테크빅

핵심과 정보를 전하는 IT 전문 크리에이터

IT

내 컴퓨터가 좀비PC? 기본적인 시스템 보안점검으로 알아보는 원리

테크빅 TECH BIC 2023. 11. 25. 09:00
반응형

쉽게 알아보는 기본 시스템 보안점검 원리, 코드예제 사진

시스템 보안점검으로 알아보는 PC보안 기본 원리


해킹이 쉽나요?

갑자기 쓰지 않았던 파일이 수정되어 있거나, 설치하지 않았던 프로그램이 내 PC에서 실행되고 있을 때 마음이 불안해지죠.

우리의 생각보다 해킹 시도는 여러 방면에서 아주 빈번하게 이루어지고 있습니다. 만약 내 PC가 악성코드에 감염되었더라도 상시가동이 아닌 공격자가 필요로 할 때만 실행되는 경우도 많습니다.

보안 지식이 어느정도 수준에 있는 경우가 아닌 이상 본인 PC가 감염된 사실 조차 잘 파악하기 어렵습니다. 그렇기에 신뢰할 수 있는 보안소프트웨어를 설치한 뒤 최신업데이트를 자주 확인해주셔서 미리 예방하는 것이 좋습니다. 물론, 아주 중요한 자료는 외장저장장치에 이중백업과 최소한의 암호화 작업은 필수겠죠?

만약 내 PC가 이미 감염되었다고 의심이 된다면?

최우선적으로 보안소프트웨어와 Windows Defender 를 통해 기본적인 검사를 해주는 것도 좋지만 우선적으로 내 PC에서 가동되고 있는 프로세스들이 무엇을 하고 있는지 파악하는게 우선입니다. 이번 주제는 깊게 파고들수록 이해하시기 어려운 내용과 단어가 많아지기에 조금 가볍게 다뤄보도록 하겠습니다.

프로세스 확인

cmd 에서 PID 확인


Task Manager (Windows 작업관리자) 또는 htop, ps 명령어 (Linux)를 사용하여 현재 실행 중인 프로세스를 확인합니다.

의심스러운 프로세스나 CPU 및 메모리 사용이 비정상적인 경우, 해당 프로세스를 조사합니다.

*스텔스 상태의 프로세스는 작업관리자에서 표시되지 않는 경우도 많기에, 커맨드를 활용해 tasklist 명령어로 확인하시는 것을 권장드립니다.
PID 확인
프로세스를 식별하기 위해 번호로 매겨진 고유 식별자를 (PID) 라고 합니다.

이 PID 를 확인하여 어떤 프로세스가 어떤 작업을 수행하고 있는지 파악합니다.

* 리눅스(Linux) : ps 명령어
* 윈도우(Windows) : Task Manager(작업관리자) 또는 Tasklist 를 통해 PID를 확인하고 식별합니다.
Netstat 확인

cmd 에서 netstat -ano 명령어로 확인하는 사진

netstat 명령어를 사용하여 네트워크 활동을 모니터링합니다.

특히, 좀비PC가 C&C(공격자)서버와의 통신을 하는 경우 해당 네트워크 연결을 식별할 수 있습니다.

netstat -ano (Windows) 또는 netstat -anp (Linux) 명령어를 사용할 수 있습니다.
시스템 로그

윈도우 이벤트뷰어

시스템 로그를 검토하여 의심스러운 활동 또는 에러를 찾습니다.

*Windows에서는 Event Viewer(이벤트뷰어)
*Linux에서는 /var/log 디렉토리에 있는 로그 파일들을 확인합니다.
안티바이러스 및 안티맬웨어 스캔
마지막으로 시스템에 설치된 안티바이러스 및 안티맬웨어 (보안소프트웨어)
프로그램을 사용하여 시스템을 스캔합니다.

결론

개인 시스템에서 이미 침해되었다고 판단되는 경우에 이러한 원리로 단서를 찾아나가면서 최종적으로 종합하여 얻은 정보로 의심되는 프로세스를 구별해낸 뒤 해당 프로세스의 네트워크 패킷을 분석하거나, 동적/정적 분석 등 여러 정밀 보안점검을 진행하게 됩니다. 사건이 발생한 뒤 대처하는 것보다 예방하는 것이 더 중요하다는 것을 명심하고 보안을 항시 신경써주세요!

반응형