안녕하세요. 말하는 섬 서버지기 루멘리시오입니다.

오늘은 자유게시판을 통해 이야기 나오고 있는 원격제어 해킹에 대해 알아보고자 합니다.

사실 이전에도 몇번 서버 자유게시판을 통해 이야기가 나왔었는데요.

이번달에는 유난히 피해자가 많이 발생하고 있는거 같아 리니지2 게임과는 관련이 없지만 대비책에 대해서 글을 작성해 봅니다.

원격제어 해킹에 대한 유저의 글들

글을 시작하기 전에…

참고로 저도 컴퓨터를 오래 만져본 일반 유저지 보안 관련 전문가가 아니기에 본문에 틀린 부분이 있을 수 있습니다. 혹시 이상한 부분을 댓글로 알려주시면 확인 후 수정하도록 하겠습니다.

※ 본 기사에 연결되어 있는 링크들은 백신 AVG Internet Security 2015, V3 Lite, Microsoft Security Essentials을 이용해 아무런 문제가 없음을 확인 후 연결했음을 미리 알려드립니다.

원격제어 해킹?

원격제어 해킹은 게임 외에 다른 부분에도 피해를 입히는 해킹 방식으로, pc 사용자에게 특정 홈페이지로 접속 유도 혹은 메일 전송 등 다양한 방법을 통해 사용자 pc에 원격제어 프로그램 몰래 설치 이후 사용자가 pc를 사용하지 않는 시간때 혹은 잠시 자리를 비울때를 감지하여 사용자의 pc에서 원하는 정보 혹은 파일들을 훔쳐가는 방식입니다.

예전에는 원격제어 해킹이 악성코드 혹은 바이러스만을 이용해 이루어지고 있는데, 최근에는 백신 프로그램을 회피하기 위해 많이 알려진 원격제어 프로그램 팀뷰어, VNC, RDP등을 통해 해킹이 이루어지고 있는 상황입니다.

그리고 가장 큰 문제는 원격제어로 해킹하기 때문에 당하는 사람은 피해 보상을 받기 어렵다는 점입니다.

( 실제 사용자의 의지로 인지 원격제어 해커 때문에 문제가 되는 일을 했는지 판단할 수 없기 때문에라고 합니다. )

※ 참고 동영상 – 팀뷰어를 통한 해킹 시연 동영상

※ 참고 글 – 팀뷰어를 통한 금융 해킹 관련 사건 기사

※ 참고 글 – 원격제어 해킹 관련 블로거 글

※ 참고 글 – 원격제어 해킹 관련 인벤(inven) 유저 글

---

리니지2 원격제어 해킹은 어떻게 이루어진 것인가?

사실 이부분 때문에 많은 고민을 했었습니다.

실제 발생할 수 있는 문제이고 피해 입으신 분들의 글들은 올라오고 있는데, 해커가 원격제어를 위해 악성코드 설치를 유도하는 홈페이지 링크 주소가 없어 어떻게 감염된 것인지 알수가 없기 때문에 기사를 어떻게 써야 할지 난감했거든요.

그러다 이미지 게시판에 아직 이상한 링크가 남아있다는 글을 보고 확인해 보았습니다.

댓글을 보니 많이 수상하다고 판단되어 그림을 눌러 봤더니…

이상한 사이트로 이동되면서 진짜 바이러스가 감지되네요!?

그래서 실제로 어떤 바이러스가 걸리는지 가상 윈도우를 이용해 확인해 보았습니다.

백신이 작동되지 않는 가상 윈도우를 이용해 확인해보니 해당 홈페이지에는 익스플로러 취약점을 노려서 만든 스크립트를 통해 악성코드를 만들 수 있는 걸 확인 할 수 있었습니다.

