PC BIOHAZARD ‘봇(Bot)’ 필자가 어렸을 때 오락실에서 재미나게 하던 ‘마계촌’이라는 게임이 있었다. 이 게임은 좀비들이 주인공을 쫓아오는 것부터 시작한다. 주인공이 좀비에게 무기를 던져서 죽일 수 있으나 죽여도, 죽여도 다른 좀비들이 나오므로 주인공은 좀비 출몰지역을 빠르게 빠져나와야 한다.

좀비(Zombie)는 영화나 게임에서 자주 볼 수 있는 캐릭터 중에 하나이다. 그럼 실제로 이 세상에는 좀비가 존재할까? 좀비는 서인도 제도 아이티 섬의 전설에서 나왔다고 알려져 있는데, 당연히 실제 이 세상에는 없을 것이다. 그렇다면 좀비PC는 어떨까? 당연히 좀비PC는 존재한다. 아니 파악조차 할 수 없이 많은 PC가 좀비가 되어서 해커의 조종을 기다리고 있을지도 모른다.
좀비PC는 웜 바이러스 중 하나인 ‘봇(Bot)’에 감염돼 온라인을 통해 사용자가 아닌 다른 사람에 의해 원격 조종되는 PC를 말한다. 자신의 의지가 아닌 다른 사람에 의해 조정되기 때문에 흔히들 좀비PC라고 부른다.
그럼 좀비PC가 많아짐으로 인해 어떤 일이 벌어지는지 알아보자. 작년(2008년) 중순에 한 인터넷 포털의 카페서비스가 10대 해커의 공격에 의해 시스템이 마비된 적이 있었다. 그때의 공격방법은 분산서비스거부(DDoS : Distributed Denial of Service Attack)라는 것으로, 약 30만원을 주고 구입한 중국산 DDoS 공격 툴로 해당 사이트를 공격했던 것이다. 이 10대 해커가 돈을 주고 산 DDoS 공격 툴은 이미 좀비가 되어 있는 PC들을 조종할 수 있었고, 이 좀비PC에게 동시에 지정한 사이트를 접속하도록 지령을 내려서 해당 카페서비스 시스템을 일시적으로 마비시킨 것이었다.
필자의 주변에서는 예전에 이런 일도 있었다. 친한 친구 집에 놀러 갔더니 친구가 재미있는 것을 보여준다며 자신의 PC로 누군가의 PC 화면(게임을 하고 있던 중이었다)을 보여주었다. 그리고 또 다른 사람의 PC 화면도 볼 수 있었는데 이메일을 쓰고 있는 중이었다. 필자가 친구에게 어떻게 된 것인지를 물었더니, 그냥 PC방에 가서 몇 대의 PC에 원격으로 화면을 볼 수 있는 프로그램을 재미삼아 깔아봤다는 것이었다(PC방에서는 웹 서핑이나 간단한 게임은 몰라도 개인적인 작업은 절대 하지 말길 바란다).
 
내 PC가 좀비PC가 된다면…
위의 경우는 장난으로 끝난 경우이지만, 악의적인 목적을 가지고 타인의 PC를 좀비로 만들어 몰래 지켜보면서 개인정보를 빼낸다든지 조종하는 행위는 엄연히 불법행위이므로 법적인 처벌을 받을 수 있다(이런 행위를 목격한다면 경찰청 사이버테러대응센터로 연락하자).
그럼 내 PC가 좀비PC가 됨으로써 다른 사람 또는 기업에게 피해를 주게 된다면 어떨까? 본인도 모르게 발생한 것이고 본인 스스로 악의적인 행동을 한 것이 아니므로 법적 책임은 없을 것이다. 하지만 본인의 부주의한 PC 관리로 인해 다른 피해자를 양산시킨 것이 되므로 도의적인 책임이 충분히 있다고 필자는 생각한다. 겨울에 눈이 내리면 자신의 집 앞에 눈을 제때 치워야 본인과 그 가족도 안전하고 집 앞을 지나가는 행인도 안전한 것과 유사한 이치이다. 이처럼 허술한 PC 관리는 자신이 그 첫 번째 피해자가 되고 그로 인해 불특정 다수에게 또 다른 피해를 안겨줄 수 있다.
 
