KBS에서 제작한 신년특집다큐 “좀비PC, 당신을 노린다.” 방송이 나간 후 이스트소프트에서는 내 PC가 좀비 PC인지 확인하려는 문의 전화와 메일을 상당수 받았습니다.

<KBS 다큐멘터리 “좀비PC, 당신을 노린다.” 방송 화면>

포털 사이트에서도 “좀비PC 확인법”으로 검색 유입이 많았고, 좀비 PC가 실시간 검색어 1위를 차지해 다시 한번 TV 방송의 위력을 실감할 수 있었습니다.

<포털사이트의 좀비PC 확인법 검색 결과>

그 중에서도 일부 언론사에서 'netstat 명령어로 8080 포트(Port)가 나타나면 좀비 PC라고 확인된다.'는 잘못된 정보가 보도되어 정상 PC인데도 좀비 PC로 의심된다는 문의가 가장 많았습니다.

<일부 언론사의 잘못된 좀비 PC 확인법 기사내용>

일부 악성 봇(Bot)이나 악성코드(Backdoor.Haxdoor.E, Win32.Spybot.OBB 등)들이 통신을 위해 사용하는 포트(Port)가 8080인 것은 분명하지만, 이것만으로는 내 PC가 좀비 PC인지 감염 여부를 확실하게 가려내기에는 정보가 턱없이 부족합니다.

게다가 8080 포트는 악성코드 이외에도 인터넷(HTTP)를 이용하기 위해 사용될 수 있는 정상적인 포트이기 때문에 악성코드에 감염되지 않은 깨끗한 PC에서도 8080 포트는 충분히 나타날 수 있게 됩니다. 그러므로 이른바 “8080 좀비 PC 확인법”은 정확하지 않은 방법입니다.

<8080좀비PC 확인법 검색 결과>

내 PC가 좀비PC인지 제대로 확인하는 방법

그렇다면 내 PC가 정말 좀비 PC인지 정확히 판별할 수 있는 방법이 무엇일까요?
답은 의외로 정말 가까이 있습니다. 바로 지금 여러분이 사용하고 있는 “최신 버전의 백신”으로 충분히 확인할 수 있습니다.

알약 같은 최신 백신에서는 아주 일반적인 컴퓨터 바이러스 뿐만 아니라 좀비 PC를 만드는 악성봇(Bot) 계열의 악성코드에 대해서도 진단할 수 있는 데이터베이스(DB)를 갖추었기 때문에 알약의 정밀 검사 결과만으로도 좀비PC 여부를 비교적 정확하게 판단할 수 있습니다.

<'알약'에서 탐지된 악성 봇(Bot) 프로그램 샘플>

알약의 정밀 검사나 실시간 감시 결과에서 주로 좀비 PC를 만들어버리는 악성 봇(Bot) 프로그램들은 진단명에 Bot이라는 단어를 대부분 포함하고 있습니다.
위 그림의 경우 진단명에 Bot이라는 단어를 포함하고 있기 때문에 내 PC에서 이러한 검사 결과들이 발견되었다면 좀비 PC임을 확실히 알 수 있습니다.

참고로, Sdbot은 C&C(Command & Control; 명령제어) 서버의 IRC를 통해 좀비 PC들을 통제하는 특징을 기본적으로 가지고 있고, DDoS 공격과 개인정보 유출, 암호화 기능을 추가시킬 수도 있습니다. (Sdbot의 추가 악성 기능은 해커 입맛(?)에 맞게 제조됩니다.)

<좀비PC를 만드는 악성 봇(Malicious Bot) 의 개념도>

이외에도 DNS 싱크홀(Sink hole) 기술에 기반한 알약의 악성 봇(Bot) 사전 방역 기능을 통해 좀비PC로 의심될 경우 알림창을 보여주고, 사용자 동의 후 시스템 정보를 수집하여 최신 버전의 알약진단 기능에 최종적으로 반영됩니다.

<DNS 싱크홀(Sink hole)의 원리를 설명한 자료>

<악성봇(Bot) 사전 방역 알림창>

알약에서 악성 봇 사전 방역 기능을 사용하려면 “설정” -> “실시간 감시”에서 “악성봇 사전 방역기능”을 체크 선택해주시면 됩니다.

<알약 악성봇 사전 방역 설정 화면>

좀비 PC는 파일 손상 같은 실질적 피해 뿐만 아니라 TV에서 보신 것처럼 PC 사용자의 정신적 고통까지 줄 수 있습니다.

마지막으로 이를 예방하는 방법은 잔소리 같지만 매번 강조해도 부족함이 없는 “최신 버전의 백신의 사용(물론 실시간 감시 ON)과 보안 패치 설치 그리고 출처가 불분명한 파일은 읽지 않고 바로 삭제하는 것!” 입니다.”

이 세가지만 잘 지켜도 내 PC가 좀비 PC로 돌변하는 것을 대부분 예방할 수 있습니다.