( 스마트폰에는 문제가 발생하지 않습니다. 파일이 만들어지더라도 exe 파일이 실행되지 않아서… )

그래서 정확히 어떤 파일이 만들어 지는지 알기 위해 작업 관리자를 실행시켜 확인해보니…

eyockis.exe 라는 프로그램이 쥐도 새도 모르게 설치되어 실행되고 있는 것을 확인했고,

해당 파일의 연결을 확인해보니 175.45.211.231라는 IP로 홍콩으로 연결되어 있는 것을 확인 할 수 있었습니다.

 

eyockis.exe 파일 연결 주소

 

해당 IP주소로 조회 결과

어쨌든 해당 파일이 어디로 연결되는지까지는 확인 했지만, 무슨 용도로 심어진 것인지는 알수가 없어서 추가적으로 계속 분석해 보았습니다만…

netsyst8.62.dll 파일로 생성되는 ‘TROJ_NETSKY.A’ 타입의 악성코드라는 것까지만 알 수 있었습니다.

해당 파일은 악성코드가 메모리에 계속 상주되어 있게 만들기 위한 파일일 뿐이고 실제 같이 만들어지는 핵심 파일인 ‘eyockis.exe’은 지금까지 알려지진 않은 파일이라 도저히 어떤 행동을 하는지 알수가 없었습니다.

( 파일 내부 기능까지 분석할 정도의 실력은 안되서요. )

그래서 할 수 없이 분석을 시작했던 토요일(07/11)부터 글을 올리는 지금까지 일부로 악성 코드에 감염된 가상 윈도우를 켜놓은 상태로 지켜본 결과 일요일(07/12) 오후에 이유 없이 가상 윈도우가 종료되었다는 것입니다.

사실 정확하게 원격제어로 종료되었는지 가상 윈도우상 문제로 종료되었는지를 확인 할 수 없었지만, 현재 리니지2 게시판의 글을 종합해서 보았을때 이것은 크게 PC 원격제어 혹은 팀뷰어의 ID를 제공해주는 역활을 하지 않을까 싶습니다.

 

---

원격제어 해킹 대비 방법?

그럼 이 무서운 해킹은 어떻게 대처를 해야할까요?

1. 팀뷰어(TeamViewer) 삭제

일단 가장 알려진 해킹 방법은 팀뷰어를 통한 해킹 방법이므로 가장 먼자 해야되는 방법이지 않을까 싶습니다.

자신이 팀뷰어를 사용하지 않는데도 설치되어 있다면 바로 삭제하시는게 좋습니다.

만약 사용 중이시라면 옵션에서 개인 비밀번호 지정 및 수준을 안전 이상으로 올리시고 사용하는걸 추천드립니다.

※ 팀뷰어 외에도 VNC라고 불리는 종류의 원격제어 프로그램들이 있습니다.

  사용하지 않음에도 해당 리스트에 프로그램이 설치되어 있으면 바로 삭제하는 것을 추천드립니다.

  TigerVNC, UltraVNC, TightVNC, RealVNC, PoketVNC, GoverlanVNC

※ 프로그램 목록 확인 및 삭제 방법

  시작 → 제어판 → 프로그램 및 기능 → 설치되어 있는 프로그램 확인

 

2. 보안 업데이트

지금처럼 웹브라우저 취약점을 이용한 방법은 웹브라우저를 최신으로 업데이트하면 자동으로 해결되는데요.

(익스플로러 7에서는 생기는데 익스플로러 11을 설치 후 접속하면 해당 악성코드가 안생깁니다.)

문제는 이게 웹브라우저(윈도우 익스플로러) 외에도 windows os, Java, Adobe flash 등을 통해 감염될 수 있기 때문에 인터넷에 관련된 모든 프로그램은 최신으로 업데이트를 하는 것이 좋습니다.

※ 윈도우(windows), 인터넷 익스플로러 업데이트 방법 : http://tiplus.tistory.com/675

※ 자바(java) 업데이트 방법 : http://blog.naver.com/tvis/120178507059

※ 플래쉬(flash) 업데이트 방법 : http://rdsong.com/1285

3. 백신 & 인터넷 방화벽 사용

현재 여러 종류에 백신이 있습니다만 지금처럼 인터넷의 취약점을 이용한 것까지 방어하기 위해서는 인터넷 방화벽 혹은 인터넷 보안 기능이 있는 백신을 사용해야 됩니다.

