본문 바로가기
AhnLab 보안in

내 PC가 좀비PC가 된다면(1)

by 보안세상 2020. 4. 7.

2009.05.08

 

필자가 어렸을 때 오락실에서 재미나게 하던 ‘마계촌’이라는 게임이 있었다. 이 게임은 좀비들이 주인공을 쫓아오는 것부터 시작한다. 주인공이 좀비에게 무기를 던져서 죽일 수 있으나 죽여도 죽여도 다른 좀비들이 나오므로, 주인공은 좀비 출몰지역을 빠르게 빠져 나와야 한다.

 

마계촌 게임 화면

좀비(Zombie)는 영화나 게임에서 자주 볼 수 있는 캐릭터 중에 하나이다. 그럼 실제로 이 세상에는 좀비가 존재할까? 좀비는 서인도 제도의 아이티섬의 전설에서 나왔다고 알려져 있는데, 당연히 실제 이 세상에는 없을 것이다. 그렇다면 좀비PC는 존재할까?
당연히 좀비PC는 존재한다. 아니 파악조차 할 수 없이 많은 PC가 좀비가 되어서 해커의 조종을 기다리고 있을지도 모른다.

 

그럼 좀비PC가 많아짐으로 인해 어떤 일이 벌어지는 지 알아보자.

 

작년(2008년) 중순에 인터넷포털 N사의 카페서비스가 10대 해커의 공격에 의해 시스템이 마비된 적이 있었다. 그때의 공격방법은 분산서비스거부(DDoS, Distributed Denial of Service Attack) 라는 것으로, 약 30만원을 주고 구입한 중국산 DDoS 공격툴로 해당 사이트를 공격했던 것이다.

이 사건을 좀더 쉽게 설명을 하면 이렇다. 이 10대 해커가 돈을 주고 산 DDoS 공격툴은 이미 좀비가 되어 있는 PC들을 조종할 수 있었던 것이었고, 이 좀비PC에게 동시에 지정한 사이트를 접속하도록 지령을 내려서 해당 카페 시스템을 일시적으로 마비를 시킨 것 이였다.

 

필자의 주변에서는 예전에 이런 일도 있었다. 친한 친구 집에 놀러 갔더니 친구가 나에게 재미있는 것을 보여준다고 했다. 그 친구의 PC를 봤더니 누군가의 컴퓨터화면(게임을 하고 있는 중)을 보여주었다. 그리고 또 다른 사람의 컴퓨터 화면도 볼 수 있었는데 이메일을 쓰고 있는 중 이었다. 필자는 친구에게 무슨 짓을 한 것이냐고 물었더니, 그냥 PC방에 가서 몇 대의 PC에 원격으로 화면을 볼 수 있는 프로그램을 재미삼아 깔아봤다는 것이었다(PC방에서는 웹서핑이나 간단한 게임은 몰라도 개인적인 작업은 절대 하지 말길 바란다).

위의 경우는 장난으로 끝난 경우이지만, 악의적인 목적을 가지고 타인의 PC를 좀비로 만들어 몰래 지켜보면서 개인정보를 빼낸다든지 조종하는 행위는 엄연히 불법행위이므로 법적인 처벌을 받을 수 있다(이런 행위를 목격한다면 경찰청 사이버테러 대응센터로 연락하자).

그럼 내 PC가 좀비PC가 됨으로써 다른 사람 또는 기업에게 피해를 주게 된다면 어떨까? 본인도 모르게 발생한 것일 것이고 본인 스스로 악의적인 행동을 한 것이 아니므로 법적 책임은 없을 것이다. 하지만 본인의 부주의한 PC관리로 인해 다른 피해자를 양산시킨 것이 되므로 도의적인 책임이 충분히 있다고 필자는 생각한다. 겨울에 눈이 내리면 자신의 집 앞에 눈을 제때 치워야 본인과 그 가족도 안전하고 집 앞을 지나가는 행인도 안전한 것과 유사한 이치이다. 이처럼 허술한 PC관리는 자신이 그 첫 번째 피해자가 되고 그로 인해 불특정 다수에게도 또 다른 피해를 안겨줄 수 있다.

타인의 PC를 조종하는 것은 선의의 목적으로도 사용할 수 있다?

내 PC가 다른 사람의 조종에 의해 동작되는 것은 전혀 유쾌하지 않은 일이다. 하지만 좋은 용도로 쓰이는 경우도 있다. 윈도우즈에는 원격기능이 제공되고 있어서 설정이 이미 되어 있다면 외부에 있는 PC를 관리할 수도 있고, 기업들은 고객지원 시 PC사용이 서툰 고객을 위해 고객동의 하에 원격지원 서비스도 하고 있다. 또한, 메신저에도 원격기능을 지원하는 프로그램이 있고, 최근에는 토탈 보안서비스 중 하나의 기능으로서 원격지원도 제공되고 있다.(이런 순기능의 PC원격 서비스를 받는 PC를 좀비PC로 부르지는 않는다.)

이번 글에서는 가볍게 좀비PC의 사례와 PC관리의 중요성에 대해서 언급해봤다. 이어지는 다음 글에서는 좀비PC 확인 방법, DDoS 공격, 좀비PC가 되지 않도록 예방방법 등 구체적인 것들을 다루도록 하겠다.@



글 : 이연조 | 안철수연구소 프로그래머

 

안철수연구소에서 인터넷뱅킹 보안 제품을 개발하고 있으며, 현재 “IT 칼럼니스트”로 활동 중이다. 책(Book)과 공(Ball)과 겜(Game)을 좋아하는 영원한 신혼남으로, 밝고 건전한 사회를 만들기 위해서 항상 웃고 다니고 있는 중이다.