키로거, 크립토재커, 스파이웨어, 루트킷은 해커가 피해자의 디바이스를 감염시키는 데 사용하는 모든 유형의 바이러스입니다. 이러한 감염 중 일부는 해커가 피해자의 컴퓨터에 원격으로 연결할 수 있게 해주지만, 다른 일부는 피해자의 키 입력을 모니터링하거나 시스템의 리소스를 사용하거나 단순히 표적이 된 사람의 활동을 감시합니다.
Windows 디바이스가 해킹당한 것으로 의심되는 경우, 이를 확인하기 위해 취할 수 있는 몇 가지 실용적인 단계는 다음과 같습니다.
시작하기 전에…
디바이스가 손상되었는지 조사하기 전에 모든 타사 및 Windows 애플리케이션을 닫으세요. 이렇게 하면 작업 관리자 또는 사용 중인 작업 관리자의 대체 항목이 줄어들고 컴퓨터에서 설정된 의심스러운 연결을 효과적으로 식별할 수 있습니다.
그런 다음 Microsoft Defender 또는 일반적으로 사용하는 신뢰할 수 있는 타사 바이러스 백신 소프트웨어를 사용하여 장치에서 맬웨어 검사를 실행합니다. 이 단계는 디바이스 내부의 가벼운 감염을 감지하고 자동으로 제거하는 데 도움이 되며, 더 심각한 감염이나 보안 위반을 검색할 때 사용자의 주의를 분산시키지 않습니다.
불필요한 프로세스를 모두 종료하고 바이러스 검사를 수행한 후에는 시스템에 숨어 있는 악성 프로그램을 찾을 수 있습니다.
장치에서 스파이웨어 또는 해킹 시도를 검사하는 방법
현대에 바이러스 감염은 일반적으로 피해자의 컴퓨터에서 능동적으로(그러나 비밀리에) 작동하도록 프로그래밍되어 있습니다. 예를 들어, 크립토재커는 암호화폐 채굴을 위해 피해자의 컴퓨터 리소스를 사용하고, 키로거는 키 입력을 모니터링하여 로그인 자격 증명을 수집하며, 스파이웨어는 사용자의 활동을 실시간으로 추적하여 해커와 공유합니다.
이러한 각 바이러스 유형은 데이터가 전송되거나 채굴 소프트웨어가 실행되는 해커의 서버에 대한 원격 연결을 사용하거나 해커가 수행하려는 다른 모든 작업을 수행합니다. 디바이스에서 설정된 의심스러운 연결을 식별하면 디바이스가 실제로 손상되었는지 여부를 확인할 수 있습니다.
의심스러운 연결 확인
컴퓨터에서 의심스러운 연결을 여러 가지 방법으로 확인할 수 있지만, 여기서는 명령 프롬프트라는 Windows의 내장 유틸리티를 사용하는 방법을 보여드리겠습니다. 명령 프롬프트를 사용하여 장치에 설정된 원격 연결을 찾는 방법은 다음과 같습니다:
⭐ Windows 검색에 “명령 프롬프트”를 입력합니다.
⭐ 명령 프롬프트 앱을 마우스 오른쪽 버튼으로 클릭하고 관리자 권한으로 실행을 클릭합니다.
⭐ 다음 명령을 입력하고 Enter 키를 누르기만 하면 됩니다.
netstat -ano
위 명령은 앱, 프로그램 및 서비스가 원격 호스트에 설정한 모든 TCP 연결을 표시합니다.
세 가지 주요 용어가 있는 상태 열에 주로 주의를 기울이세요: 설정됨, 수신 중 및 Time_Wait입니다. 이 세 가지 중에서 상태가 설정됨으로 표시되는 연결에 집중하세요. “설정됨” 상태는 내 컴퓨터와 원격 IP 주소 간의 실시간 연결을 나타냅니다.
설정된 연결이 많이 표시되더라도 당황하지 마세요. 대부분의 경우 이러한 연결은 Google, Microsoft 등의 서비스를 사용하는 회사 서버에 연결됩니다. 하지만 이러한 각 연결을 개별적으로 분석해야 합니다. 이렇게 하면 해커의 서버로 의심스러운 연결이 이루어지고 있는지 확인하는 데 도움이 됩니다.
명령 프롬프트를 닫지 마세요. 다음 단계에서 netstat 정보를 사용할 것입니다.
의심스러운 연결 분석
의심스러운 연결을 분석하는 방법은 다음과 같습니다:
⭐ 명령 프롬프트의 외부 주소 열에서 IP 주소를 복사합니다.
⭐ IPLocation.net과 같은 인기 있는 IP 위치 조회 사이트로 이동합니다.
