인터넷이 느려졌어요! 악성코드에 감염되었다면 인터넷도 느려집니다. 다른 컴퓨터로 악성코드를 퍼뜨리기 위해서 인터넷 자원을 사용하기 때문입니다.
악성코드에 감염되어 인터넷이 느려졌는지를 확인하려면, 내 컴퓨터의 네트워크 연결 상황을 확인해 봐야 합니다.
네트워크 연결을 확인하는 방법은 차근차근 살펴본다면 그리 어렵지 않습니다.
[시작]-[(모든) 프로그램]-[보조 프로그램]-[명령 프롬프트]를 눌러 도스 창을 띄웁니다.
도스 창에다
"netstat -na"라고 입력합니다. (분량이 많을 경우
"netstat -na | more"라고 입력합니다.)
[정상적인 네트워크 연결 상태]
 |
 |
인터넷이 느려졌다면?
악성코드에 감염되어 있터넷이 느려졌는지를 확인해 보세요. 내 컴퓨터의 네트워크 연결 상황을 확인하면 알 수 있습니다.
[시작]-[(모든) 프로그램]-[보조 프로그램]-[명령 프롬프트]에서 netstat -na를 입력하면 확인할 수 있습니다. |
 |
 | |
|
 |
TCP / UDP가 뭐죠? 자~ 이제
netstat -na를 입력한 것만으로도 우리는 보안전문가나 다름없습니다.
이 명령어의 출력결과가 무엇인지 알아보도록 합시다.
일단
"Proto"라고 표기된 부분은
프로토콜(Protocol; 규약)을 의미합니다.
간단히 설명해서 네트워크 상의 PC 들이 서로 통신하는 전송규약을 말합니다.
더 쉽게 설명하면,
"내가 이렇게 보내면 이렇게 알아들어라~" 하고 미리 정의하는 약속을 말합니다.
어렸을 적에 친구들과 암호나 은어를 정해서 사용하던 기억이 있을 것입니다.
이러한 규약을 사용하면 남들이 우리가 무슨 이야기 하는지 알기도 힘들고, 우리는 많은 이야기 할 필요도 없이 몇가지 단어들로 많은 이야기를 나눌수 도 있을 것입니다.
물론 서로 알아듣기 위해서는 미리 정의를 해두어야 겠지요.
TCP라는 규약은 말할 때, 그 사람을 콕 찍어서 말하는 것입니다.
"철수야!"라고 먼저 그 이름을 부릅니다.
철수가 "왜?" 라고 대답하면 "내 말 좀 들어봐~" 하고 말을 시작하는 방식입니다.
UDP라는 방식은 그 사람 이름을 부르지 않고 그냥 이야기 해 버리는 방식입니다.
"철수야 놀자~"라고 그냥 철수쪽에다 대고 이야기 하는 것입니다.
이 방식은 확실성은 없습니다. 철수가 주목한 상태에서 이야기 하는 것이 아니므로 철수가 못 들을 수도 있습니다.
악성코드는 TCP방식을 사용합니다. 보다 확실한 전파를 이용한다고 할까요?
악성코드는 TCP방식으로 다음과 같이 이야기를 시작합니다. "철수야? 영희야? ..."등등의 이름을 쭈욱 불러댑니다.
그중에서 누군가가 "왜?"라고 대답한다면 그 사람에게 악성코드를 퍼뜨리게 됩니다.
때문에 이 TCP 부분만 주의깊게 보면 됩니다.
Local Address / Foreign Address는 뭐죠? 다음 줄인
Local Address 부분입니다. 이것은 내 컴퓨터를 말합니다.
일반적으로 자신의 "IP주소:포트번호"로 나타납니다.
그 다음 줄은 Foreign Address 입니다. 내 컴퓨터와 연결된 다른 컴퓨터입니다.
State는 뭐죠? State를 보면 내 컴퓨터와 연결된 컴퓨터가 어떠한 상태인지를 알 수있습니다.
