시작프로그램을 알면 보안이 보인다!

[PC 보안-Ⅱ] 프로세스와 시작 프로그램을 살펴봤는가?

구멍 뚫린 보안, 내 PC는 안전한가? 어떤 악성코드에도 끄떡없는 튼튼 PC를 만들자! 외부 공격을 막기 위해 보안 프로그램을 까는 것은 너무나 당연하지만 하루가 멀다 하고 새로운 악성코드가 나오면서 보안 프로그램만 믿을 수는 없다. 최근의 악성코드는 독립적인 파일로 실행되는 게 많아서 실행을 멈추면 피해를 줄일 수 있다. 현재 실행 중인 프로세스 중에서 무엇이 악성 코드인지 아는 것은 쉬운 일이 아니다. 따라서 평소에 실행 프로세스에 관심을 갖고 있어야 긴박한 상황에서 도움을 받는다. 프로세스 확인하기 프로세스는 현재 이용자가 실행한 프로그램의 실행 파일과 시스템을 운영하기 위해 시스템이 실행한 프로세스 두 가지가 있다. 현재 실행중인 프로세스도 아니고 시스템이 실행한 프로세스도 아닌 것이 CPU를 많이 쓰거나 메모리를 많이 차지하고 있으면 해당 프로세스를 의심해야 한다. 일반적으로 이용자가 쓰는 프로그램 이름은 쉽게 알 수 있다. 포토샵은 photoshop.exe이고 한글은 hwp.exe다. 그렇다면 윈도가 돌아갈 때 필요한 기본 프로세스가 어떤 것인지 알아두자. explorer.exe 윈도의 기본 쉘이다. 이용자가 파일을 클릭하거나 프로그램을 실행하면 이 쉘이 윈도에 전달한다. internat.exe 키보드 입력 로케일을 관리하는 프로세스다. 트레이에는 현재 한영 상태를 표시한다. taskmgr.exe 작업 관리자의 실행 파일이다. 프로세스를 확인하기 위해 작업 관리자를 열었기 때문에 나타난다. csrss.exe 윈도 생성, 쓰레드, 16비트 가상 MS-DOS 모드를 관리한다. winlogon.exe 이용자가 로그인할 때 뜨는 프로세스다. lsass.exe 이용자 인증이나 보안에 관련된 부분을 관리하는 프로세스다. mstask.exe 보통은 보이지 않지만 예약 작업을 관리한다. system 쓰레드를 만들고 실행하는 윈도의 기본 프로세스다. spoolsrv.exe 프린터의 스풀링을 담당한다. winmgmt.exe 윈도의 클라이언트를 관리한다. 클라이언트의 요청에 따라 초기화 등을 한다. svchost.exe 윈도 라이브 파일인 dll 파일로 실행되는 프로세스를 관리한다. 이런 프로그램이 많으면 svchost.exe도 그만큼 생긴다. services.exe 윈도의 백그라운드 서비스를 관리한다. [표 1] 윈도의 기본 프로세스의 이름과 역할 표에 있는 것은 말 그대로 가장 기본적인 프로세스들이지만 이용자의 PC에 따라 조금씩 다를 수 있다. 수상한 프로세스가 있지만 어떤 프로세스인지 잘 모른다면 www.liutilites.com/products/wintaskspro/processlibrary에 접속해 보자. 여기서 프로세스 이름을 검색하면 시스템 관련 프로세스인지 웜이나 악성 프로그램인지 알려주므로 도움이 된다. 웜이나 스파이웨어가 확실하다면 키를 눌러 ‘작업관리자’를 띄운 뒤 ‘프로세스’ 탭을 누른다. 의심이 가는 프로세스를 끝내려면 그것을 골라 ‘프로세스 끝내기’ 버튼을 누른다. 시작 프로그램을 정리하자 앞에서 본 것처럼 작업관리자에서 프로세스를 멈췄다고 해도 윈도 시작 프로그램으로 등록되어 있으면 윈도가 시작할 때마다 다시 뜬다. 그러므로 프로세스뿐 아니라 시작 프로그램도 찾아봐야 한다. 윈도 시작 프로그램을 정리하는 방법은 세가지가 있다. 시작→프로그램→시작 프로그램 폴더에 등록된 것을 없애거나 msconfig 프로그램, 레지스트리에 등록된 것을 지우는 것이다. 