어떻게 멀웨어(악성 소프트웨어)로부터 보호할 것인가?

최종 검토일 : 2019.05.15

해커나 범죄자들만 다른 사람의 컴퓨터에 몰래 들어가거나 악성 소프트웨어를 설치하는 것은 아니다. 정보기관이나 수사기관 또한 스파이웨어를 통해 누군가의 컴퓨터를 몰래 수색하거나 감시한다.

2015년 7월 6일, 이탈리아의 스파이웨어 개발업체 ‘해킹팀’이 해킹되어 내부 자료가 유출되었다. 해킹팀은 전 세계 정보기관에 RCS라 불리는 스파이웨어를 판매해온 업체다. 이번 해킹으로 해킹팀과 거래했던 국가와 정보기관이 드러났는데, 한국의 국가정보원도 포함되어 있었다. 대통령 선거가 있었던 2012년에 국가정보원이 해킹팀의 스파이웨어를 구매했고, 이후 계속적인 업그레이드를 요청해온 것으로 볼 때, 국가정보원이 그동안 비밀리에 사찰을 해온 것이 아닌가 하는 의혹이 크다.

독일은 수사기관이 스파이웨어를 이용해 온라인 감시를 행하는 나라 중 하나다. 예를 들어, 바이에른주 형사청은 뮌헨공항 보안심사 중에 피의자의 노트북에 감시프로그램을 비밀리에 설치하여, 피의자의 브라우저가 온라인에 접속해 있는 동안 매 30초마다 스크린샷을 캡쳐하고 이를 바이에른주 형사청으로 전송하도록 했다. 독일 외 다른 나라에서도 스카이프와 같은 인터넷전화 소프트웨어를 통한 대화를 감청하거나 컴퓨터의 웹캠을 통해 이용자를 감시하는 소프트웨어가 이용되고 있다.

2.201 “악성 소프트웨어”를 뜻하는 멀웨어는 컴퓨터 이용자를 공격하기 위해 사용되는 소프트웨어이다. 그것은 다양한 방식으로 작동하는데, 예를 들어 컴퓨터 운영체제를 망가뜨리거나, 민감한 정보를 수집하거나, 스팸이나 가짜 메시지를 보내기 위해 이용자인 척 가장하거나, 사적인 컴퓨터 시스템에 접근하기도 한다. 멀웨어의 대부분은 범죄 목적이며, 통상 은행 정보 혹은 이메일이나 소셜 미디어 계정의 로그인 정보를 얻는데 사용된다. 또한 멀웨어는 암호화를 우회하여 이용자를 감시하고자 하는 정부, 법 집행기관(수사기관), 혹은 개인들에 의해서 사용될 수도 있다. 멀웨어는 광범한 능력을 가지고 있다. 공격자가 웹캠이나 마이크를 통해 녹음하게 할 수도 있고, 특정한 바이러스 방지 프로그램의 알림 설정을 활성화시키지 않을 수도 있으며, 키보드 입력을 기록할 수도 있고, 이메일이나 다른 문서를 복제하거나 비밀번호를 훔칠 수도 있다.

바이러스 방지 소프트웨어

EFF는 컴퓨터나 스마트폰에서 바이러스 방지 소프트웨어(Anti-virus Software)의 사용을 권장하지만, 특정한 제품이 더 좋다고 추천할만한 것은 없다. 바이러스 방지 소프트웨어는 범죄자가 수백 명을 대상으로 사용하는 값싸고, “목표물 없는” 멀웨어를 퇴치하는 데에는 상당히 효과적이다. 반면, 중국 정부의 해커가 뉴욕 타임즈를 공격하는데 사용한 것과 같은, 특정한 목표물을 대상으로 한 공격에는 보통 효과적이지 않다.

바이러스 방지 소프트웨어는 많은 제품들이 있다. 매일 매일 새로운 바이러스가 나타나고, 보안 업체들은 이를 막을 수 있는 백신을 개발하고 있다. 특정한 바이러스 방지 소프트웨어가 모든 바이러스를 방지할 수 있는 것은 아니며, 바이러스 방지 소프트웨어마다 방지할 수 있는 바이러스의 목록이 다르다. 따라서 어떤 제품이 더 낫다고 추천하기는 힘들며, 해마다 평가도 달라질 수 있다. 가장 좋은 방법은 바이러스 방지 소프트웨어에 대한 최신 평가 자료(https://www.av-comparatives.org/tests/summary-report-2018/ )를 찾아보는 것이다.
안타깝게도 모든 기능을 갖춘 오픈소스 멀웨어 방지 소프트웨어는 현재 추천할 것이 없다. 윈도우즈 사용자라면 내장된 Windows Defender를 이용할 수도 있고 혹은 현재까지 괜찮은 평가를 받아온 Avira(Windows, Mac, Android) / AVG(Windows, Mac, Android) / Malwarebytes(Windows, Mac, Android) 와 같은 소프트웨어를 이용할 수도있다.
널리 사용되는 자유/오픈소스 멀웨어 방지 소프트웨어인 CalmAV 는 윈도우즈와 맥OS, 리눅스에서도 사용 가능하며, 설치 없이 USB메모리스틱을 통해 실행시킬 수도 있다. CalmAV는 특정한 파일이나 파일의 경로에 멀웨어가 있는지 없는지 찾아주는 스캐너이며, 감염 방지를 위해 당신의 시스템을 실시간으로 모니터링하지는 않는다.

