본문 바로가기
유용한 팁들

Norton Security Scan

by 글벌레 2009. 9. 24.
반응형

(2022년 12월 메모) 글이 더는 유효하지 않아 본문 안의 링크들은 모두 제거되었습니다.

오늘은 시스템에 열려 있는 TCP/IP 포트가 있는지 없는지 알아보고,
만약 열린 포트가 있다면 어떻게 대처해야 하는지를 주 내용으로 하여 글을 적어 보도록 합니다. 

열린 포트들을 보는 방법이야 여러 가지가 있겠지만,
이 글에서는 사용자가 가장 손쉽게 접근이 가능하고
또한 해당 취약점에 대한 기본적인 정보를 비교적 상세히 제공하는
Symantec의 노턴 보안 검사를 이용해 보도록 하겠습니다.

본론에 앞서 참고로 두 가지만 말씀드리면

이 글을 원래 현재 제가 쓰고 있는 다른 글의 일부인데,
이 부분을 현재 쓰고 있는 포스트에
첨부 시 그 내용이 너무 스크롤의 압박이 심해지는 관계로 독립시킨 글입니다.

열린 포트가 의미하는 것은 무엇일까요?

대개 경우 악성코드들은 뒷문(back door)을 열어 놓는다고 합니다.
즉, 특정 포트를 이용하는 특정 프로그램을 활성화시키지도 않았음에도,
만약 열린 포트가 존재한다면 그것은 현재 시스템이 악성코드에 감염되어 있다는 것일 수도 있습니다.  

침입할 시스템을 찾는 포트 스캐닝의 경우에도 
우선은 ping을 통하여 시스템이 켜져 있는지 부터 살펴 본 후 
시스템이 살아 있다면 열린 포트를 찾게 됩니다.

그러므로 내 시스템의 포트들 상태가 어떤지 살펴 보는 것도 가끔은 해볼 일로 보입니다.

                                              Norton Security Scan

 

Norton Security Scan을 이용하려면 아래 링크로 접속을 합니다.


링크가 더는 유효하지 않아 삭제 (2022년 12월 메모).

접속을 하면 아래와 같은 화면이 보입니다.

    [그림1]

 

이제 위 그림에서 빨간 네모 친
Continue to Symantec Security Check을 클릭합니다.

[그림2]


그러면 위 화면이 뜨는데 여기서 위 그림에서 보이 듯 
-Korea 를 택하여 줍니다.

[그림3]

 

그러면 위 그림에서 보이듯 팝업 창이 하나 실행되면서 보안 검사 실행 창이 한글로 바뀌게 되는데
이 팝업 창은 신경 안 쓰셔도 됩니다.

이제 보안 검사 시작을 클릭합니다.

시작 클릭 후 뜨는 최종 사용자 동의서에 동의를 합니다.

[그림5]

 
보안 검사가 진행되는 화면입니다.

                 [그림6]


보안 검사가 끝나면 위와 같은 검사 결과 창이 뜨는데 이 창에서
위 그림처럼 세부 사항을 펼쳐 놓으시기 바라십니다.

우선 해커 노출 검사에서 사용자의 자세한 테스트 결과 분석 보기를 클릭해 봅니다.

[그림7]


그러면 위와 같이 각 포트별로 자세한 검사 결과가 나오게 됩니다.

위 그림의 경우도 일단은 ping을 위한 ICMP 포트는 열려 있지만 나머지 포트들은 모두 닫혀 있으므로
시스템은 안전한 상태입니다.

이제 트로이 목마 검사에서도 사용자의 자세한 테스트 결과 분석 보기를 클릭해 봅니다.

                      [그림8]


그러면 역시 위 그림처럼 각 포트별 상태와 해당 포트를 여는 대표적 악성코드의 명칭을 볼 있습니다.

    Norton Security Scan으로 알게된 시스템 취약점에 대한 대처

검사 결과를 보았더니 포트 열림이 있는등 해서 시스템이 위험하다고 표시되거나 했을 때
그 대처는 어떻게 할 것인지 알아보기로 합니다.