일단 해당 악성코드를 대상으로 무료 백신 중 많이 사용하는 알약, V3 Lite, MSE(윈도우 자체 방화벽 포함)를 갖고 시험을 해보았는데요.

알약과 MSE는 문제의 싸이트를 접속시 감지는 물론 설치되어 있는 해당 악성 코드를 잡아내지는 못하더군요.

그에 반면 웹 보안 기능이 있는 V3 Lite는 싸이트 접속 시 감지는 물론 설치되어 있는 악성 코드까지 잘 잡아냈습니다.

조금 개인적인 견해입니다만 가급적이면 V3 Lite 사용을 추천드리며, 우수한 백신을 사용하면 보안 업데이트가 안되어도 어느정도 커버되는 경우가 있어 무료도 좋지만 유료 백신 사용을 추천합니다.

※ V3 Lite : http://www.ahnlab.com/kr/site/product/productView.do?prodSeq=8

※ 1년 프로모션 중인 유료 백신 바이로봇3 : http://www.hauri.co.kr/download/trial.html

4. 윈도우 원격제어 기능 해제

윈도우 자체에도 원격제어 기능이 있습니다.

그래서 가급적 원격제어 기능을 사용하지 않는다면 해당 기능을 꺼두는게 좋습니다.

시작 → 실행(윈도우키+R) 후 sysdm.cpl 입력 후 확인

원격 지원 기능을 끈 이후 확인

---

기타 – 원격제어 해킹을 당했을 때 해야할 조치

많은 원격 제어 프로그램들은 접속시 로그(log)라고 불리는 파일에 접속 기록이 남습니다.

악성코드 자체를 통한 원격제어로 해킹을 당했으면 확인할 방법이 없습니다만, 원격제어 프로그램으로 해킹을 당했다고 생각되는 경우에는 로그 파일을 확보하는게 좋습니다.

팀뷰어 로그 파일

– 경로 : C:\Program Files\TeamViewer

– 파일 이름 : TeamViewer10_Logfile.log

 

크레이지 리모트 로그 파일

– 경로 : C:\Program Files (x86)\CrazyRemote

– 파일 이름 : crazyremote.log, helper_1.log, remote.log, tray.log

윈도우 자체 원격제어 로그

– 분석 방법 : 이벤트 뷰어 → windows 로그 → 보안 → 내용 확인

 

VNC 계열 로그

– 경로 : 로그가 설치되어 있는 장소 log

– vnc는 환경설정에서 설정하지 않으면 로그를 자동 생성하지 않기 때문에 윈도우 이벤트 뷰어를 참고하는게 좋습니다.

사실 글에 표기되어 있는 싸이트를 통해 감염되는 악성 코드를 통해 해킹이 이루어지는지는 정확하게 알수가 없었지만, 어쨌든 보안은 중요하기 때문에 관리하는 방법을 끝까지 기록 해보았습니다.

사실 가장 좋은 방법은 의심스러운 싸이트/링크는 접속하지 않는게 핵심이다만 실수할때도 대비해 지금까지 신경쓰지 않으셨다면 이번을 기회로 보안에 조금 신경써 보시는것도 좋지 않을까 싶습니다.

이것으로 이번 기사를 끝맞쳐 보겠습니다.

이상 말섬 서버지기 루멘리시오였습니다.
도움이 되셨다면 추천~ 버튼 꾸욱~ 부탁드립니다.
그럼 다음 시간까지~ 다들 즐거운 리니지2 하세요. byebye~~~

---

기제 되었으면 하는 소재나 이야기가 있으신 분은 “루멘리시오”로 게임 상 우편이나 귓속말 혹은

이메일 : syanoe@naver.com으로 제보 부탁 드립니다.