개인이든 기업이든 컴퓨터를 사용하는 곳에선 바이러스로 몸살 한번 앓지 않은 곳이 없을 정도다.요즘 바이러스는 복잡하고 지능적인 형태를 띠고 있어 이젠 출근과 동시에 바이러스 백신을 업데이트하는 직장인들이 늘어나고 있다.특히 최근 기승을 부리는 악성 코드(그림참조)는 점차 지능화해 파괴력이 강하고 감염 영역이 클라이언트(PC)나 서버를 넘나들고 있다. 멜리사 나비다드 러브레터 코드레드 님다 등이 대표적인 악성 코드다. 악성 코드는 예측을 불허하면서 진화를 거듭해 왔다. 이에 대한 대비는 이제 선택이 아니라 필수라 할 수 있다.최근의 컴퓨터 바이러스들은 e메일 또는 네트워크를 통한 대량 확산과 해킹과의 결합을 통한 무작위 공격의 특징을 가지고 있다. 때문에 그 위험도나 확산 속도가 이전의 컴퓨터 바이러스들에 비할 바가 못 된다.바이러스 중에서 가장 많은 피해를 입힌 님다(Nimda) 바이러스의 경우 e메일 네트워크의 공유 폴더 등 보안 취약점을 통해 전파됐다.일반적인 바이러스 감염 경로는 다음과 같다. 첫째, 90% 이상이 e메일을 통한 전파다. 송신자 주소가 공란인 메일, 제목에 알 수 없는 메시지가 들어 있는 메일, ‘Hi, how are you?’ ‘ILOVEYOU’ 등과 같은 식의 단순한 인사말 제목의 메시지, ‘Naked woman’과 같이 사용자 호기심을 자극하는 제목의 메시지로 전파된다.둘째, 네트워크 공유 폴더를 통한 감염이다. FUNLOVE, 님다와 같은 바이러스가 사용하는 전파 방식이며 사내 네트워크(LAN)를 통해 쉽고 빠르게 확산된다는 특징이 있다.셋째, 시스템의 보안 취약점을 공격하는 경우다. 운영체제 또는 시스템 서비스의 보안 취약점을 해킹의 형태로 공격하는 전파 방법인데 전통적인 컴퓨터 바이러스의 정의로 볼 때 오히려 해킹에 가까운 기술이지만 최근 컴퓨터 바이러스 전파자들이 많이 시도하는 방법이다.바이러스 전문가들은 안전에 필요한 노력이나 비용은 처음에는 필요 없는 것처럼 보일 수도 있지만 장기적으로 발생할 수 있는 사고를 미연에 방지함으로써 적은 노력과 비용으로 큰 손실을 막을 수 있다고 강조한다.다양한 형태의 피해를 입히는 이런 컴퓨터 바이러스의 공포로부터 기업을 안전하게 보호하고, 만일 피해를 입은 경우 손쉽게 대처할 수 있는 방법을 개인과 기업 사용자로 나눠 소개한다.개인 사용자 감염예방법다양한 악성 코드에 감염되지 않기 위해서는 우선 정품 소프트웨어를 사용해야 한다. 불법 복사한 소프트웨어는 많은 사람의 손을 거치기 때문에 자연 악성 코드에 쉽게 노출되며 감염돼 피해를 당했을 경우 책임 소재도 가릴 수 없기 때문이다.둘째, 출처가 불분명한 e메일은 아예 열어보지 않는다. 이런 메일은 제목이나 첨부파일 이름이 유난히 구미를 당긴다. 님다처럼 특별한 제목이 없는 경우도 있다. 마이크로소프트(MS)의 e메일 프로그램 아웃룩을 사용할 경우 패치(보안) 프로그램을 업데이트 하지 않은 상태에서는 메일을 읽는 것만으로도 감염되는 바이러스도 등장하고 있기 때문에 MS 사이트에 들어가 패치 프로그램을 업데이트하는 것이 좋다.셋째, PC통신이나 인터넷을 통해 프로그램을 내려 받을 때는 신뢰할 수 있는 유명 통신망이나 인터넷 사이트에서 받도록 한다. 이런 곳은 관리자가 불법 복사물인지, 악성 코드에 감염된 파일인지 등을 확인한 뒤 등록하기 때문에 위험 확률이 적다.가장 안전한 것은 프로그램 제작업체 사이트에서 직접 내려 받는 것이다. 그러나 믿을 수 있는 인터넷 사이트에서도 프로그램이 악성 코드에 감염된 채 등록되는 일이 있기 때문에 내려 받을 때 백신으로 확인해 보는 것이 안전하다.넷째, 백신 프로그램을 설치한 후에는 항상 최신 버전으로 업데이트해야 한다. 