맬웨어 제거 시작 키트

대응 계획

게시 날짜: 2007년 7월 10일

최악의 상황에 대한 대비가 없다면 완벽한 계획이라고 할 수 없습니다. 모든 방어 수단을 갖추었음에도 불구하고 공격을 막지 못한다면 동료 직원에게 대응 방법을 교육해야 합니다. 신속한 대응 능력이 심각한 공격에 따른 피해 규모에 큰 차이를 만들어낼 수 있기 때문입니다.

대응 계획을 수립할 때에는 맬웨어 문제에 지나치게 민감한 반응을 보이는 것은 실제로 큰 피해를 입는 것만큼 업무에 지장을 줄 수도 있다는 사실을 알아야 합니다. 따라서 신속하게 대응할 수 있도록 계획을 세우되 동료 직원에 미치는 영향은 최소화해야 합니다.

이 페이지에서

문제 대응 계획 작성
오프라인 검사용 키트 준비

문제 대응 계획 작성

조직에서 갖추어야 할 가장 중요한 대비 단계는 맬웨어로 인한 문제 발생이 의심되는 경우에 취해야 할 조치를 설명하는 문제 대응 계획을 작성하는 것입니다. 이러한 계획은 맬웨어로 인한 문제 발생 시 취할 최선의 조치를 모든 관련 직원에게 알리도록 작성해야 합니다. 또한 공격에 따른 피해를 최소화하고 직원에게 문서화된 문제 대응 프로세스를 전달할 수 있도록 하는 데 초점을 맞추어야 합니다. 예를 들어 계획을 잘 작성해 두면 다음과 같은 일반적인 문제에 대한 일련의 해결 과정을 관리할 수 있습니다.

1. 컴퓨터 화면에서 이상한 현상을 목격한 직원이 사내 지원 리소스에 도움을 요청합니다.

2. 지원 리소스가 컴퓨터를 확인하고 지원 번호로 연락합니다.

3. 기술 지원 엔지니어가 간단한 진단 테스트를 실시한 후 문제의 심각성에 따라 시스템을 치료하거나 시스템을 다시 구축합니다.

전체 대응 프로세스에는 몇 시간이 걸릴 수 있으므로 계획을 수립하여 이러한 프로세스를 완료하기 전에 맬웨어가 확산될 위험성을 최소화하는 것이 중요합니다. 예를 들어 컴퓨터에서 바이러스 백신 소프트웨어를 실행한 다음 기술 지원 엔지니어가 도착할 때까지 감염이 의심되는 컴퓨터에서 네트워크 케이블을 분리해 두도록 지원 리소스를 교육해 두면 이러한 초기 대응을 통해 다른 컴퓨터가 감염될 가능성을 차단할 수 있습니다.

문제 대응 계획을 수립할 때에는 두 가지 시나리오를 고려해야 합니다.

• 개별 감염. 가장 자주 발생하는 시나리오로, 맬웨어가 단일 컴퓨터를 감염시키는 경우입니다.

• 대규모 감염. 다행히도 이러한 시나리오는 자주 발생하지 않습니다. 대규모 감염은 조직의 업무 기능에 큰 차질을 초래할 수 있습니다. 이러한 문제는 대개 여러 직원이 비슷한 증상의 개별 감염 사례를 보고하기 전에는 잘 드러나지 않습니다.

대규모 감염에 대한 대응 프로세스는 개별 감염에 대한 대응 프로세스를 확대하면 되므로 문제 대응 계획은 이러한 두 가지 시나리오에 모두 적용될 수 있습니다. 일반적으로 대규모 감염에 대처하려면 조직의 네트워크를 일시적으로 격리하여 공격이 더 이상 확산되지 않도록 하고 지원 담당자가 감염된 시스템을 치료할 시간을 주어야 합니다. 경우에 따라 조직의 컴퓨터를 네트워크에 다시 연결하기 전에 네트워크 관리자나 그러한 역할을 수행하는 사람에게 방화벽 또는 라우터 설정을 변경하도록 요청해야 할 수도 있습니다. 예를 들어 맬웨어가 특정 네트워크 포트를 사용하여 컴퓨터를 감염시키는 경우에는 방화벽에서 해당 포트를 차단함으로써 다른 네트워크 통신은 계속 허용하면서 컴퓨터가 다시 감염되지 않도록 할 수 있습니다.

