내 남자의 길~!

 지난회에는 인덱스를 생성했으나 컬럼의 가공, 내부적 변형, null과의 비교, 부정형 조건등으로 인하여 인덱스를 사용하지 못하는 경우를 보았다.
그럼 과연 인덱스를 타기만 하면 무조건 빠를까?
불행하게도 그렇지 않다. 대부분의 경우는 빠르겠지만 경우에 따라서는 인덱스를 타기 때문에 느려지는 경우가 많이 발생한다.

EMPLOYEE에 성별 컬럼을 추가하고 절반정도 되게 남성과 여성을아래와 같은 분포도로 넣었다.

SELECT GENDER , COUNT(*) CNT, ROUND(COUNT(*) / 15132,3)*100 RATIO FROM EMPLOYEES GROUP BY GENDER; G ---- F M CNT -------- 7590 7542 RATIO --------- 50.2 49.8

그리고 아래와 같은 INDEX를 생성하였다.

CREATE INDEX IDX_GENDER ON EMPLOYEES(GENDER);

그러면 이제 2개의 SQL의 수행 결과를 보자. 첫번째 경우는 INDEX를 탄경우다. 아래와 같이 HINT를 주어서 OPTIMIZER의 PLAN을 고정하였다. /*+ INDEX(E IDX_GENDER) */ 는 E라는 별명의 테이블에 IDX_GENDER이라는 INDEX를 이용하여 테이블에 데이터를 가져오라는 뜻이다.

SELECT /*+ INDEX( E IDX_GENDER) */ GENDER, COUNT(*), AVG(SALARY) FROM EMPLOYEES E WHERE GENDER = 'M' GROUP BY GENDER Call ---------- Parse Execute Fetch ---------- Total Count ---------- 1 1 2 ---------- 4 CPU Time ---------- 0.000 0.000 0.030 ---------- 0.030 Elapsed Time ------------- 0.000 0.000 0.026 ------------- 0.026 Disk ---------- 0 0 0 ---------- 0 Query ---------- 0 0 127 ---------- 127 Current ---------- 0 0 0 ---------- 0 Rows ---------- 0 0 1 ---------- 1 Misses in library cache during parse: 0 Optimizer goal: RULE Parsing user: SCOTT (ID=54) Rows ---------- 0 1 7542 7542 Row Source Operation --------------------------------------------------- STATEMENT SORT GROUP BY NOSORT (cr=127 pr=0 pw=0 time=25567 us) TABLE ACCESS BY INDEX ROWID EMPLOYEES (cr=127 pr=0 pw=0 time=15176 us) INDEX RANGE SCAN IDX_GENDER (cr=16 pr=0 pw=0 time=61 us)OF IDX_GENDER (NONUNIQUE)

두번째 경우는 INDEX를 타지 않은 경우다. 아래와 같이 HINT를 주어서 OPTIMIZER의 PLAN을 고정하였다. /*+ FULL(E) */ 는 E라는 별명의 테이블을 할 때 테이블 전체를 다 읽어서 처리(FULL TABLE SCAN)하라는 뜻이다.

SELECT /*+ FULL(E) */ GENDER, COUNT(*), AVG(SALARY) FROM EMPLOYEES E WHERE GENDER = 'M' GROUP BY GENDER Call ---------- Parse Execute Fetch ---------- Total Count ---------- 1 1 2 ---------- 4 CPU Time ---------- 0.000 0.000 0.010 ---------- 0.010 Elapsed Time ------------- 0.000 0.000 0.014 ------------- 0.015 Disk ---------- 0 0 0 ---------- 0 Query ---------- 0 0 115 ---------- 115 Current ---------- 0 0 0 ---------- 0 Rows ---------- 0 0 1 ---------- 1 Misses in library cache during parse: 0 Optimizer goal: RULE Parsing user: SCOTT (ID=54) Rows ---------- 0 1 7542 Row Source Operation --------------------------------------------------- STATEMENT SORT GROUP BY NOSORT (cr=115 pr=0 pw=0 time=14410 us) TABLE ACCESS FULL EMPLOYEES (cr=115 pr=0 pw=0 time=181 us)