첫째, 시작 프로그램 폴더에 등록된 것을 지우는 것은 쉽다. 시작→프로그램→시작 프로그램을 고르고 여기에 바로가기 아이콘을 고른 뒤 마우스 오른쪽 버튼을 눌러 ‘삭제’를 고른다. 둘째, 시작→실행을 누르고 msconfig라고 치고 엔터 키를 눌러 ‘시스템 구성 유틸리티’를 실행한다. ‘시작프로그램’ 탭을 고르면 윈도가 시작할 때 뜨는 프로그램 목록이 뜬다. 윈도에 깔아놓은 프로그램이 많으면 여기에 등록된 것이 많다. 체크 표시를 빼면 된다. 다음 표는 윈도 시작 프로그램에 등록되는 프로그램이다. 여기서 어떤 것을 빼고 어떤 것을 빼지 말아야 하는지 고민해야 한다. 이 부분이 시작프로그램 관리에서 가장 중요하고 어려운 부분이다. 이용자마다 쓰는 프로그램이 다르기 때문에 자신의 PC에서 필요한 것인지 아니지 판단할 수 있는 기준이 없다. 모두 이용자가 PC에 깔린 응용프로그램에 대해 필요한 것인지 아닌지를 판단해야 한다. 실행 파일 이름 설명 LoadPowerProfile 전원관리 프로그램으로 윈도의 전원관리를 한다. ctfmon 고급 입력 로케일 프로그램이다. IME 한글 입력기다. 한영 입력을 한다. IMJPMIG ctfmon과 함께 필요한 프로그램이다. TINTSETP INJPMIG와 더불어 ctfmon에 필요한 프로그램이다. [표 2] 윈도 XP를 처음 깔았을 때 msconfig에 등록된 시작 프로그램 실행 파일 이름 설명 AhnSD 안철수연구소 V3 백신 프로그램 daemon DAEMON Tools 데몬툴 가상 CD 프로그램 NeroCheck 네로 버닝롬 체크 프로그램 msmsgs MSN 메신저 프로그램 autoupdate 응용프로그램의 자동 업데이트 프로그램 [표 3] 윈도 기본 시작 프로그램 자주 등록되는 프로그램 체크 표시를 해제하면 실행되지 않는다. 자신이 잘 모르는 프로그램을 해제하면 시스템에 이상이 생길 수 있으니 정확히 아는 것만 없앤다. ‘확인’을 누른 뒤 윈도를 다시 시작한다. 셋째, 앞선 두 가지 방법을 써도 작업 관리자에 프로세스가 뜬다면 레지스트리에 등록된 것이므로 이것을 손봐야 한다. 시작→실행을 누르고 regedit라고 치고 레지스트리 편집기를 연다. HKEY_LOCAL_MACHINE → SOFTWARE → Microsoft → Windows → CurrentVersion → Run 키를 찾는다. 오른쪽 창에 시작 프로그램 목록이 뜬다. 여기서는 자신에게 필요 없는 것을 골라 Del 키를 눌러 지운다. 불필요한 프로그램은 지운다 PC를 쓰다 보면 많은 프로그램들을 깔아서 쓰게 된다. 또한 내가 모르는 사이에 내 PC에 깔리는 프로그램도 생긴다. 이런 프로그램들 중에서 일부는 불필요한 것도 있을 수 있고, 하드디스크 용량과 메모리를 차지해서 PC의 성능을 떨어뜨리고 보안을 위협하기도 한다. 따라서 반드시 필요한 프로그램 외에는 지우는 게 좋다. 시작 → 제어판 열고 ‘프로그램 추가/제거’를 고른다. ‘프로그램 추가/제거 등록정보’ 창이 열리면 내 PC에 깔린 프로그램들이 무엇인지 볼 수 있다. 내가 깔지 않은 프로그램을 찾는다. 지울 프로그램을 고른 뒤 ‘추가/제거(R)…’ 버튼을 눌러 지운다. 윤재필 기자(drlovy@ilovepc.co.kr) [출처] PC사랑 2006년 8월호 관련 정보 보기 [PC 보안-Ⅰ] 윈도는 최신인가? [PC 보안-Ⅱ] 프로세스와 시작 프로그램을 살펴봤는가? [PC 보안-Ⅲ] 암호를 쓰고 있는가? [PC 보안-Ⅳ] 네트워크 보안을 하고 있는가? [PC 보안-Ⅴ] 방화벽을 쓰고 있는가? [PC 보안-Ⅵ] 백신 프로그램은 깔려 있나?