- LISTENING : 귀를 기울인다는 뜻입니다. 내 귀(포트)를 열어놓고 통신에 귀기울이고 있는 상태를 말합니다.
- SYN Sent : 이것은 "철수야~"하고 누군가를 부르고 난 후 그 대답을 기다리는 상태를 말합니다. (일반적으로 악성코드에 감염되었을 때, SYN Sent 상태가 많습니다.)
- ESTABLISHED : 상대방으로 부터 "왜?"란 답을 듣고 통신이 맺어진 상태를 말합니다.
- Time Wait : 중간에 말을 쉬거나, 말을 다 듣고 통신을 끝내기 위해 잠시 기다리는 상태를 말합니다. |
자~ 지금까지
"netstat -na"를 입력한 결과 화면에서 각각이 무엇을 뜻하는지를 알아봤습니다.
이제 이러한 결과 값이 어떤 상태일 때 악성코드 감염을 의심해야 하는지를
다음 편에서 알아보겠습니다.
네트워크 연결 상태가 어떤 형태일 때에 문제가 있는 건가요? 앞 편에서 악성코드에 감염되어 인터넷이 느려졌는지를 확인하기 위해 내 컴퓨터의 네트워크 연결 상황을 확인하는 방법을 설명해 드렸습니다.
그럼 네트워크 연결 상황이 어떤 모습이 때에 악성코드 감염을 의심해야 하는지 궁금하실 것입니다.
앞에서 설명드린 바와 같이, 악성코드는 TCP 방식으로 "철수야? 영희야? ..."등등의 이름을 쭈욱 불러댑니다.
[악성코드에 감염되었을 때의 연결 상태]위와 같은 형태가 악성코드에 감염되었을 때에 보여지는 가장 기본적인 형태입니다.
특징을 뽑자면 다음과 같습니다. 여기서 나오는
"포트"라는 말은 통신이 이루어지는 통로라고 생각하시면 됩니다.
1. TCP 포트의 연결이 많다. (여러 사람을 동시에 부른다는 의미입니다.)
2. Local Address의 포트가 순차적으로 보인다. (내 컴퓨터의 포트가 많이 열려 있기 때문입니다.)
3. Foreign Address의 IP주소가 순차적으로 보인다. (여러 사람을 주욱 나열한다는 의미입니다.)
4. Foreign Address의 포트번호는 대부분 135, 139, 445, 6667 포트 등으로 일정하다.
(악성코드의 일반적인 특징입니다.) |
위의 그림을 보고 현재 이 컴퓨터의 상황을 설명하자면, 어떤 프로그램이 내 컴퓨터의 모든 수 많은 통로를 열어 다른 임의의 사용자의 135번 포트로 신호를 보내고 그 신호에 대한 대답을 기다리고 있는 상황입니다.
쉽게 말하면,
내 컴퓨터는 이미 악성코드에 감염이 되어 있고, 이 악성코드가 내 컴퓨터를 이용해서 다른 컴퓨터에 마구 접속하고 있는 상황입니다.
이 정도면 인터넷 속도는 매우 느려지게 됩니다.
여기에서 중요한 개념이 있습니다.
"방향이 어느 쪽인가?" 하는 것입니다.
쉽게 말해, 이렇게 네트워크 연결이 많은 경우
외부에서 내 컴퓨터로 마구 접속을 시도하는 것인지, 내 컴퓨터에서 외부로 접속을 시도하고 있는 것인지에 대한 문제입니다.
이 부분은 오히려 간단합니다.
"포트가 다양한 쪽에서 포트가 일정한 쪽으로"가 화살표의 방향입니다.
위의 그림에서 보면 내 컴퓨터의 포트는 다양하고 연결된 외부 컴퓨터들의 포트는 일정합니다.
이것은 데이터가
내부 →외부로 나가는 것이고, 외부로 무언가를 퍼뜨리고 있다는 것을 의미합니다.