우선 언급하고 지나갈 것은 이전 섹션의 [그림7] 같은 경우 입니다.


이 경우는 시스템이 안전하다고는 하지만 일단 ping에 응답할 준비가 되어 있기 때문에
자동화된 포트 스캐닝 툴이 ping 신호를 보낼 경우
"여보시요 ? 나 여기 있소오~~"하고 응답할 준비가 된 상태입니다.
그런데 제가 언급하는 자동화된 포트 스캐닝 툴이란 바로 worm 바이러스의 경우를 말하는 것입니다.

worm은 자신이 감염될 취약한 시스템을 찾기 위하여
감염된 시스템으로 부터 인근 시스템으로 ping으로 침입할 시스템이 있나를 찾아본 후
응답이 오는, 즉, 살아 있는 시스템이 있다면
그 시스템에 침입할 구멍이 있는가 궁싯거려 보게 됩니다.

그러므로 우리는 ICMP 포트도 감춰 버릴 때, worm에 의한 침입을 받을 확률이 적어질 것입니다.

그렇다면 이 포트를 어떻게 감출 것인가?

가장 간단한 방법은 바로 윈도우 방화벽을 켜는 것입니다.

[그림9]


위 그림을 보면 [그림7]에서 보이는 결과와는 차이를 느낄 수 있을 겁니다.
[그림7]에서 열림이거나 닫힘이던 것이 숨김으로 표시된 것 말입니다. 

그런데 [그림7][그림9]의 차이는 바로 한긋으로, 
윈도우 방화벽을 끄고 켜고의 차이일뿐입니다.

저 같은 경우 제 PC들에서 상용 방화벽 또는 유명 무료 방화벽 제품들을 사용하고 있기 때문에 
윈도우 방화벽에 별 관심을 두지 않고 있었는데, 이 결과를 보면 윈도우 내장 방화벽도
Stealth Mode를 지원함을 알 수 있습니다.

방화벽의 Stealth Mode란 네트워크상에서 내 PC를 감추어 버려서
접속 여부를 알 수 없게 하는 기능을 말합니다.

이제는

특정 포트가 열린 경우에 대하여 논하여 보기로 합니다.

보안 검사 결과를 보니 특정 포트가 열려서 시스템이 위험하다고 떴습니다.
어떻게 대처해야 할까요?

우선 알아야 할 것이 포트가 열렸다는 것은
어떤 프로세스가 해당 포트를 사용 중이라는 의미라는 것입니다.

그러므로 우리는 이런 경우 해당 포트를 어떤 프로세스가 사용중인지 먼저 알아야 할 것입니다

이 것을 알아내는 방법은 우선은 netstat 명령어가 있습니다.

이걸 이용하려면

                   [그림10]


우선 작업 관리자를 띄운 후 위 그림에서처럼 보기>열선택에서 PID 표시부터 하게 해야 합니다.

이제 명령 프롬프트 창을 띄우고

[그림11]


위 그림에서 처럼
netstat에 -o 옵션을 주므로써 우리는 포트를 열어버린 PID를 볼 수 있을 겁니다.

그러면 해당 PID를 작업 관리자에서 찾아보면 어떤 프로세스인지 알게 될 것입니다.

참고로 위 [그림11]에서 글벌레의 블로그라고 가린 부분이 로컬 주소와 열린 포트를 말합니다.

만약 거기에
111.123.234.345:999 라고 써져 있다면

111.123.234.345

는 내 로컬 ip 주소,

999

는 내 시스템에 열린 포트를 말합니다. 

이러한 방법에 대한 더 자세한 기술은 아래 제 예전 글에서 보실 수 있습니다,

2009/03/16 - [유용한 팁들] - 해킹을 당할까봐 불안해 ? - 해킹에 대한 대처 ▒ 제 2 편 ▒

그러나 이러한 방법은 실제적으로 굉장히 불편하기 때문에
Fport와 같은 침입 방지 프로그램을 쓰라고도 하는데
Fport 역시 명령 프롬프트에서 실행되므로 굉장한 불편함이 있습니다.