중요:

키트를 사용하여 컴퓨터를 치료한 후에도 맬웨어가 제거되지 않으면 컴퓨터의 전원을 끄고 5~10일 동안 또는 바이러스 백신 공급자가 바이러스 서명 업데이트를 제공할 때까지 사용하지 않는 것이 좋습니다. 그런 다음 키트를 사용하여 최신 서명 파일을 다운로드하고 컴퓨터를 다시 검사하면 문제를 보다 효과적으로 해결할 수 있습니다.

문제 대응 계획을 구성하고 개발하는 방법에 대한 자세한 내용은 다음 리소스를 참조하십시오.

• 심층적인 바이러스 백신 방어 가이드

• Microsoft TechNet의 IT 보안 문제 대응

• Windows 2000 Server 보안 가이드의 3장, "보안 위험 관리 원칙 이해"

• MOF(Microsoft Operations Framework)서비스 관리 기능 문제 관리

• Microsoft Press의 Windows Security Resource Kit, Second Edition

페이지 위쪽

오프라인 검사용 키트 준비

이 섹션에서는 Windows PE(Windows 사전 설치 환경) 키트를 준비하는 데 사용할 수 있는 권장 사항, 지원 사양, 간단한 작업 목록 및 지침을 제공합니다. 이 키트를 여러 도구와 함께 사용하여 조직 내 컴퓨터에 대해 오프라인 맬웨어 검사를 실시할 수 있습니다.

Windows PE는 Windows 운영 체제를 위한 강력한 준비 및 설치 도구를 제공합니다. Windows PE를 사용하면 이동식 디스크에서 Windows를 시작할 수 있으므로 클라이언트 컴퓨터의 Windows 문제를 해결할 여러 리소스를 활용할 수 있습니다. Windows PE에 대한 자세한 내용을 보려면 Windows 사전 설치 환경 기술 개요를 다운로드하십시오.

지원되지 않는 도구 및 기술

Windows PE에서는 다음 도구와 기술이 지원되지 않습니다.

• Internet Explorer® 7

• Microsoft Windows Installer(.msi 파일)를 사용하는 응용 프로그램

필수 구성 요소

Windows PE 키트를 준비하려면 다음 운영 체제와 기능이 필요합니다.

• Windows Vista® 또는 Windows XP® 서비스 팩 2(SP2)

• CD-ROM 기록을 위한 DVD 버너와 소프트웨어

• Windows PE .img 파일을 다운로드하기 위한 992MB의 컴퓨터 하드 디스크 공간

  참고:

  키트의 기본 스크립트를 사용하는 경우 C 드라이브에 부팅 이미지를 저장할 800MB의 추가 공간이 필요합니다.

• Windows Installer 실행을 위한 Microsoft .NET Framework 버전 2.0 및 MSXML

다음 리소스를 사용하면 이러한 요구 사항을 충족할 수 있습니다.

• Microsoft .NET Framework Version 2.0 재배포 가능 패키지(x86)

• MSXML(Microsoft Core XML Services) 6.0

32비트 및 64비트 시스템 요구 사항에 대한 자세한 내용은 다음을 참조하십시오.

• Windows 사전 설치 환경 개요

작업 개요

오프라인 검사를 실시하도록 맬웨어 제거 시작 키트를 준비하려면 다음 작업을 수행합니다.

• 작업 1: Windows AIK(자동 설치 키트) 설치

• 작업 2: 맬웨어 검사 도구 및 유틸리티 다운로드

• 작업 3: 맬웨어 제거 시작 키트 CD-ROM 만들기

• 작업 4: 맬웨어 제거 시작 키트를 사용하여 컴퓨터 검사

작업 1: Windows AIK(자동 설치 키트) 설치

이 프로세스에서 수행할 첫 번째 작업은 Windows AIK(자동 설치 키트)를 구하는 것입니다. 이 키트에는 Windows PE 및 컴퓨터에 설치할 기타 파일이 들어 있습니다. 기본적으로 이 키트는 선택한 시스템 드라이브에 이미지 파일(*.img)로 설치됩니다.

참고:

AIK는 Windows Vista와 Windows XP SP2를 지원합니다.

