Yes, I am YOUNG.

이동식 디스크로 전파되는 Autorun 악성코드 예방하기

최근 컴퓨터를 사용하는 사람이라면 대부분 USB 메모리를 사용하고 있다. 또는 디지털카메라, MP3 플레이어, PMP, 네비게이션 등등 다양한 디지털 기기에 저장 매체가 사용되고 있다. 이런 메모리들은 손쉽게 컴퓨터 또는 디지털 기기간에 데이터를 전달하는 수단으로 널리 사용되고 있다.

이런 메모리는 컴퓨터에 연결하면 이동식 디스크로 설정이 되어 편리하게 사용할 수 있다. 이동식 디스크에 데이터를 읽고 쓰려면 “내 컴퓨터”를 이용해 이동식 디스크를 클릭해서 들어가게 된다. 이때 해당 이동식 디스크의 루트(최상위) 폴더에 autorun.inf 파일이 존재한다면 그 파일을 먼저 실행하고 디스크를 열게 된다. 이런 점을 악용하여 악성코드가 전파되고 있다.

실제 중국에서 제작되어 국내에 전파되는 게임핵(온라인 게임의 계정 정보를 외부로 유출하는 악성코드)의 경우 이런 방식을 사용하여 전파되고 있다. 이런 악성코드는 이동식 디스크가 연결되는 순간 바로 감염이 되고, 사용자가 이를 인지하기가 매우 어려워 한번 감염되면 지속적으로 감염되는 악순환이 반복되고 있다.
이를 예방하기 위해서 간단한 팁이 있다. 바로 악성코드가 생성하기 전에 미리 가짜로 autorun.inf를 생성하는 방법이다. 하지만 이미 악성코드에 의해 autorun.inf 가 생성된 경우에는 이를 제거한 후 생성해야 하므로 조금 복잡한 절차가 필요하다. 윈도우상에서 직접할 수도 있지만 윈도우의 파일 보기 설정을 변경하는 등 좀 더 복잡하므로 “명령 프롬프트”를 이용한다.

(1) USB 메모리 또는 메모리 카드를 컴퓨터에 연결한다.
(2) “내 컴퓨터”를 실행해 연결된 이동식 디스크 드라이브 문자를 확인한다.

그림 1 "내 컴퓨터"에서 이동식 디스크 드라이브 문자 확인

(3) [시작] -> [실행] -> “CMD”입력 후 [확인]으로 “명령 프롬프트” 실행

그림 2 "CMD" 입력으로 "명령 프롬프트" 실행

(4) 이동식 디스크로 이동 : (2)에서 확인한 디스크 드라이브 문자열과 “:”를 입력함


(5) 혹시 있을지 모르는 Autorun.inf 를 삭제하기 위해 파일의 속성을 제거 : “attrib –h –s –r autorun.inf” 입력


(6) 혹시 있을지 모르는 autorun.inf 파일 삭제 : “del autorun.inf” 입력


(7) Autorun.inf 폴더 생성 (파일은 쉽게 삭제될 우려가 있으므로 폴더를 생성함) : “md autorun.inf”


(8) 삭제 방지를 위해 속성 부여 (숨김, 시스템, 읽기 전용) : “attrib +h +s +r autorun.inf” 입력

위 (1) ~ (8)까지 단계를 수행하면 다음과 같다.

그림 3 autorun.inf 폴더 생성 명령어 모음

가짜로 autorun.inf 폴더가 나의 이동식 디스크에 생성 되었다. 이렇게 하면 autorun 악성코드의 감염을 어느 정도 예방할 수 있다. 하지만 평소 보안 패치를 충실히 수행해 악성코드가 나의 컴퓨터로 감염되는 것을 사전에 예방하는 것이 가장 중요하다. 보안 패치를 하지 않는 것은 문을 잠그지 않고 외출하는 것과 같은 것이기 때문이다.@

| 악성코드 분석가 박시준

	안철수연구소에서 악성코드 분석 업무를 담당하고 있으며 “안랩 칼럼니스트”로 활동하고 있다. 다양한 분야에 대한 스키마를 쌓는 것을 좋아하며, 세상을 함께 살아가는 구성원으로서 다른 누군가에게 조금이라도 도움이 되었으면 하는 마음 가짐으로 오늘도 열심히 하루를 살아가려고 노력하고 있다.

보안정보의 저작권은 저자 및 ㈜안철수연구소에 있으므로 무단 도용 및 배포를 금합니다.