반나절 정도의 작업이었지만 그동안 신경쓰지 않안던 바이러스에 대해 새삼 보안에 대해 느끼게 되었다.
필자의 경우 노턴 안티바이러스 2010을 사용하고 있는데 Liveupdate 실행이 자동으로 되는지 알았다.
하지만 확인해보니 업데이트 확인만 되었고 실제로 업데이트는 되지 않고 사용자가 직접해야 되었다는 것이다.
이 제품의 경우 처음에 "Liveupdate 5분전" 이렇게 나타나고 있으나 업데이트를 직접해보면 다운로드 되는것을 확인했다.(솔찍이 정말 열받는 현상이다. 업데이트 몇분전에 실행됐다고 했는데 실제로 사용자가 실행해보면 업데이트가 다운로드 되는현상. 할말을 잃었다. 믿었던 도끼에 발등 찍힌 느낌이랄까 -.-"".)
이런한 이유등으로 인해 크롬 브라우저와 IE를 사용하면서 웜으로 인한 원격공격으로 리부팅이 되고 그 이후부턴 잦은 블루스크린으로 인한 다운과 갑작스런 리부팅이 몇시간 만에 사용을 못할 지경이 되었다.
불과 하루만에 일어난 일이라 당시의 바이러스 정보를 캡춰하지 못했다.
하지만 리부팅과 시스템종료시에 조금만 관심을 기울이면 이러한 취약점에서 벗어나 바이러스에서 조금은 안전해질 수 있는걸 알았다.
윈도우 재설치 후에는 노턴 안티바이러스 2011로 업데이트했다.(필자는 2년 사용 라이센스를 사용하고 있다.)
필수사항은 안티바이러스(V3, 노턴, avast 등 )와 윈도우 디펜더(MS 무료 제공- 웜 공격대처), Microsoft Security Essentials(MS에서 무료로 배포하는 백신(홈페이지 및 다운로드 - http://goo.gl/cN7sn ) 를 항상 최신 버젼으로 수동으로 업데이트하고 확인하고 주기적으로 검사를 해준다면 안전하게 PC를 사용할 수 있을것이다.
필자의 견해에서 보는 웜, 원격 공격의 문제의 발단은 브라우저 Cache 와 Temp 폴더의 파일들에서 시작점이 된다는 것이다.
브라우저를 통해 웜이 Cache 파일로, temp에 파일로 저장되고 브라우저가 악성코드를 다운로드하고 프로그램을 활성화하기 위해 리부팅을 하던지 리부팅 될때 악성코드, 바이러스가 활성화되 시스템에 영향을 주게 된다.
필자는 이런검에 착안해 시스템이 종료시에 브라우저 Cache파일과 Temp 폴더의 파일이 전부 삭제하도록 구성하면 어떨까 해서 방법을 찾기위해 구글링을 시작했다.
방법은 간단했는데 프로그램을 사용해 하는 방법(LogoutCleaner 홈페이지 http://goo.gl/LlY00 )과 로컬 그룹 정책 편집기를 사용하는 2가지 방법이 있었다.
LogoutCleaner 를 사용하는 방법은 홈페이지에 소개되있으니 생략하고 로컬 그룹 정책 편집기 위주로 설명한다.
필자는 로컬 그룹 정책 편집기를 사용해 윈도우7에서 종료시 임시 파일과 브라우저 캐시를 배치를 사용해 삭제하는 방법을 설명한다.
우선 자신의 시스템 파일의 경로를 알아야 한다.
임시파일(Temp 폴더)는 2가지가 있다. 윈도우즈의 시스템 임시파일과 사용자의 임시파일이다.
윈도우7은 제어판 > 모든 제어판 항목 > 시스템 > 고급 시스템 설정 에서 확인 및 변경이 가능하다.
필자는 관리의 편리상 c:\Temp 폴더를 사용자 변수의 Temp 값과 시스템 변수의 Temp 값을 동일하게 설정했다.
만일 시스템 설정 그대로 라면 사용자 Temp의 변수 값을 복사해서 탐색기 창의 주소표시줄에 입력하면 다음과 같이 나타날것이다.
사용자에 대한 환경변수 TMP, TEMP - c:\Users\사용자명\AppData\Local\Temp\
시스템 변수 TMP, TEMP - c:\windows\Temp
이번엔 IE의 임시 파일 경로를 찾는다.
IE 실행 > 메뉴 - 도구 > 인터넷 옵션 > 검색기록 -설정 > 파일보기 > 탐색기 주소창 경로 복사 해서 기록해둔다.