컴퓨터에 AIK를 설치하려면

1. Microsoft 다운로드 센터의 Windows AIK(Automated Installation Kit) 페이지에서 AIK를 다운로드합니다.

   참고:

   AIK의 .img 파일 크기는 992MB입니다. 따라서 Microsoft 다운로드 센터 연결 속도에 따라 파일을 다운로드하는 데 다소 시간이 걸릴 수 있습니다.

2. AIK .img 파일을 DVD로 굽습니다.

   참고:

   DVD 굽기 소프트웨어에서 ".img" 파일을 인식하지 못하면 다운로드 파일에 대한 다른 이름으로 저장 대화 상자에서 파일 형식 드롭다운 목록을 확장하고 파일 형식을 모든 파일로 변경하고 파일 확장명을 .img에서 .iso로 변경한 다음 다시 DVD로 구워 봅니다.

3. 만든 AIK DVD에서 StartCD.exe를 두 번 클릭하여 컴퓨터에 AIK를 설치합니다.

작업 2: 맬웨어 검사 도구 및 유틸리티 다운로드

컴퓨터에서 맬웨어를 검사하는 데 Windows PE와 함께 사용할 도구를 지정해야 합니다. Windows PE에서는 .msi 패키지를 사용하여 컴퓨터에 설치되는 도구가 지원되지 않습니다. 또한 컴퓨터의 RAM(Random Access Memory) 용량에 따라 사용할 수 있는 검사 도구가 제한될 수도 있습니다.

Windows PE 환경에서 설치하지 않고 프로그램 파일로 실행할 수 있는 다양한 맬웨어 방지 도구가 무료로 제공되고 있습니다. 이러한 도구는 USB 장치에서도 실행할 수 있습니다.

사용할 맬웨어 검사 도구를 컴퓨터의 임시 위치에 다운로드합니다.

중요:

일부 맬웨어 방지 도구의 경우 실행하는 데 네트워크 액세스가 필요합니다. 따라서 이 가이드에 따라 맬웨어 제거 시작 키트 CD-ROM을 만들 때에는 오프라인으로 사용할 수 있는 맬웨어 방지 도구만 사용하십시오. 사용할 모든 오프라인 검사 도구의 설치 지침을 자세히 읽어보는 것이 좋습니다. 일부 도구는 Windows 운영 체제와 호환되지 않을 수 있습니다.

이 가이드가 작성될 당시, 512MB 이상의 RAM이 설치되어 있고 Windows XP SP2 또는 Windows Vista를 실행하는 컴퓨터에서 Windows PE와 함께 실행할 수 있는 도구는 다음과 같습니다.

• Alwil Software의 avast! Virus Cleaner. 이 도구는 오프라인으로 사용할 수 있으며, 다운로드 날짜를 기준으로 최신 서명 파일이 제공됩니다.

• McAfee의 독립 실행형 바이러스 검사 프로그램 McAfee AVERT Stinger. 이 도구는 오프라인으로 사용할 수 있으며, 다운로드 날짜를 기준으로 최신 서명 파일이 제공됩니다.

• Microsoft에서 제공하는 악성 소프트웨어 제거 도구. 이 도구는 오프라인으로 사용할 수 있으며, 다운로드 날짜를 기준으로 최신 서명 파일이 제공됩니다.

• Spybot Search and Destroy의 Spybot - Search & Destroy.

  참고:

  이 도구를 사용하려면 먼저 검사할 컴퓨터에 도구를 설치한 다음 Spybot에서 최신 서명 파일 검사 업데이트를 다운로드해야 합니다. 도구를 설치하면 설치 시 사용자가 다른 경로를 지정하지 않는 한 기본적으로 X:\Program Files\Spybot – Search & Destroy\spybotsd에서 시작됩니다. 다운로드 날짜를 기준으로 최신 서명 파일이 제공됩니다. 이 도구 사용에 대한 자세한 내용은 Spybot 웹 사이트의 Tutorial 페이지를 참조하십시오.

다음은 컴퓨터에서 맬웨어를 제거하는 동안 컴퓨터를 관리할 수 있도록 디자인된 유틸리티입니다.

• Freeware Utilities by Alex Nolan 웹 사이트에서 제공하는 Drive Manager. 이 도구는 하드 드라이브, CD/DVD 드라이브, USB 드라이브, 네트워크 드라이브 등의 여러 가지 드라이브 유형을 식별하고 분석을 위해 해당 속성을 표시합니다. 이 도구는 오프라인으로 사용할 수 있습니다.

