'복구'에 해당되는 글 3

  1. 2009/06/02 지운 파일도 다시 보자 (1)
  2. 2008/07/14 안철수연구소, 복구 완료 단계... 재발 방지 대책 발표 (1)
  3. 2008/07/11 [안철수연구소 긴급공지]윈도 SP3에 포함된 Lsass.exe 파일 복구 안내 (2)

지운 파일도 다시 보자

AhnLab 보안in 2009/06/02 17:00

얼마 전 다음과 같은 내용의 뉴스 기사가 보도되었다.

“영국 글래모건 대학과 BT 연구팀이 시중에서 구입한 중고 컴퓨터 하드디스크에서 대륙간 탄도탄 방어 시스템, 무기 컨설턴트 업체의 500억 달러 거래 등 수많은 비밀정보들이 들어있는 것이 발견됐다고 BBC가 7일 보도했다.”

기사에 따르면, 이베이를 통해 구입한 해당 하드 디스크 들에는 최첨단 미사일 방어 시스템에 대한 많은 자료들뿐만 아니라, 관련된 사람들에 대한 개인 정보들과 계좌번호들, 그 외의 비밀 정보들도 남겨져 있었다고 한다.

뉴스 기사로 보도될 정도의 이런 예 외에도, 개인 사용자들 간의 중고 거래가 활발히 이뤄지고 있는 플래시 메모리들의 경우, 거래하는 당사자는 내용을 완전히 지웠다고 생각하지만, 간단한 파일 복구 툴을 이용하면 지워졌던 파일들에 대한 대부분의 복구가 가능해진다. 문제는 이런 플래시 메모리들은 개인 정보(이를 테면 은행 거래용 인증서, 계좌번호, 주민 등록 번호 등의 개인 신상 정보)들을 담고 있을 확률이 높고, 요즘 많이 보급되어 있는 디지털 카메라에서 사용되었던 플래시 메모리라면, 지극히 개인적인 사진들이 들어있었을 확률이 높다.

이제는 컴퓨터를 사용하는 많은 사용자들의 보안에 대한 의식이 상당히 높아져서, 개인적으로 사용하는 컴퓨터에 대한 관리는 이미 적지 않은 노력들을 기울이고 있으나, 위의 예시에서 볼 수 있듯이, 지금 사용하고 있는 저장 장치뿐만 아니라, 자신의 손을 떠나게 되는 하드 디스크와 메모리 장치들에 대해서도 자료와 정보들에 대한 보안이 이뤄져야 한다는 것을 알 수 있다.

난 분명히 파일을 지웠는데 어떻게 복구가 되는 거지?

저장 장치들의 원리를 간단히 살펴보면 해답이 있다. 간단히 설명하자면, 하드 디스크 등의 저장 장치는 내부적으로 크게 두 가지 부분으로 이뤄진다. 하나는 실제 파일의 내용이 기록되는 부분이고, 또 하나는 그 파일이 기록된 부분에 대한 정보를 담고 있는 부분이다.

예를 들어, MyFile.zip 이라는 파일이 하드 디스크에 저장되어 있다면, 실제 MyFile.zip 의 내용이 (0과 1로만 이뤄진) 컴퓨터가 알아볼 수 있는 모습으로 변환되어 하드 디스크에 기록이 되어 있으며, 이와 더불어서 MyFile.zip 파일이 실제 하드 디스크 상에서 어디부터 어디까지 얼만큼 기록이 되어있는 지에 대한 정보도 함께 저장되어 있다고 보면 된다.

우리가 컴퓨터를 사용하면서 파일을 지우게 되면, 실제 파일의 내용이 기록된 부분은 그대로 남겨진 채, 해당 파일이 어디에 어떻게 기록되어 있었는지에 대한 정보만 지워지게 된다. 그렇기 때문에, 이 상태에서 각종 파일 복구 툴을 이용하여, 지워진 파일에 대한 흔적을 쫓아가게 되면 손쉽게 원래의 파일을 되살려낼 수 있게 되는 것이다.