⭐ 복사한 IP 주소를 여기에 붙여넣고 IP 조회 버튼을 클릭합니다.
이 웹사이트에서 IP 주소에 대한 정보를 제공합니다. 이 IP 주소를 사용하는 ISP와 조직을 확인하세요. 해당 IP 주소가 Google LLC, Microsoft Corporation 등과 같이 서비스를 사용하는 잘 알려진 회사의 것이라면 걱정할 필요가 없습니다.
그러나 여기에 내가 사용하지 않는 서비스를 제공하는 의심스러운 회사가 나열되어 있다면 누군가 나를 감시하고 있을 가능성이 높습니다. 따라서 원격 연결을 위해 이 주소를 사용하는 프로세스 또는 서비스를 식별하여 악의적인 것이 아닌지 확인해야 합니다.
악성 프로세스 찾기 및 분석
사기꾼이 기기를 염탐하는 데 사용했을 수 있는 악성 프로그램을 찾으려면 관련 프로세스를 식별해야 합니다. 이를 찾는 방법은 다음과 같습니다:
⭐ 명령 프롬프트에서 의심스러운 연결 설정됨 옆의 PID를 확인하세요.
⭐ 작업 관리자를 엽니다. (Windows 10 및 11에서 작업 관리자를 여는 다양한 방법을 참조하세요.)
⭐ 세부 정보 탭으로 이동합니다.
⭐ PID 열을 클릭하여 PID에 따라 프로세스를 정렬합니다.
⭐ 앞서 적어둔 것과 동일한 PID를 가진 프로세스를 찾습니다.
프로세스가 자주 사용하는 타사 서비스에 속하는 경우 프로세스를 닫을 필요가 없습니다. 하지만 해커가 악성 프로세스를 정상 프로세스로 위장하여 숨길 수 있으므로 이 프로세스가 해당 회사의 소유인지 확인해야 합니다. 따라서 의심스러운 프로세스를 마우스 오른쪽 버튼으로 클릭하고 속성을 선택하세요.
그런 다음 세부 정보 탭으로 이동하여 프로세스에 대한 자세한 정보를 확인합니다.
프로세스 세부 정보에 불일치가 있거나 프로세스 자체가 의심스러운 경우 관련 프로그램을 제거하는 것이 가장 좋습니다.
의심스러운 프로그램 제거
이러한 의심스러운 프로세스의 배후에 있는 악성 앱을 식별하고 제거하려면 다음 단계를 따르세요:
그늘진 프로세스를 마우스 오른쪽 버튼으로 클릭하고 파일 위치 열기를 선택합니다.
⭐ 다시 한 번 파일이 Windows 또는 기타 중요한 애플리케이션과 연결되어 있지 않은지 확인하세요.
⭐ 바이러스가 확실하다면 마우스 오른쪽 버튼으로 클릭하고 삭제하세요.
필요 시 전문가의 도움 받기
위의 과정을 따라 악성 프로그램을 탐지하고 제거하면 해커가 개인 정보를 감시하거나 도용하는 것을 방지하는 데 도움이 되길 바랍니다.
그러나 해커는 이러한 방식으로 프로그래밍하여 악성 프로그램을 넷스탯 출력에서 숨길 수 있다는 점에 유의해야 합니다. 마찬가지로, 작업 관리자에 나타나지 않도록 프로그램을 코딩할 수도 있습니다. netstat 출력에서 의심스러운 연결이 보이지 않거나 작업 관리자에서 의심스러운 프로세스가 발견되지 않는다고 해서 디바이스가 안전하다는 의미는 아닙니다.
따라서 작업 관리자에서 높은 리소스 소비, 시스템 속도 저하, 알 수 없는 앱 설치, Windows Defender가 자주 꺼짐, 의심스러운 새 사용자 계정 생성 등과 같이 시스템에서 해킹된 디바이스의 징후가 보이면 전문가와 상담해야 합니다. 그래야만 디바이스가 완전히 안전하다는 것을 확신할 수 있습니다.
해커가 오랫동안 사용자를 감시하게 두지 마세요
Microsoft는 보안을 강화하기 위해 Windows 운영 체제를 지속적으로 업데이트하지만 해커는 여전히 허점을 찾아 Windows 디바이스를 해킹하고 있습니다. 이 가이드가 의심스러운 해커가 사용자의 활동을 모니터링하고 있는지 식별하는 데 도움이 되길 바랍니다. 팁을 올바르게 따르면 의심스러운 앱을 제거하고 해커의 서버에 대한 연결을 끊을 수 있습니다.
여전히 의심스럽고 소중한 데이터를 위험에 빠뜨리고 싶지 않다면 전문가의 도움을 받아야 합니다.