• Freeware Utilities by Alex Nolan 웹 사이트에서 제공하는 System Spec은 컴퓨터에 현재 설치된 하드웨어에 대한 정보를 제공합니다. 이 도구는 컴퓨터를 치료하는 동안 하드웨어에 대한 자세한 정보를 제공해야 할 때 유용합니다. 이 도구는 오프라인으로 사용할 수 있습니다.

작업 3: 맬웨어 제거 시작 키트 CD-ROM 만들기

맬웨어 제거 시작 키트 CD-ROM을 만들려면 키트에 사용할 Windows PE 이미지를 제공하고, 도구를 추가하여 기본 Windows PE 이미지를 수정하고, RAM으로 사용할 추가 공간을 제공하도록 디스크 캐시 크기를 변경하고, 변경된 이미지를 CD-ROM으로 굽기 위한 .iso 이미지 파일을 빌드해야 합니다. 맬웨어 검사 효과를 최대한 높이려면 CD-ROM에 있는 오프라인 검사 도구의 최신 바이러스 서명 업데이트를 주기적으로 다운로드해야 합니다.

중요:

Windows PE 이미지 제작을 시작한 후에는 이 작업의 모든 단계를 중단 없이 수행하는 것이 중요합니다. 사용할 도구를 이미 다운로드한 경우 시스템의 성능과 이 작업의 단계를 정확히 따르는지 여부에 따라 이 프로세스를 완료하는 데 30분 정도 걸립니다. 이 절차를 수행하기 위해서는 C 드라이브에 800MB의 사용 가능한 공간이 필요합니다. 필요한 경우 모든 드라이브 문자 참조를 업데이트합니다.

맬웨어 제거 시작 키트 CD-ROM을 만들려면

1. 시작, 모든 프로그램, Microsoft Windows AIK, Windows PE 도구 명령 프롬프트를 차례로 클릭합니다.

   참고:

   이 단계는 Windows XP에 적용됩니다. 컴퓨터에서 Windows Vista를 실행 중인 경우 Windows PE 도구 명령 프롬프트를 마우스 오른쪽 단추로 클릭하고 관리자 권한으로 실행, 계속을 차례로 클릭합니다.

2. 명령 프롬프트에서 다음을 입력한 다음 Enter 키를 눌러 Windows PE의 x86 이미지 복사본을 만들고 컴퓨터에 작업 폴더 디렉터리를 설정합니다.

   copype x86 c:\WinPE

3. 새 디렉터리 c:\WinPE의 명령 프롬프트에서 다음을 입력한 다음 Enter 키를 눌러 WinPE.wim 이미지를 변경할 수 있도록 탑재합니다.

   imagex /mountrw winpe.wim 1 c:\WinPE\Mount

4. 명령 프롬프트에서 다음을 입력한 다음 Enter 키를 눌러 다음 레지스트리 하위 키에 액세스합니다.

   reg load HKLM\_WinPE_SYSTEM c:\WinPE\Mount\windows\system32\config\system

5. 명령 프롬프트에서 다음을 입력한 다음 Enter 키를 눌러 RAM으로 사용할 96MB의 디스크 캐시를 만듭니다.

   reg add HKLM\_WinPE_SYSTEM\ControlSet001\Services\FBWF /v WinPECacheThreshold /t REG_DWORD /d 96 /f

6. 명령 프롬프트에서 다음을 입력한 다음 Enter 키를 눌러 이 레지스트리 키를 끝냅니다.

   reg unload HKLM\_WinPE_SYSTEM

7. Mount 폴더 아래에 맬웨어 검사 도구 디렉터리를 만듭니다. 예를 들어 "Tools"라는 이름으로 이 폴더를 만들 수 있습니다.

   mkdir c:\WinPE\mount\Tools

8. 작업 2에서 다운로드한 도구 파일을 방금 만든 Tools 디렉터리로 복사합니다. 예:

   copy <작업 2에서 임시 디렉터리에 다운로드한 도구> c:\WinPE\mount\Tools

9. 명령 프롬프트에서 다음을 입력하고 Enter 키를 누른 다음 Yes를 입력하고 Enter 키를 다시 눌러 프로세스를 계속 진행합니다.