디스크를 포맷하게 되면 깔끔하게 지워지게 되는 것 아닌가?

결론부터 말하자면 그렇지 않다. 대부분의 많은 사람들이 디스크를 포맷하게 되면, 실제로 저장 장치의 모든 내용이 초기화되는 것으로 알고 있으나, Windows 에서 기본적으로 제공되는 포맷 작업은 각각의 파일들이 어디에 어떻게 기록되어 있는지에 대한 정보들을 담고 있는 부분만 지우는 방식으로 동작한다.

실제 파일들의 내용이 있던 부분이 그대로 남아 있더라도, 그 파일들을 찾아갈 수 있는 정보를 모두 지워버린 상태기 때문에, Windows 상에서는 아무 파일도 저장되어 있지 않은 상태로 보이게 되는 것이다.

주목해야 할 점은 ‘빠른 포맷’의 경우에만 그런 것이 아니라, ‘일반 포맷’도 마찬가지라는 사실이다. 빠른 포맷보다 훨씬 시간이 오래 걸리기 때문에 사용자들이 실제 파일의 내용도 함께 지워주는 것으로 오해할 수 있으나, 일반 포맷이 빠른 포맷보다 오래 걸리는 이유는, 포맷 작업과 함께 디스크 검사를 같이 수행해주기 때문이다.

그럼 어떻게 해야 파일을 완벽하게 지울 수 있을까?

포맷까지 해도 지워지지 않는다면 어떻게 해야 파일을 완벽하게 지울 수 있을까?

다음과 같이 크게 두 가지 방법을 사용할 수 있다. 실제 파일의 내용이 기록된 부분을 깔끔하게 지워버리거나(다시 말해서 0 값으로 전부 채워버리거나), 또는 기존 파일의 내용과 전혀 다른 값들로 여러 번 덮어써버리는 것이다.

하드 디스크 및 메모리 저장 장치를 생산하는 여러 업체에서는 데이터가 기록된 모든 부분을 지워버릴 수 있는 Low Level Format 툴을 제공하고 있다. 자신이 사용하는 저장 장치 제조사에서 제공하는 툴을 사용하는 것도, 완벽하게 포맷을 할 수 있는 한가지 방법이 될 수 있다.

또한 인터넷을 통해 찾아보면, 앞서 설명한 방법들과 비슷한 원리를 이용하여 파일들을 삭제해주는 여러 가지 툴들을 찾아 볼 수 있다.

이 글에서는 ‘V3 365 클리닉’에 포함된 ‘파일 완전 삭제’ 기능과, ‘파일 흔적 삭제’ 기능을 조금 더 자세히 알아보도록 하자.

‘V3 365 클리닉’을 통한 완벽한 파일 삭제

V3 365 클리닉은 파일의 안전한 삭제를 위해 크게 두 가지 기능을 제공하고 있다.

‘파일 완전 삭제’ 기능은 삭제하려고 하는 파일을 미리 지정해둔 알고리즘에 따라 완벽하게 지워주는 기능이고, ‘파일 흔적 삭제’ 기능은 디스크 내에 사용하지 않는 공간(다시 말해서 예전에 파일이 존재했었을 공간)을 깔끔하게 지워주는 기능이다.

사용자 삽입 이미지

[그림 1 V3 365 클리닉 개인정보보호 탭]



V3 365 클리닉의 개인정보보호 탭에 들어가면 해당 기능들을 사용할 수 있다. (파일 완전 삭제 기능의 경우 삭제를 원하는 파일 위에서 마우스 오른쪽 클릭을 하면 빠른 실행 메뉴를 통해서도 사용 가능하다.)