그러므로 위에 언급한 netstat를 이용한 방법이나 Fport보다 편하게
포트를 열어 버린 프로세스를 알려면 아래 글에 기술되어 있는 TCPView를 활용하시기 바랍니다.

2009/05/08 - [프로그램 리뷰] - TCPView - 해킹 여부 확인 ( 인터넷 연결 상태 확인하기 )

이렇게 해서 프로세스를 알게 되었을 때,
그것이 프로세스 명칭이나 또 그 프로세스가 속하는 폴더로 볼 때
그리고 해당 파일의 등록 정보로 볼 때
안심해도 될 것이라면 다행이지만
그렇지 못한 경우라면,
또한 나로서는 도저히 판단이 안 서는 프로세스라면 어떻해야 할까요?

그런 경우라면 아래 예전 제 글에 기술된 바이러스 토탈을 이용해
해당 프로세스 파일의 악성 여부를 판단해 보시기 바랍니다.

2009/02/05 - [유용한 팁들] - 바이러스 검사 - Virus Total / VirScan

판단을 해봤더니 악성임에도 현재 내가 사용 중인 백신이 잡지를 못하는 경우라면
우선은 사용 중인 백신 회사로 바이러스 신고를 하여서
엔진을 업데이트받아 해결하는 것이 한 방법입니다.

또 다른 방법은 우선 해당 프로세스 파일을 삭제하는 것인데,
삭제의 경우
우선 작업 관리자에서 해당 프로세스를 죽인 후 파일을 삭제하는 것입니다.
만약 이렇게 해서 삭제 불가시는 안전 모드에서 삭제하면 대부분 삭제가 되리라고 보입니다.

만약 그래도 삭제가 안 되는 경우는 제 글 목록 카테고리를 보시면
프로그램 리뷰 하위로 파일 강제 삭제 도구들이란 카테고리가 보이실 터인데요 .
그 카테고리에 현재 사용 가능한 거의 모든 파일 강제 삭제 도구들을 리뷰해 놓았으니 참조바랍니다.

한 가지 의문이 드실 수 있겠는데요.....

프로세스의 경로를 어떻게 알아낼 것인가?
우선은 시작>검색>파일 또는 폴더에서 파일 찾기가 가능하죠?

그 보다는 쉽게 찾기를 원하신다면

https://learn.microsoft.com/ko-kr/sysinternals/downloads/process-explorer

위 링크를 방문합니다.

위 링크에서 맨 아래 보이는
Run Process Explorer now from Live.Sysinternals.com
를 클릭해 프로세스 익스플로러를 실행 후 

뜨는 창에서 보면 해당 프로세스가 보이실겁니다 .
그 걸 더블 클릭하시면 경로를 볼 수 있는 해당 프로세스 정보 창이 뜬답니다.

      참고


윈도우 방화벽의 경우는 아웃 바운드 감시를 못합니다.
아웃 바운드 감시란 어떤 프로세스가 인터넷으로 접속하려 할 경우
그것을 허용할지 차단할지를 사용자가 정하여 줄 수도 있는 기능을 말합니다.

이 기능이 있다면 어떤 프로세스가, 그 것이 악성 프로세스일지라도
포트를 열려 한다면 사용자의 허가를 받아야 하므로
위에 기술한 열린 포트 검사같은 수고는 덜해도 될 수도 있습니다.

이러한 아웃바운드 감시 기능은
안철수연구소V3 365등 상용 유료 보안 제품 ,
그리고 Symantec 노턴 인터넷 시큐러티 등의 통합 유료 보안 제품에 포함되어 있습니다 .

그런데 이런 제품들의 경우에도
어떤 프로세스에 붙어서 라이브러리 수준에서 인터넷에 접속하는 경우는 
잡아내지 못할 수도 있습니다.

라이브러리 수준까지 감시를 하려면 Hips 기능이 지원되는
Comodo Firewall 같은 제품을 사용해야 합니다.


  고 2


오늘 기술한 기본적 보안 취약점 검사는 상당히 유용한 것이지만,
그렇다고 해서 이것이 백신의 검사 기능을 대체할 수는 없음도 밝혀 둡니다.

여기까지입니다 ^ ^*

반응형

댓글