타인의 PC를 조종하는 것은 선의의 목적으로도 사용할 수 있다?
내 PC가 다른 사람의 조종에 의해 동작되는 것은 전혀 유쾌하지 않은 일이다. 하지만 좋은 용도로 쓰이는 경우도 있다. 윈도우즈에는 원격기능이 제공되고 있어서 설정이 미리 되어 있다면 외부에 있는 PC를 관리할 수도 있고, 기업들은 고객지원 시 PC 사용이 서툰 고객을 위해 고객동의 하에 원격지원 서비스도 하고 있다. 또한, 메신저에도 원격기능을 지원하는 프로그램이 있고, 최근에는 토털 보안 서비스 중 하나의 기능으로서 원격지원도 제공되고 있다(이런 순기능의 PC원격 서비스를 받는 PC를 좀비PC로 부르지는 않는다).
 
내 PC가 좀비PC가 되었는지 확인할 수 있는 방법은?
좀비PC가 되었다는 것은 로봇 프로그램의 일종인 악성 봇(Bot)에 감염된 PC를 말한다. 일단 현재 내 PC에 어떤 프로그램이 실행 중인지를 알아보는 방법이 있다. 윈도우 태스크 바에 마우스 오른쪽 버튼을 클릭해 작업관리자를 실행시키고 프로세스 탭을 클릭해보면, 실행중인 프로세스 목록을 볼 수 있다. 여기서 내가 알지 못하는 프로그램이 PC자원(CPU, 메모리 등)을 과도하게 사용할 경우에 의심해 볼 수 있을 것이고 해당 프로그램을 종료시킬 수도 있다. 이 방법은 PC가 비정상적인 경우에 조치할 수 있는 간단한 방법 중에 하나로서 제법 유용한 방법이다. 하지만 이것만으로는 내 PC가 좀비PC가 되었는지를 파악하기는 사실상 어렵다.

일반 PC사용자로서 간단하게 좀비PC 여부를 알아내는 방법 중에 하나는 한국정보보호진흥원(KISA)에서 제공하는 서비스를 이용하는 것이 있다. 이 서비스는 보호나라 웹사이트에서 제공하고 있으므로 이 사이트로 접속하면 확인할 수 있다. 또한 백신소프트웨어를 설치해서 검사를 해보는 것도 좋은 방법이다.
 
좀비PC가 되면 DDoS 공격자가 된다?
좀비PC가 될 경우, DDoS 공격뿐만 아니라 불법 프로그램 유포, 스팸메일 발송, 개인정보 유출, 애드웨어 및 스파이웨어 설치 등에 악용될 수 있다.
이 중에서 DDoS 공격이 최근 들어 더욱 심각해지고 있는 추세이다. 최근 한국정보보호진흥원(KISA)의 ‘인터넷침해사고 동향 및 분석 월보’에 따르면 해커들의 동향을 파악하기 위한 허니넷에 유입된 봇 감염 IP 수가 지난해 12월 하루 평균 20만 건 이하에서 올해 3월에는 하루 평균 40만 건으로 증가한 것으로 나타났다. DDoS 공격이 이처럼 늘고 있는 것은 DDoS 공격 프로그램을 손쉽게 구할 수 있고, 그것을 통해 초보 해커들의 공격이 쉬워졌기 때문이다. 기업 측에서는 안티 DDoS 솔루션 구매 등 기업보안체계를 강화해야겠지만, 결국 이 DDoS공격을 막는 가장 좋은 방법은 개인 PC의 보안강화를 통해 좀비PC가 되지 않도록 예방하는 것이다.
 
좀비PC가 되지 않도록 하는 예방방법은?
좀비PC를 만들어버리는 봇도 악성코드의 일종이다. 외출 후에 손만 잘 씻어도 대부분의 질병을 예방할 수 있듯이, 위의 정보보호 실천수칙만 철저히 지킨다면 자신의 PC가 좀비PC로 감염되지 않는 최선의 예방책이 될 수 있다. 

정보보호 실천수칙
1. 운영체제 보안패치 최신으로 유지하기
2. 바이러스 백신 프로그램 사용하기
3. 이메일 또는 메신저의 첨부파일 함부로 열지 말 것
4. 신뢰할 수 있는 웹 사이트에서 제공하는 ActiveX 프로그램 설치하기
5. P2P 사이트에서 파일을 내려 받았을 때 백신으로 검사하기
<글 : 이 연 조 | 안철수연구소 보안기술팀 선임연구원(yunjodan@ahnlab.com)>

[월간 시큐리티월드 통권 제149호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>