사용자 삽입 이미지

[그림 2 삭제 수준 설정]



‘설정하기’ 버튼을 눌러서 환경 설정 화면에 들어가면, 삭제할 수준을 설정할 수 있는 메뉴가 나타난다. 말 그대로, 어느 정도로 완벽하게 파일 및 파일의 흔적을 삭제할 것인지를 선택할 수 있는 메뉴로서, 슬라이더를 조정하여 사용자가 선택할 수 있는 수준들은 다음과 같다.


사용자 삽입 이미지

[표 1 삭제 수준]



[표 1]을 통해 알 수 있듯이, 삭제 수준이 높아질수록 복잡한 알고리즘을 사용하게 되고 덮어쓰기 횟수도 늘어나서 삭제하는데 소요되는 시간은 늘어나지만 더 완벽한 삭제 작업을 하게 된다.

사용자 삽입 이미지

[그림 3 파일 완전 삭제 기능 #1]




사용자 삽입 이미지

[그림 4 파일 완전 삭제 기능 #2]


[그림 3]과 같이 완전 삭제를 원하는 파일들을 마우스로 드래그 앤 드롭해서 해당 창에 추가해준 후에 ‘파일 완전 삭제 시작’ 버튼을 클릭해주면 선택된 파일들이 [그림 4]와 같이 사용자가 미리 지정해둔 방식에 따라 삭제된다.


사용자 삽입 이미지

[그림 5 파일 흔적 삭제 기능]



파일 흔적 삭제의 수행도 비슷하게 이뤄진다. [그림 1]의 창에서 ‘파일 흔적 삭제 시작’ 버튼을 눌러주면, 각 디스크 별로 사용하지 않는 공간(파일들이 기록되어 있었으나, 확실히 지워지지 않았을 것으로 예상되는 부분)을 찾아내서 완전히 지워지지 않은 부분들에 대한 완벽한 삭제를 수행하여 준다.

글을 마치며

요즘은 대부분의 작업들이 컴퓨터를 통해서 이뤄지고 있기 때문에, 각종 중요한 문서들은 물론이거니와, 개인적인 자료들도 전부 디지털화되어 저장되고 처리되고 있다.

글의 서두에서도 얘기했듯이, 현재 사용하고 있는 시스템뿐만 아니라, 사용한 후의 시스템에서도 보안은 철저하게 이뤄져야 한다.

소중하고 중요한 정보들이 자신도 모르게 몇몇 악의적인 목적을 가진 사람들의 손에 전해질 수도 있다는 사실을 염두에 두고, 하드 디스크 및 플래시 메모리 등의 저장 장치를 다룰 시에는 보안 상의 문제가 없도록 지속적인 관리를 할 수 있게 되길 바란다.


[글] 엔진테스터 윤병무
안철수연구소에서 매일 업데이트 되는 따끈따끈한 엔진을 이쁘게 포장하고 테스트하여 고객에게 전달하는 업무를 담당하고 있다. 현재 “IT 칼럼니스트”로 활동하며, 초보자에게 필요한 여러 IT 활용지식을 쉽고 간결한 필체로 제공하고 있다.



위 글은 안랩닷컴    페이지에서도 제공되고 있습니다.

보안에 대한 더 많은 정보 안랩닷컴"에서 찾으세요 :D


 

Writer profile
세상에서 가장 안전한 이름,
안철수연구소입니다.
2009/06/02 17:00 2009/06/02 17:00
TAG , , , , , , , , , , ,
0 Trackbacks | 1 Comments

안철수연구소, 복구 완료 단계... 재발 방지 대책 발표

AhnLab 뉴스 2008/07/14 11:34


안철수연구소, 복구 완료 단계..재발 방지 대책 발표 

- 지난 주말까지 윈도 XP SP3 오진 복구 대부분 완료

- 완벽 복구 여부 확인 검증 프로그램 추가 개발, 제공

- 기존 품질 보증 프로세스 및 업데이트 절차 획기적 개선

- 사고 즉시 사실 공지 및 전직원 비상 체제 복구 서비스 신속 대응

 

안철수연구소(대표 석주 www.ahnlab.com)는 지난주 목요일(10) 오후 발생한 윈도 XP SP3 오진과 관련해 주말까지 복구가 대부분 완료됨에 따라 재발 방지 대책을 발표했다.

