PC 켜면 하드디스크 파괴…꼭 안전모드로 부팅해야

3ㆍ3 분산서비스거부(DDoS) 공격에 이용된 좀비PC가 PC를 켜는 동시에 하드디스크를 파괴하도록 명령받음에 따라 PC 이용자들은 안전모드로 PC를 부팅하고 전용백신으로 치료받아야 하드디스크 파괴를 피할 수 있다는 지적이다.

방송통신위원회는 6일 좀비PC에 명령을 보내는 명령제어(C&C) 서버에 PC를 부팅하는 즉시 하드디스크를 파괴하고, 전용백신을 다운받지 못하도록 방해하는 명령이 추가된 것으로 분석됐다고 밝혔다.

C&C 서버로부터 명령을 받고 일정기간이 지난 후에 동작했던 2009년 7.7 DDoS 공격 때와는 달리 이번 좀비PC는 명령을 받는 즉시 하드디스크를 파괴하도록 설정됐다. 하드디스크 파괴명령이 하달되면 먼저 A부터 Z까지 모든 드라이브를 검색해 zip, c, h, cpp, java, jsp, aspx, asp, php, rar, gho, alz, pst, eml, kwp, gul, hna, hwp, pdf, pptx, ppt, mdb, xlsx, xls, wri, wpx, wpd, docm, docx, doc 파일을 복구할 수 없도록 손상시킨다. 그리고 A부터 Z까지 모든 고정 드라이브를 검색해 시작부터 일정 크기만큼을 0으로 채워 하드디스크를 손상시켜 아예 컴퓨터가 작동되지 않게 한다.

방통위는 악성코드에 감염돼 하드디스크가 즉시 파괴되는 피해를 최소화하기 위해 국가사이버안전센터로부터 악성코드 유포 및 명령 사이트로 추정되는 584개 IP를 확보해 한국인터넷진흥원과 ISP를 통해 긴급 차단했다. 현재까지 차단된 IP수는 총 729개이다.

또 이번 C&C 서버 명령 중 새롭게 추가된 것은 감염된 좀비PC가 전용백신을 다운로드받지 못하도록 보호나라(www.boho.or.kr) 등 전용백신 사이트의 접속을 방해하는 기능과 하드디스크를 즉시 파괴하는 기능이다.

방통위는 우선 한국인터넷진흥원을 통해 악성코드에 감염된 좀비PC가 전용백신 사이트에 접속하지 못하게 될 경우에는 우회해서 접속할 수 있도록 조치했다.

방통위는 이제 악성코드에 감염되면 백신치료도 쉽지 않고 하드디스크가 즉시 파괴될 수 있기 때문에 PC 이용자는 우선 악성코드에 감염되지 않도록 주의해야 한다고 당부했다.

따라서 PC 이용자들은 꺼져있는 PC를 다시 켤 때, 반드시 안전모드로 부팅해 DDoS 전용백신을 다운로드받아 안전한 상태에서 PC를 사용해야 한다.

우선 네트워크 연결선(랜선)을 뽑은 후 PC를 재시작하고 F8 키를 눌러 (네트워크 가능한) 안전모드를 선택해 부팅한다. 그리고 네트워크를 다시 연결한 후 보호나라(www.bohonara.or.kr) 또는 안철수연구소(www.ahnlab.com)에 접속해 전용백신을 다운로드해 악성코드를 치료한 뒤 PC를 재부팅해야 한다.

방통위는 긴급 전용백신으로 치료가 완료됐더라도 변종 악성코드에 의한 공격으로 다시 감염될 수 있으므로 각별한 주의가 필요하다고 밝혔다. 특히 PC 사용 시 백신제품의 엔진을 최신 상태로 업데이트하고 실시간 감시 기능을 작동시켜 재차 감염되는 것을 방지해야 한다고 덧붙였다.

김지선기자 dubs45@