백신은 악성 코드가 나온 후 분석 과정을 거쳐 업데이트가 되는 것이기 때문에 최신 버전이 아니면 신종 바이러스에는 무용지물이다. 매주 혹은 긴급 업데이트되는 백신 업체의 정보를 눈여겨보고 항상 대비하는 것이 필요하다.마지막으로 비상시 데이터 손실을 최소화하기 위해 데이터를 정기적으로 백업해 놓고 복구 디스켓을 준비해 놓는 것이 좋다.기업 사용자 감염예방법복잡한 전산 네트워크로 묶여있는 기업 환경에서는 바이러스의 전파 속도나 피해 정도가 개인사용자보다 훨씬 더 심각하다.일반 개인 사용자와 달리 기업의 경우 바이러스에 감염되면 회사 내 대다수의 사용자에게 단시간에 전파돼 중요한 기업정보의 손상이나 네트워크의 마비로 인한 업무중단 등 막대한 피해를 입는다. 나아가 중요한 외부 고객에게까지 바이러스가 유출돼 기업신뢰도에 상당한 손상을 초래한다.기업사용자는 개인사용자에 비해 e메일 사용이 많고 다양한 네트워크에 물려 있어 바이러스 감염에 쉽게 노출돼 있다.우선 자신의 시스템이 바이러스에 감염됐다면 시스템이 느려지거나 윈도 프로그램이 실행되지 않는 등의 증상이 나타날 수 있다.만일 시스템이 바이러스에 감염된 것으로 의심이 되면 ‘http://www.antivirus.co.kr/housecall’ 등 인터넷 무료 검색 및 치료 기능을 이용해 시스템을 검사하거나 이미 PC에 설치된 바이러스 검사 프로그램을 이용해 전체 드라이브에 대한 수동 검색을 할 수도 있다.기업사용자들이 할 수 있는 바이러스 감염 경로 및 감염 상황에 따른 대처 방법을 요약하면 다음과 같다.우선 감염 경로에 따른 예방법이다. △송신자 또는 제목이 이상한 e메일은 절대로 열지 않는다. △아웃룩과 같은 메일 프로그램의 미리 보기 기능을 사용하지 않는다. △공유 폴더 사용을 최대한 자제하고, 절대로 쓰기 공유는 하지 않는다. △항상 최신 바이러스 백신 프로그램을 설치해 최신의 상태로 유지한다.일단 바이러스 감염이 의심되는 경우에는 △PC에 설치된 바이러스 백신 프로그램을 돌려보거나 ‘http://www.antivirus.co.kr/housecall’에 접속해 시스템에 바이러스가 감염됐는지 검사한다. △바이러스 감염이 의심되는 파일은 각 바이러스 백신 업체의 바이러스 신고 센터로 의심 파일을 전송해 바이러스 전문가의 도움을 받는다. △님다, SIRCAM 등 신종 바이러스에 감염된 경우 바이러스 백신 업체의 웹 사이트에서 전용 치료툴을 다운로드받아 감염된 바이러스를 치료한다. △바이러스에 감염된 컴퓨터는 아예 네트워크 케이블을 뽑아 다른 컴퓨터로의 확산을 막는다. △감염된 상태에서 시스템을 반복적으로 재부팅하는 행위는 금물이다. 왜냐하면 감염된 바이러스에 따라 오히려 감염 상태를 더욱 더 악화시킬 수도 있기 때문이다. △자신의 PC가 사내에서 발견되지 않는 신종 바이러스에 감염됐다면 전산 관리자, 보안 관리자에게 가능한 한 빨리 그 사실을 알리고 주변 동료들의 PC에서도 바이러스 감염 확인을 한다.기업의 전산 부서 담당자들은 위의 사항을 요약해 직원들에게 공지하는 것이 필요하다. 하지만 네트워크를 통해 유입되는 바이러스의 경우 데스크톱에서의 바이러스 방역만으로는 원천적인 예방이 이뤄질 수 없다. 일정 규모 이상의 네트워크 환경을 가진 기업에서는 개별 직원들에게 의존하기보다는 중앙에서 관리할 수 있는 서버 바이러스 방역시스템 구축이 필수적이다.●도움말 = 황규범 안철수연구소 기반기술팀장, 임영선 안철수연구소 고객지원실장, 이형배 한국트렌드마이크로 기술지원팀장정리= 이승재 기자 sj@kbizweek.com컴퓨터 바이러스란?자기복제에 능란한 프로그램컴퓨터 바이러스는 일종의 프로그램으로 다른 프로그램들과 달리 사용자 몰래 자신을 다른 곳에 복사하는 명령어를 가지고 있다. 