 PC에 연결되었을 때 자동으로 실행할 파일을 지정합니다.
<AUTORUN.INF 파일 정보>
악성코드가 악용하는 자동실행(Autorun) 기능
악성코드는 USB 메모리를 PC에 연결했을 때 자동실행 기능을 통해 곧바로 PC에 감염되도록 시도합니다. 대표적으로 컨피커(Conficker), Virut(Virtob)를 예로 들 수 있고 알약 진단명과 관련하여 Autorun이 들어가있다면 윈도우의 자동실행 기능을 통해 PC에 감염시키는 악성코드입니다.
예) Autorun 관련 악성코드 진단명
V.WOM.Autorun.yz V.WOM.Autorun.SysLive V.WOM.Autorun.JS.faizal
V.WOM.Autorun.acq V.WOM.Autorun.c Worm.VBS.Autorun.D
Trojan.Autorun.RG 등
<그림 : Conficker는 Autorun.inf 파일을 내용 해독이 어렵도록 암호화 시켜두었다.>
한글 윈도우에서는 정상적인 중국어가 출력되지 않아 댔역(&O)으로 나타나게 됨>
USB 메모리를 클릭했는데 “연결 프로그램” 화면이 계속 나올 경우
대부분 악성코드에 감염된 경우가 많습니다.>
그림에서 보신 것처럼 오른쪽 버튼을 눌렀는데 알 수 없는 글자들이 나온다던지, USB 메모리의 아이콘이 폴더 모양으로 되어 있고, 연결 프로그램이 계속 뜨는 경우 악성코드의 감염을 의심할 수 있습니다.
자동실행 차단으로 USB 메모리를 통한 악성코드 감염을 예방할 수 있어요!
자동실행 기능은 거의 모든 윈도우에서 기본적으로 활성화되어 있습니다.
알약을 통해서 USB 메모리에 존재하는 악성코드의 실행을 예방하고 치료할 수 있지만 아예 자동실행이 안 되도록 시스템 설정을 변경한다면 더욱 금상첨화라고 할 수 있습니다.
자동실행 차단은 윈도우의 레지스트리 값을 변경해야 되어 약간 어려울 수도 있습니다.
하지만 국가정보원에서 PC 사용자가 레지스트리를 직접 수정하지 않고도 간편하게 클릭 하나로
윈도우의 자동실행 기능을 끌 수 있는 무료 프로그램을 제작했습니다.
<국가정보원 제작 USBGuard>
아래의 주소에서 USBGuard 프로그램을 다운로드 받아 실행하면 “자동실행 차단” 버튼을 누르면 모두 끝납니다.
USBGuard 다운로드 받기 : http://liveupdate.alyac.co.kr/etc/usbguard.exe
마지막으로 알약 2.0에서는 USB 메모리를 PC에 연결했을 때 자동으로 검사하는 기능을 제공하고 있습니다.
먼저 “환경설정”을 클릭합니다.
“검사 일반”의 “이동식 디스크 자동 검사”를 체크한 후 “확인”을 누르면 완료됩니다.
이제 USB 메모리를 PC에 연결하면 자동으로 검사를 실행해 악성코드를 찾아낼 수 있습니다.
알약의 실시간 감시, USB 자동 실행 차단, 이동식 디스크 자동 검사를 모두 설정했다면 이제 더 이상 USB 메모리를 통한 악성코드 감염을 걱정할 필요가 없습니다. ^^*
'old category > 알약보안뉴스' 카테고리의 다른 글
| 악성코드가 소셜 네트워킹 서비스(SNS)를 만났을 때 (0) | 2010.08.19 |
|---|---|
| 망분리 환경에서도 악성코드는 살아 숨쉰다! (0) | 2010.07.13 |
| 보안의 정석 – 무선랜 편 (0) | 2010.05.28 |
| 가짜백신, 당신의 지갑을 노리고 있습니다. (0) | 2010.04.09 |
| 산업기밀 유출의 또 다른 공공의 적, 악성코드! (0) | 2010.03.11 |