 

안철수연구소는 사고 즉시 전사 비상 대응 체제를 구축해 전직원이 주말까지 복구에 총력을 집중한 결과 복구 신청이 현격히 줄어들어 조기에 복구가 완료 단계에 접어들었다고 밝혔다.

 

한편, 이미 복구가 되었음에도 아직 불안해하는 고객을 위해 완벽한 복구 여부를 확인할 수 있는 검증 프로그램을 추가로 개발해 오늘(14) 10시경부터 자사 홈페이지(http://kr.ahnlab.com/info/customer/html/2008_lsass_fix_05.html)에서 무료 제공 중이다. 이 프로그램을 다운로드해 실행하면 100% 복구 여부를 확인할 수 있다.

 

또한 안철수연구소는 이번 같은 사고의 재발을 방지하고 더욱 안전한 보안 환경을 제공하기 위한 대책을 수립했다.


, 백신을 업데이트하는 기존 전반적 절차(샘플 수집, 악성 코드 분석, 진단 도구 작성, 품질 관리, 스마트 업데이트, 고객 환경 대응)를 획기적으로 개선하기로 했다. 이는 기존의 프로세스들을 더욱 유기적으로 연결하면서 이중 삼중으로 완전무결한 검증 장치를 강화해 다양한 환경 변화에도 안전하게 대응할 수 있도록 하는 데 초점을 맞춘다.


, 품질 보증(Quality Assurance) 작업과 화이트리스트(white list) 관리를 더욱 철저히 하여 정상 파일의 오진을 방지할 계획이다.


셋째, 서비스 중단이 발생할 수 있는 운영체제의 시스템 파일의 오진 가능성을 예방하는 기존 분석 시스템을 더욱 정밀하게 강화할 계획이다. 아울러 마이크로소프트와 실시간 대응할 수 있는 기술적 공조 체제를 강화하여 서비스팩의 업데이트와 패치에 대해 신속하고 심층적인 분석이 이루어지도록 할 계획이다. 이는 베타 단계부터 연구개발, 기술 지원, 유틸리티 등 전반적 항목에서 긴밀하게 협조함을 의미한다.

 

이 밖에도 보안 위협과 사고에 대한 대응을 더욱 신속히 할 수 있도록 고객만족센터, 온라인/오프라인 서비스, 악성코드 대응의 종합적 서비스 시스템을 개선할 예정이다. 또한 고객의 위치에 상관없이 동시에 최단 속도로 도달할 수 있는 전국적 서비스 망 체계를 구축하기로 했다. 이를 위해 역량 있는 업체와 제휴해 PC 및 소프트웨어 서비스를 고객 필요에 따라 지원할 수 있도록 체제를 갖출 계획이다.

 

오석주 대표는 임직원 모두 이번 일을 깊이 반성하고 앞으로 더욱 철저한 관리로 같은 일이 재발하지 않도록 각고의 노력을 다하겠다. 이를 전화위복의 계기로 삼아 내부 프로세스를 향상시키고 역량을 강화해 글로벌 보안 기업으로 도약하는 것이 고객의 질책과 격려에 보답하는 길이라고 믿는다.”라고 밝혔다.