바이러스라는 이름이 붙은 이유는 생물학적인 바이러스가 자신을 복제하는 유전인자를 가지고 있는 것처럼 컴퓨터 바이러스도 자신을 복사하는 명령어들을 가지고 있기 때문이다. 따라서 컴퓨터 바이러스라는 말보다는 바이러스 프로그램이라는 말이 더 정확한 표현이라고 할 수 있다.또한 컴퓨터 바이러스는 자기 복제 능력 외에도 실제 바이러스와 같이 부작용(Side Effect)를 가지고 있는 경우가 많다. 이런 부작용은 컴퓨터를 느리게 하는 경우도 있지만 때로는 파일에 손상을 주거나 하드디스크 자체를 사용하지 못하도록 하는 경우도 있다.바이러스와 유사한 악성 코드로 트로이목마와 웜이 있다. 트로이목마는 시스템에 부작용을 일으킨다는 점에서 바이러스와 공통적이지만 전염은 되지 않는 실행 파일이다. 바이러스가 유행하기 이전부터 존재했으며 현재까지 수많은 트로이목마들이 발견됐다.예전에는 보통 실행하면 하드디스크를 포맷하는 등의 파괴적인 일을 하지만 최근의 트로이목마들은 단순히 시스템을 파괴하는 것보다 ‘백도어(Back Door)’라고 해서 정보를 빼오는 프로그램이 많아졌다. 대표적인 백도어 프로그램인 ‘백오리피스’는 상대 PC를 내 PC처럼 작동할 수 있게 하고, ‘에코키스’나 ‘넷버스’는 키보드 입력 값을 특정 IP 주소로 전송해 사용자가 사이버 뱅킹 등을 이용할 경우 개인 정보가 유출되게 한다.웜은 전염된다는 속성은 바이러스와 같지만 감염 대상(파일이나 특정 부트 영역)이 없다는 점에서 차이가 있다.특히 인터넷 웜은 보통 웜과 다르게 인터넷의 e메일 기능을 이용한다. 99년 1월초 발견된 I-Worm/Happy99의 경우 감염된 컴퓨터에서 메일을 보낼 경우 HAPPY99.EXE를 함께 첨부해서 보내고 메일을 받은 사람이 HAPPY99.EXE를 실행하면 그 사람 역시 웜을 퍼뜨리는 보균자가 된다. 크게 보면 웜 프로그램의 한 종류이긴 하지만 e메일을 전파의 경로로 이용하는 점이 특이하다. 최근 이슈가 됐던 인터넷 웜으로는 나비다드(Navidad) 코드레드(Code Red) 님다(Nimda) 등이 있다.컴퓨터 바이러스는 크게 4가지로 구분할 수 있다. 부트 영역에 감염되는 부트 바이러스와 파일에 감염되는 파일 바이러스, 부트와 파일에 모두 감염되는 부트·파일 바이러스, 그리고 최근 발견된 엑셀, 워드 등에서 사용되는 매크로를 통해 감염되는 매크로 바이러스가 있다.2 부트 바이러스(Boot Virus)컴퓨터를 처음 켰을 때 디스크의 가장 처음 부분인 부트 섹터(Boot Sector)에 위치하는 프로그램이 가장 먼저 실행되는데, 이곳에 자리잡는 컴퓨터 바이러스를 부트 바이러스라고 한다. 예로는 국내 최초로 88년에 발견된 바이러스인 뇌(Brain) 바이러스가 있으며 이후 발견된 미켈란젤로(Michelangelo), Anti-CMOS 바이러스 등을 들 수 있다.?파일 바이러스(File Virus)파일 바이러스란 일반적인 프로그램에 감염되는 컴퓨터 바이러스를 말한다. 이때 감염되는 프로그램은 COM파일, EXE 파일 등의 실행 파일 및 오버레이(Overlay) 파일, 그리고 주변기기 구동 프로그램(Device Driver) 등이다. 예루살렘(Jerusalem), CIH 바이러스가 유명하다.부트·파일 바이러스(Multipartite Virus)부트·파일 바이러스는 부트 섹터와 파일에 모두 감염되는 바이러스로 2000년부터 나타나지 않고 있다.매크로 바이러스(Macro Virus)감염 대상이 실행 파일이 아니라 마이크로소프트의 엑셀과 워드, 파워포인트 등의 문서 파일이라는 점과 응용 프로그램에서 사용하는 매크로(간이언어)를 통해 감염되는 형태로 해당 프로그램을 사용할 때에만 감염된다는 점이 특징이다.