인덱스를 탄 경우는 0.03초가 걸렸고 인덱스를 타지 않은경우는 0.01초가 걸렸다. 인덱스를 타서 3배나 더 느려졌다!. 이것이 가능한가? 그러면 왜 인덱스를 탔는데도 시간이 더 걸리는 것인가? 이유는 Disk io에 있다. 일반적으로 Full table scan을 할때는 한번에 1개의 block씩 i/o를 하지 않고 muti block를 한번에 요구한다. 그 이유는 읽을 양이 많다고 미리 가정하기 때문이다. 따라서 Oracle의 경우 db_file_multiblock_read_count라는 파라미터가 있고 일반적으로 8또는 16을 설정한다. 만약 16이라면 한번 I/O에 16개의 BLOCK을 읽어오게 되는것이다. 따라서 EMPLOYEE 115BLOCK을 한번에 16개씩 읽으면 약 8번의 IO 요청으로 완료가 된다. 그러나 Index를 사용할 경우 index를 사용하면 기본적으로 대량의 io가 발생할 것이라고 가정하지 않기 때문에 1개의 block씩 i/o를 하게 된다. 따라서 16개의 index block과 115개의 block의 물리적 i/o가 발생한다 16+115를 하면 총 131번의 물리적 io가 발생하게 되는것이다. 논리적으로는 인덱스 1개보고 테이블 1개 블락을 읽고를 7542번+1번을 하게되는 것이다. 마지막 1번은 다음에 더 이상 ‘M’이 없는지 확인하기위해서 1번 더 읽는다. 어째든 인덱스를 사용되는 것이 더욱 느리다는 것이다. 현지 EMPLOYEES 테이블은 15132건이다. 만약 이 데이터가 많아진다면 차이는 점점 더 많이 날것이다. 그러면 어느정도은 INDEX를 타고 어느 정도는 Full Table Scan이 오히려 더 좋은가? 시스템의 성능또는 데이터의 양에 따라 차이가 조금씩있으나 일반적인 기준은 있다. 아래 TYPE이라는 컬럼에 A-F까지 값을 가지고 있으며 가각 49.8%부터 0.9%까지의 분포를 가지는 값들을 가지고 있다.

SELECT TYPE , COUNT(*) CNT, ROUND(COUNT(*) / 15132,3)*100 RATIO FROM EMPLOYEES GROUP BY TYPE; T -------- A B C D E F CNT -------- 7542 4533 1515 799 603 140 RATIO --------- 49.8 30 10 5.3 4 0.9

아래는 예제로 사용되었던 SQL과 그에 따른 응답시간을 비교한 표이다. FTS(Full Table Scan) SQL

SELECT /*+ FULL(E) */ GENDER, COUNT(*), AVG(SALARY) FROM EMPLOYEES E WHERE TYPE = 'F' GROUP BY GENDER; Rows -------- 0 1 140 Row Source Operation --------------------------------------------------- STATEMENT 1 HASH GROUP BY (cr=115 pr=0 pw=0 time=6925 us) 140 TABLE ACCESS FULL EMPLOYEES (cr=115 pr=0 pw=0 time=10323 us)

INDEX(Index Scan) SQL

SELECT /*+ INDEX(E IDX_TYPE) */ GENDER, COUNT(*), AVG(SALARY) FROM EMPLOYEES E WHERE TYPE = 'F' GROUP BY GENDER; Rows -------- 0 1 140 140 Row Source Operation --------------------------------------------------- STATEMENT HASH GROUP BY (cr=87 pr=0 pw=0 time=3227 us) 140 TABLE ACCESS BY INDEX ROWID EMPLOYEES (cr=87 pr=0 pw=0 time=2956 us) INDEX RANGE SCAN IDX_TYPE (cr=2 pr=0 pw=0 time=539 us)OF IDX_TYPE (NONUNIQUE)

