HAURI

전체메뉴 열기

Security issues analysis

주의해야 할 보안위협요소에 대한 분석자료 제공

보안이슈 분석

스파이웨어 정복기
등록일 :
2006.07.18

옛말에 ‘구더기 무서워 장 못 담근다’ 라는 말이 있다. 스파이웨어 무서워 인터넷 못한다(?) 그런 사용자는 설마 없을것이다. 하지만, 스파이웨어는 정말 성가신 존재임은 분명하다. 그러기위한 최선의 방법은 무엇일까? 가장 좋은 Anti-Spyware 제품들을 항상 최신 엔진으로 업데이트하고 주기적으로 검사하여 치료하라는 이야기는 3살 먹은 어린이도 알 정도다.

필자의 시스템은 최소 스파이웨어로부터 안전하다고 장담할 수 있다! 필자는 좋은 Anti-Spyware 제품을 가지고 있기 때문이다. ‘에이~ 뭐야?’ 하실 독자분들도 계시겠지만, 필자가 사용하는 Anti-Spyware 제품이라고 한 것은 독자분들이 사용하고 있는 그런 Anti-Spyware 제품이 아니다. 즉, 레지스트리 및 파일을 뒤져서 Spyware인지 아닌지를 검사하는 종류의 제품이 아니라는 뜻이다.

우선 Anti-Spyware를 차단하는 가장 좋은 방법을 고민해야 한다. 인터넷을 사용할 때 수많은 보안 경고창에 대한 사용자들의 무의식적인 동의에 의한 무분별한 파일들의 설치 혹은 레지스트리의 변경이 가장 주된 문제일 것이다. 결국 이런 동의를 하더라도 무분별한 파일들이 설치되지 않고 레지스트리의 변경만 없다면 항상 깨끗한 컴퓨터 환경을 가질수 있게 된다. 바로 이 개념이 SandBox이다. SandBox는 어린이들이 다칠것을 우려해 모래를 담은 커다란 상자에 어린이들을 자유롭게 활동할 수 있게 해 둔 공간이다. 즉, 아무리 스파이웨어가 나쁜 행동을 하더라도 SandBox 안에서의 행동이라면 다시 SandBox는 Reset하여 깨끗한 환경을 유지할 수 있게 한다. 즉, [그림1]과 같이 사용자가 사용하는 모든 프로그램들은 하드디스크에서 파일을 직접 읽고 쓴다.



하지만 SandBox가 설치되면 [그림2]와 같이 파일은 하드디스크에서 파일을 직접 읽어오지만, 파일을 쓸때에는 SandBox 공간에 쓰여지게 된다.



일정 시점마다 SandBox를 Reset만 시켜주면 항상 사용자의 하드디스크는 안전하게 운영되게 된다. 단, 중요한 작업을 할 때 즉, 문서등을 작업할때에는 절대 SandBox가 존재하면 안된다. 만약 그렇게 될 경우 실제 하드디스크에 쓰여지지 않기 때문에 중요 문서는 온데 간데 없을 것이다.

가장 적당한 SandBox 제품이 바로 http://www.sandboxie.com/ 사이트에서 무료로 배포하는 SandBoxIE 이다.

설치를 하면 트레이에 [그림3]과 같이 노란색의 SandBoxIE가 보일것이다.



이제 트레이의 SandBoxIE에서 마우스 우측버튼을 눌러 Show Processes를 눌러보자. 그리고 메뉴에서 [File] -> [Run Program]을 선택한 다음 notepad.exe를 입력하여 메모장을 실행해보자. 이때 메모장이 구동되었고, 메모장 캡션바에 [그림4]와 같이 [#] 표시가 존재한다면 제대로 수행이 되었다.



그리고 마음껏 글을 작성하여 C:\1.txt로 저장하여 보자. 제대로 저장이 되었다면 다시 SandBoxIE 메뉴에서 [File] -> [Run Program]을 선택한 다음 notepad.exe를 입력하여 다시 메모장을 실행하고 C:\1.txt 파일을 열게 되면 조금전 작성한 문서를 볼 수 있을 것이다. 하지만, 지금까지의 모든 환경은 SandBox라 불리는 가상 환경에서 발생한 일이다. 그래도 이해가 되지 않는다면 이번에는 SandBoxIE가 아닌 [시작]->[실행] 메뉴를 선택하고 입력창에 notepad.exe를 입력하여 메모장을 실행해보자 이때 실행된 메모장의 캡션바에는 [#] 표시가 없을 것이다. 이는 실제 환경을 의미하는데 C:\1.txt 파일을 읽어보자. 이상한 현상을 목격하게 될 것이다. 실제 C:\1.txt 파일은 보이지 않을 것이다. 즉, 조금전에 작성한 문서는 가상 환경에서 작성되었기 때문이다.

이상한 것은 이뿐이 아니다. SandBoxIE를 통해 탐색기를 구동하여 이런 저런 파일을 지워보자. 그리고 진짜 탐색기를 통해서 보면 해당 파일은 지워지지 않았음을 확인할 수 있을 것이다.

즉, 스파이웨어로부터 자유로워질 수 있는 방법은 이 방식을 활용하는 것이다. 먼저 SandBoxIE를 통해 IE를 구동하고 인터넷 서핑 하게 되면, 서핑시 생성되는 임시 파일 및 보안 경고창을 무의식적으로 Yes라고 하는 모든 것들이 가상 환경에 쓰여지게 되므로 인터넷 서핑이 끝나게 되면 SandBoxIE 메뉴중 [Terminate All Sandboxed Processes]를 선택하여 가상 환경으로 동작하는 모든 프로세스를 종료한 다음, [Delete Contents of Sandbox]를 선택하여 초기 상태로 Reset을 할 수 있게 된다. 이렇게 되면 가상 환경에서 생성되고 삭제되었던 모든 내용이 실제 환경과 동일한 상태로 돌아가기 때문에 스파이웨어가 설치되었다면 설치되기 이전 상태로 돌아간다고 볼 수 있다.

이로써 스파이웨어에 대한 걱정을 없앨 수 있을 것이라는 자신감이 생겼는가? 가상 환경은 이처럼 편하기는 하지만, 사용시 주의할 점이 있다. 즉, SandBoxIE를 통해 실행된 IE를 통해 인터넷에서 다운 받은 파일은 모두 가상 환경에 있으니 나중에 탐색기에서 볼경우 보이지 않을 수 있다는 것과 SandBoxIE를 통해서 문서를 작성한다면 작성한 문서가 실제로 보이지 않을 수도 있으니 조심해야 한다. 이것만 유의한다면 여러분의 컴퓨팅 환경은 보다 쾌적할 것이다.
  • - 본 정보의 저작권은 (주)하우리에 있으므로 허가없이 전체 또는 일부를 사용 시 저작권 침해로 간주될 수 있습니다.
  • - 상업적인 목적이나 단체에서 사용할 경우, 별도로 허가를 받으셔야 합니다. (정보 이용 문의 skim@hauri.co.kr)

Top