   peimg /prep c:\WinPE\Mount

10. 명령 프롬프트에서 다음을 입력한 다음 Enter 키를 눌러 변경 내용을 저장합니다.

    imagex /unmount c:\WinPE\Mount /commit

11. 명령 프롬프트에서 다음을 복사하고 Enter 키를 누른 다음 Yes를 입력하여 기존 파일을 덮어씁니다.

    copy c:\WinPE\WinPE.wim c:\winpe\ISO\sources\boot.wim

12. 명령 프롬프트에서 다음을 입력한 다음 Enter 키를 눌러 Windows PE 이미지의 .iso 파일을 만듭니다.

    oscdimg -n -bc:\WinPE\etfsboot.com c:\WinPE\ISO c:\WinPE\WinPE_Tools.iso

13. c:\WinPE\WinPE_Tools.iso에 있는 .iso 파일을 CD-ROM으로 굽고 Windows PE 이미지를 테스트하여 모든 맬웨어 검사 도구가 정상적으로 실행되는지 확인합니다.

    참고:

    Microsoft Virtual PC 2007을 사용하여 이미지를 테스트할 수도 있습니다.

이제 맬웨어 제거 시작 키트와 함께 사용할 CD-ROM이 준비되었습니다. 사용자 환경에서 바이러스 서명이 자주 업데이트되도록 하려면 선택한 검사 도구에서 USB 장치를 사용하여 최신 업데이트를 다운로드하도록 설정하는 것이 좋습니다.

작업 4: 맬웨어 제거 시작 키트를 사용하여 컴퓨터 검사

이제 Windows PE 이미지와 선택한 도구를 사용하여 컴퓨터에서 맬웨어를 검사할 수 있습니다.

Windows PE CD-ROM과 도구를 사용하여 컴퓨터를 검사하려면

1. 컴퓨터의 CD 드라이브 또는 DVD 드라이브에 준비된 CD-ROM을 넣고 해당 드라이브에서 컴퓨터가 시작되도록 컴퓨터의 시작 순서를 설정합니다.

   옵션: 컴퓨터의 슬롯에 USB 장치를 삽입하여 운영 체제 시작 시 USB 장치가 로드되도록 합니다.

   참고:

   Windows PE CD-ROM 시작 디스크에서 컴퓨터를 시작하는 방법에 대한 자세한 내용은 Microsoft.com의 Windows 사전 설치 환경 개요를 참조하십시오. 이 리소스에는 CD 드라이브에서 컴퓨터가 시작되도록 BIOS(기본 입출력 시스템) 설정을 통해 시작 순서와 기타 옵션을 구성하는 방법이 나와 있습니다.

2. 선택한 맬웨어 검사 도구를 실행합니다. 작업 3의 기본 구성 정보를 사용하여 Windows PE 이미지를 만든 경우 X:\Tools에 도구가 있습니다. 명령 프롬프트에서 나열된 각 도구의 프로그램 파일 이름을 입력하면 해당 도구를 실행할 수 있습니다.

   옵션: 업데이트된 서명이나 도구를 제공하기 위해 USB 장치를 삽입한 경우 USB 장치에 사용되는 드라이브 문자를 모르면 X:\Tools에 있는 Drive Manager를 사용하여 드라이브 문자를 확인할 수 있습니다.

   참고:

   Spybot을 실행하려면 Spybot의 설치 지침을 참조하고 컴퓨터에 이 도구를 설치한 후 정의 프로그램 파일을 실행합니다.

주의:

감염된 컴퓨터에서 맬웨어 검사 도구를 실행하면 컴퓨터가 손상되어 정상적으로 시작되지 않을 수 있습니다. 핵심 부팅 파일이 맬웨어에 감염된 경우 치료 프로세스를 실행하면 운영 체제가 작동하지 않을 수 있습니다. 따라서 컴퓨터의 모든 중요 정보 파일을 주기적으로 백업하는 것이 중요합니다. 뿐만 아니라 백업 리소스에서 컴퓨터로 해당 파일을 복원한 후에는 컴퓨터에서 검사를 다시 실행하여 백업 파일에 맬웨어가 없는지 확인하는 것이 좋습니다.

페이지 위쪽

다운로드

맬웨어 제거 시작 키트 다운로드

업데이트 알림

업데이트 및 새 릴리스 알림 신청

사용자 의견

의견이나 제안 보내기

페이지 위쪽