바이러스 방지 소프트웨어를 효과적으로 이용하는 방법

  • 두 개의 바이러스 방지 프로그램을 동시에 이용하는 것은 좋지 않다. 컴퓨터가 매우 느려질 수 있고, 충돌할 수도 있다. 다른 것을 이용하려면, 이전 프로그램을 언인스톨(Uninstall) 해야 한다.
  • 바이러스 방지 프로그램이 자동으로, 정기적으로 업데이트 되도록 하는 것이 좋다. 매일 새로운 바이러스가 나타나고 있기 때문이다.
  • 바이러스 방지 프로그램에 ‘바이러스 탐지’ 기능이 있다면, 이것을 켜 두어야 한다.
  • 정기적으로 컴퓨터의 모든 파일들을 검사하라. 매일 하지는 못하더라도, 때때로 해 두는 것이 좋다. 특히, 컴퓨터가 새로운 네트워크에 최근에 연결되었다든가, 타인의 USB에 연결된 적이 있다든가, 종종 이메일 첨부 파일을 다운로드 받는 등 바이러스 감염의 가능성이 있는 경우에는 검사를 하는 것이 좋다.

스파이웨어 방지 소프트웨어

스파이웨어는 악성 소프트웨어의 일종으로, 당신이 컴퓨터와 인터넷에서 하는 일을 추적하고, 그 정보를 누군가에게 보낸다. 스파이웨어는 키보드 입력과 마우스 움직임, 당신이 방문하거나 실행한 프로그램 등을 기록한다. 이로 인해, 컴퓨터 보안을 약화시키고, 당신과 친구들의 민감한 정보를 유출할 수 있다.

윈도, 리눅스, 맥OS를 막론하고, 악성 소프트웨어로부터 보호하기 위해서는 1) 정기적으로 운영체제와 설치된 프로그램을 업데이트하고, 2) 바이러스 방지 프로그램을 설치하며, 3) 방화벽 프로그램을 설치하고, 4) NoScript 부가프로그램과 함께 파이어폭스 같은 안전한 브라우저를 사용하여 다운로드된 스크립트가 시작되지 않도록 해야 한다.

감염의 지표

바이러스 방지 소프트웨어로 멀웨어 탐지가 안 될 때에도, 감염 여부를 찾을 수 있는 방법이 있다. 예를 들어, 구글은 때때로 지메일 이용자들에게 당신의 계정이 정부가 지원하는 공격자의 목표가 된 것 같다고 알리는 경고를 보낸다. 또한, 당신이 웹캠을 켜지 않았는데도 당신의 웹캠이 켜져있음을 알리는 불이 들어온 것을 발견할 수 있는데(물론 발전된 멀웨어는 이것도 끌 수 있다), 이 역시 감염되었다는 신호일 수 있다.

다른 지표들은 좀 덜 명확하다. 당신의 이메일이 모르는 IP 주소에서 접속한 흔적이 있다든가, 당신이 모르는 이메일 주소로 보내기 위해 설정이 바뀌어 있을 수 있다. 당신이 네트워크 트래픽을 관찰할 수 있다면, 트래픽의 시간과 양을 통해 감염의 징후를 발견할 수도 있다. 감염을 의심할 수 있는 또 다른 경우는 당신의 컴퓨터가 알려진 명령통제 서버, 즉 멀웨어에 감염된 기기에 명령을 보내거나 감염된 기기로부터 데이터를 받아들이는 컴퓨터에 연결되었음을 발견했을 때이다.

공격자는 멀웨어를 어떻게 이용하는가?

멀웨어 공격에 대처하는 가장 좋은 방법은 우선 감염되지 않도록 하는 것이다. 이는 공격자가 제로데이(zero-day) 공격을 이용한다면 어려울 수 있다. 제로데이 공격이란 기존에 알려지지 않았던 컴퓨터 응용프로그램의 취약점을 이용하는 공격이다. 당신의 컴퓨터를 요새라고 생각하면, 제로데이는 당신이 몰랐던, 하지만 공격자가 발견한 숨겨진 비밀 통로라고 할 수 있다. 당신이 몰랐던 비밀 통로로부터 당신을 방어할 수는 없다.

정부와 법 집행기관은 특정 목표에 대한 멀웨어 공격을 하기 위해 제로데이를 비축해 놓는다. 범죄자와 다른 누군가 역시 당신의 컴퓨터에 몰래 멀웨어를 설치하기 위해 제로데이를 이용할 수 있다. 그러나 제로데이는 비싸고 재사용하기에는 비용이 많이 든다. (요새에 침투하기 위해 비밀 터널을 한번 이용하면, 다른 사람들이 그것을 발견할 가능성이 높아질 것이다.) 공격자가 당신을 속여 스스로 멀웨어를 설치하도록 유도하는 것이 훨씬 일반적인 방법이다.