IE 임시인터넷 파일 경로 - C:\Users\사용자명\AppData\Local\Microsoft\Windows\Temporary Internet Files
마지막으로 크롬 브라우저의 캐시 경로를 찾는다.
크롬 브라우저 캐시 경로 - c:\Users\사용자명\AppData\Local\Google\Chrome\User Data\Default\Cache\
이제 메모장을 열어 시스템 종료시 파일 및 폴더 삭제에 사용될 batch 파일 내용을 작성한다.
내용은 다음과 같이 작성한다.
RD /S /q "c:\Users\사용자명\AppData\Local\Temp\"
RD /S /q "c:\Windows\Temp\"
RD /S /q "c:\Users\사용자명\AppData\Local\Microsoft\Windows\Temporary Internet Files\"
RD /S /q "c:\Users\사용자명\AppData\Local\Google\Chrome\User Data\Default\Cache\"
RD /S /q "c:\Temp\"
MD "c:\Users\사용자명\AppData\Local\Temp\"
MD "c:\Windows\Temp\"
MD "c:\Users\사용자명\AppData\Local\Microsoft\Windows\Temporary Internet Files\"
MD "c:\Users\사용자명\AppData\Local\Google\Chrome\User Data\Default\Cache\"
MD "c:\Temp\"
주) RD는 Remove Directory로 폴더자체를 삭제하고 MD는 Make Directory로 폴더를 생성한다.
엄밀히 임시파일을 삭제하는것이 아니라 폴더를 삭제하고 다시 생성하는 명령이다.
메모장 > 저장> 파일명은 shutdown.bat 로, 파일형식은 모든파일을 선택해 저장한다.
저장한 파일의 위치를 잘기억한다.(바탕화면에 기록해두면 좋겠죠)
저장한 파일을 다음 위치에 복사해 넣는다.
(탐색기 경로에 붙여넣기 하면된다. 아래의 이미지의 위치에 붙여 넣으면 해당경로로 바로 이동한다. )
C:\Windows\System32\GroupPolicy\Machine\Scripts\Shutdown권한이 필요하다고 물어보게되고 계속을 선택하면 복사가된다.
필자의 경험으로 위 경로외에 다른 곳에 있는 배치파일을 선택해 실행해 보았으나 실행이 되지 않았다. 위 경로에 두어야 정상적으로 배치 파일이 실행되 파일이 삭제되었다. 필자의 삽질후 경험입니다.
이제 시스템이 종료될 때 마다 실행되도록 로컬 그룹 정책 편집기 사용방법을 설명한다.
로컬 그룹 정책 편집기는 시작버튼 > 실행 > gpedit.msc를 입력해 실행한다.
아래 화면과 같이 선택한다. 스크립트 (시작/종료)를 선택하고 > 시스템 종료를 더블클릭한다.
추가 버튼 > 찾아보기로 shutdown.bat를 선택하고 열기 > 확인 > 확인 버튼으로 열린 창을 닫고 로컬 그룹 정책 편집기를 종료한다.
이제 임시적으로 생성된 사용자 파일들을 삭제하는 방법이 끝났다.
이제 리부팅하면 실행되는지 확인만 하면된다.
필자의 욕심같아서는 c:\Windows\Downloaded Program Files\ (ActiveX설치되는 곳)경로의 파일도 삭제하고 싶었으나 IE를 자주 사용하는 사용자들에게는 리부팅후 접속 할때마다 물어보게 되서 번거로움이 있을것같아 넣치는 않았다.
그외의 사용자별로 임시파일이나 특정 경로의 파일을 삭제하고 싶을때에는 위 스크립트에 del 명령을 추가해 종료시마다 삭제하도록 수정해서 복사해 넣으면 된다.(메모장을 관리자 권한으로 실행하면 바로 수정이 가능하다. )
조금의 주의가 나중에 큰 재난에 대비할 수 있는 최선의 방법일수 있습니다. 미리 예방적 차원에서 대비를 한다면 필자와 같은 웜이나 바이러스, 백도어를 통한 해킹등에 대응하는대 향상된 대응수단이 될 수 있을 것이다.
필자가 직접 LogoutCleaner 를 사용해보니 배치파일을 사용하는것보다 쉽고, 다양한 기능을 제공하더군요.
다음엔 LogoutCleaner에 대해 블로깅할 예정입니다. 여러분도 사용해보시면 만족할만한 프로그램일겁니다.
댓글 없음:
댓글 쓰기