 

이에 앞서 안철수연구소는 지난 10일 오후 사고 발생 즉시 사실을 사용자들에게 여러 수단(언론, 홈페이지, SMS )을 통해 신속히 알리는 한편 고객의 신속한 문제 해결 및 복구서비스를 통해 조기에 정상적인 PC 환경으로 복구 완료하기 위해 전직원 비상 대응 체제에 돌입했다. 11일에 이어 휴무일인 12일에도 전직원이 출근하고 일요일인 13일에도 고객지원을 비롯 비상대응팀 직원들이 출근하여 복구 작업을 계속 했다. 고객의 전화 및 이메일, 온라인 게시판을 통한 문의에 응대하고, 복구 프로그램 CD를 퀵서비스로 배송했다. 필요한 경우 직접 방문해 복구 서비스를 제공했으며 안철수연구소에 직접 방문할 경우 문제 해결은 물론 전문적인 상담을 제공했다. 아울러 전국 7개 협력사와 긴밀한 공조 체제를 구축해 지방 고객들도 홈페이지에 공개된 주요 협력사에 연락해 CD 를 받거나 전문적인 조언을 받도록 했다.

 

안철수연구소가 자사와 지방 협력사를 통해 고객에게 제공한 복구 프로그램 CD 13일까지 6,500여 개로 집계됐다. 이후에도 예외적인 경우와 아직 지원을 받지 못한 고객에게는 지원을 계속할 계획이다.


Writer profile
세상에서 가장 안전한 이름,
안철수연구소입니다.
2008/07/14 11:34 2008/07/14 11:34
TAG , , ,
0 Trackbacks | 1 Comments

[안철수연구소 긴급공지]윈도 SP3에 포함된 Lsass.exe 파일 복구 안내

AhnLab 뉴스 2008/07/11 01:47
7/10(목) 배포된 V3 엔진 2008.07.10.01 버전에서 특정 파일을 Win-Trojan/Infactlsass.13312 로 잘못 진단하여 삭제하는 사례가 아래와 같이 발생하였습니다.

- 오진발생 엔진버전: 2008.07.10.01
- 진단명: Win-Trojan/Infactlsass.13312
- 진단파일: 윈도우 XP 서비스팩 3에 존재하는 Lsass.exe 파일(13,312바이트)
- 피해증상: 진단파일 삭제로 인한 시스템 부팅 불가 (하드디스크의 데이터 파일 손상은 발생하지 않음)

[피해현상 확인 방법]

윈도우 XP 서비스팩 3를 사용하는 고객님 중,

1. 윈도우 XP 서비스팩 3를 사용하는 고객님 중, Lsass.exe 파일이 삭제된 후 시스템 재부팅을 하지 않은 경우
   아래와 같이 Windows 파일 보호 창이 출력됩니다.
    이 경우, V3 검역소 진단로그에 lsass.exe 파일 진단내역이 존재합니다.


[Windows 파일 보호창 출력 화면]

[V3 검역소에서 lsass.exe 파일이 Win-Trojan/Infactlsass.13312로 진단되는 화면]

2. 윈도우 XP 서비스팩 3를 사용하는 고객님 중, Lsass.exe 파일이 삭제된 후 시스템을 재부팅한 경우는 시스템
    재부팅시로그인창이 나오지 않고 멎어버리는 현상이 발생 합니다.

   피해를 입은 고객님은 다음 방법 중 택일하여 조치를 해 주시기 바랍니다.


V3 검역소에 C:\Windows\System32\lsass.exe 파일이 Win-Trojan/Infactlsass.13312로 진단된 내역이 있는 경우는 제공해 드리는 복구툴을 이용하여 복구할 수 있습니다.

[전용 복구툴을 이용한 복구 방법]

1. 전용 복구 파일(파일명)을 다운로드합니다. [전용 복구툴 다운로드]
2. 다운로드 한 파일을 실행합니다.

※ 복구 툴을 실행하면, 특정 메시지 출력 없이 자동으로 복구됩니다
※ 2008.07.10.03 엔진을 사용하는 고객님은 엔진업엔진업데이트 후 자동으로 복구툴이 실행되어 복원되므로, 별도로 복구 툴을 다운로드하여 실행하실 필요 없습니다.
Writer profile
세상에서 가장 안전한 이름,
안철수연구소입니다.
2008/07/11 01:47 2008/07/11 01:47
TAG , , ,
0 Trackbacks | 2 Comments
1