그럼 "외부 →내부" 일 때에는 악성코드에 감염된 것이 아닌가요? 그럼 아래와 같은 경우에는 어떻게 될까요?
자, 위에서 정리한 악성코드 감염시의 특징과 비교해 보겠습니다.
1. TCP 연결이 많다. →맞습니다
2. Local Address의 포트가 순차적으로 보인다. →아닙니다
3. Foreign Address의 IP주소가 순차적으로 보인다. →맞습니다
4. Foreign Address의 포트번호는 대부분 135, 139, 445, 6667 등으로 일정하다. →아닙니다 |
2번과 4번의 경우가 다릅니다. 그럼 데이터가 움직이는 방향을 살펴봅시다.
"포트가 다양한 쪽에서 포트가 일정한 쪽으로"가 화살표의 방향이므로 이것은
외부 →내부로의 수많은 접속이 이루어 지고 있는 경우입니다.
때문에 이것을 악성코드에 감염된 경우라고 보기 어렵습니다.
악성코드는 수많은 임의의 사용자에게 접속을 시도합니다.
따라서 이러한 경우는 내 컴퓨터가 일종의 서버로 사용되어 여러 사용자들이 내 컴퓨터에 접속해서 어떤 작업을 진행하는 경우 발생하는 결과입니다.
그림을 보면 내 컴퓨터에서 80번 포트가 열려있습니다. 80번 포트라는 것은 주로 인터넷을 할때 사용되는 포트입니다.
따라서 이 결과는 내 컴퓨터가 웹서버라는 것을 의미합니다.
포탈 사이트의 웹서버에서 netstat 명령어를 입력한다면 위와 같은 결과가 나오게 될것입니다.
자세히 살펴봤지만 정상인 것 같은데요? 네트워크 연결상태가 정상임에도 인터넷 속도가 느려졌다면 다른곳에서 원인을 찾아봐야 합니다.
프록시 서버 설정 때문에 인터넷이 느려질 수도 있습니다.
"
프록시 설정 검색중..." 이라는 문구가 인터넷 익스플로러 왼쪽 아래부분에 나온다면 프록시 설정도 확인해 봐야합니다.
프록시 서버라는 것은 기업체나 관공서 같은 곳에서 사용하는 설정입니다.
개인 사용자인데도 이러한 메세지가 나온다면 프록시 설정이 되어 있기 때문에 있지도 않은 프록시 서버를 찾느라 인터넷 속도가 느려지는 것입니다.
인터넷 익스플로러의
[도구]-[인터넷 옵션] 항목에서 프록시 서버 설정을 변경할 수 있습니다.
연결탭을 누르고
버튼을 누릅니다.
체크가 되어있는 것이 있다면 모두 해제합니다.
그래도 마찬가지인데요? 만약 프록시 설정과도 관련이 없는 경우라면, 인터넷 회선 제공업체로 문의하시는 게 좋습니다.
간혹 네트워크 유지보수 공사로 인해 속도가 떨어지는 경우도 있기 때문입니다. 또한, 네트워크 장애가 있다면 인터넷 회선 제공업체에서 해결을 해줄 것입니다.
자~ 지금까지
작업관리자 창과
시작프로그램, 그리고
nestat 명령을 통해 인터넷이나 시스템이 느려졌을때 악성코드로 인한 현상인지를 확인하는 방법을 알아보았습니다.
이 정도만 확인한다면, 어느 누구의 컴퓨터에서 문제가 생겼을 때라도 악성코드로 인한 현상인지 아니면 일반적인 컴퓨터의 오류인지를 알 수 있습니다.
이상증상이 악성코드로 인해 발생한 것이 분명할 때에는 바로 백신프로그램을 실행시켜 악성코드를 치료해야합니다.
또한 악성코드와 관계가 없을 때에는, A/S를 받아보거나 프로그램의 제조업체로 문의하는 것이 문제를 해결하는데 있어 가장 빠르고 현명한 방법입니다.