공격자가 당신의 컴퓨터에 멀웨어를 설치하도록 당신을 속이는 방법은 많다. 그들은 메시지 내용을 웹사이트의 링크, 문서, PDF, 혹은 컴퓨터 보안을 돕는 프로그램인 것처럼 가장할 수 있다. 이메일을 통해 (마치 당신이 아는 사람이 보낸 것처럼), 혹은 스카이프나 트위터 메시지를 통해, 혹은 페이스북 페이지에 올려진 링크를 통해 공격을 당할 수 있다. 공격 목표가 더 구체적일수록, 공격자는 당신이 멀웨어를 다운로드하도록 유혹하기 위해 더 세심한 주의를 기울일 것이다.

예를 들어, 시리아에서, 대통령인 아사드를 지지하는 해커들이 정치적 반대자들을 멀웨어로 공격했는데, 그 멀웨어는 가짜 혁명 문서가짜 해킹 방지 도구에 감춰져 있었다. 이란 사람들은 대중적인 검열 우회 프로그램에 숨겨진 멀웨어로 공격당했다. 모로코에서는, 정치적 추문에 대한 정보를 주겠다는, 알자지라 기자가 보낸 것처럼 보이는 문서에 숨겨진 멀웨어에 활동가들이 공격당했다.

이런 종류의 특정 대상을 목표로 한 멀웨어에 감염되지 않는 가장 좋은 방법은, 우선 문서를 열어 멀웨어를 설치하게 되는 일을 피하는 것이다. 컴퓨터와 기술적 전문성이 있는 사람은 무엇이 멀웨어이고 아닌지 짐작할 수 있겠지만, 목표를 대상으로 한 정교한 공격은 매우 신빙성이 있는 것처럼 보인다.

멀웨어로부터 보호하는 또 다른 방법은 항상 최신 소프트웨어를 사용하고, 최신의 보안 수정판을 다운로드 하는 것이다. 소프트웨어에서 새로운 취약점이 발견이 되면, 업체들은 문제를 수정하여 소프트웨어 업데이트를 제공한다. 그러나 당신이 업데이트를 하지 않으면 그러한 작업의 혜택을 받을 수 없을 것이다. 혹여 당신이 윈도우즈의 등록되지 않은 복제본을 사용하고 있다 하더라도 보안 업데이트는 받을 수 있다.

컴퓨터에서 멀웨어를 발견하면 어떻게 해야 할까?

컴퓨터에서 멀웨어를 발견하면, 컴퓨터를 인터넷으로부터 단절하고 즉각 사용을 중지해야 한다. 단순히 이더넷과 와이파이 뿐만 아니라 블루투스, 모바일 데이터 등 어떠한 타입의 네트워크와도 연결되어선 안된다. 당신이 키보드에서 치는 모든 것이 공격자에게 보내질 수 있다. 멀웨어의 세부사항을 발견할 수 있는 보안 전문가에게 컴퓨터를 맡기는 것이 좋다. 멀웨어를 발견했을 때, 그것을 지우는 것만으로 컴퓨터의 보안을 보장할 수는 없다. 어떤 멀웨어는 공격자에게 감염된 컴퓨터에서 임의의 코드를 실행할 권한을 주는데, 공격자가 컴퓨터를 통제하고 있을 때 어떤 추가적인 악성 소프트웨어를 설치했을 가능성을 배제할 수 없다. 추가적인 감염을 막기 위해 USB메모리 스틱이나 백업용 드라이브를 연결하지 전에 다시 한 번 생각해라. 마찬가지로 해당 컴퓨터에 연결하고 사용했던 적이 있는 제품은 사용을 피하는 것이 좋다. 당신이 안전하다고 믿을만한 컴퓨터에 로그인해서 비밀번호를 바꿔라. 감염된 컴퓨터에서 입력한 모든 비밀번호는 이제 유출된 것으로 간주해야 한다.

멀웨어를 제거하기 위해 컴퓨터의 운영 체제를 다시 설치하는 것이 좋다. 이렇게 하면 대부분의 멀웨어는 제거할 수 있지만, 일부 특별히 정교하게 설계된 멀웨어는 존재할 수 있다. 언제 컴퓨터가 감염되었는지 알고 있다면, 그날 이전의 파일을 다시 설치하라. 감염된 날 이후의 파일로 다시 설치하는 것은 컴퓨터를 다시 감염시킬 수 있다.

이 글은 EFF의 How Do I Protect Myself Against Malware?(2018년 8월 29일 마지막 업데이트)를 기초로 한 것입니다. 또한, Tactical Tech Collective의 Security-in-a-box ‘PROTECT YOUR DEVICE FROM MALWARE AND HACKERS 역시 참고하였습니다.