결과를 보자 약 15132건의 테이블을 ACCESS하는데 10%이상이 되는 경우는 FTS이 더빠르고 10%이하인 경우는 INDEX를 타는 경우가 더 빠르다. 10% 미만일때는 INDEX를 타고 10%가 넘으면 인덱스를 안타게 할수 있는가? 결론적으로 가능하다. 아래 SQL을 보자 2개의 SQL을 UNION ALL로 결합하고 비교조건을(굵은색)을 줌으로서 논리적 비교를 통해서 실제로 FTS의 조건은 타지 않고 INDEX쪽만 수행하도록 하였다. 아래 수행결과를 보면 INDEX를 타는 곳에서만 ROWS가 나온 것을 알수있다.

SELECT /*+ FULL(E) */ GENDER, COUNT(*), AVG(SALARY) FROM EMPLOYEES E WHERE TYPE = 'F'    AND TYPE IN ( 'A','B','C') GROUP BY GENDER UNION ALL SELECT /*+ INDEX(E IDX_TYPE) */ GENDER, COUNT(*), AVG(SALARY) FROM EMPLOYEES E WHERE TYPE = 'F'    AND TYPE IN ( 'D','E','F') GROUP BY GENDER; Rows -------- 0 1 0 0 0 1 140 140 Row Source Operation --------------------------------------------------- STATEMENT UNION-ALL (cr=87 pr=0 pw=0 time=2743 us) HASH GROUP BY (cr=0 pr=0 pw=0 time=235 us) FILTER (cr=0 pr=0 pw=0 time=8 us) TABLE ACCESS FULL EMPLOYEES (cr=0 pr=0 pw=0 time=0 us) HASH GROUP BY (cr=87 pr=0 pw=0 time=2477 us) TABLE ACCESS BY INDEX ROWID EMPLOYEES (cr=87 pr=0 pw=0 time=2328 us) INDEX RANGE SCAN IDX_TYPE (cr=2 pr=0 pw=0 time=205 us)OF IDX_TYPE (NONUNIQUE)

그렇나 이렇게 프로그램을 한다면 프로그램이 힘들어 질것이다. 따라서 현재 Optimizer들은 실제 값에 따라서 FTS이 유리한지 아니면 INDEX SCAN이 유지한지 값을 보고 PLAN이 바뀌도록 되어있다. 물론 이를 위해서는 컬럼에 대한 분포도 정보를 DB가 가지고 있어야 한다. 이는 ANALYZER를 통해서 DB가 취득하게 된다. 그럼 이제 간단하다 10%이상에 데이터를 INDEX를 타면 속도가 오히려 느려지므로 10%이하의 데이터를 찾고자 할 때만 INDEX를 생성하면 간단하게 해결될것이다! 그러나 과연 그럴까? INDEX를 생성하면 일반적으로 SELECT의 속도는 향상을 보지만 반대로 INSERT,UPDATE,DELETE는 저하되게 된다.

위에 도표를 보면 INDEX의 숫자가 증가함에 따라서 속도가 느려지는 것을 알수 있다. 즉, 인덱스의 생성으로 SELECT는 빨라질수도 있고 느려질수도 있다. 그러나 DML(INSERT,UPDATE,DELETE)는 항상 느려진다. 따라서 INDEX를 무작정 다는 것은 DML 성능을 느리게 한다. 그럼 어떤 기준으로 인덱스를 생성할지 말지를 결정할 것인가? 아래 2가지 시간을 고령하자. 이익시간 = INDEX생성으로 빨라진시간 * 수행 QUERY수 비용시간 = INDEX생성으로 느려진 INSERT시간 * INSERT수행횟수                 + INDEX생성으로 느려진 UPDATE시간 * UPDATE수행횟수                 + INDEX생성으로 느려진 DELETE시간 * DELETE수행횟수 이익시간이 비용시간 보다 크다면 인덱스를 생성하는 것이 좋을 것이다. 반대로 이익시간 < 비용시간 보다 작다면 인덱스를 만드는 것이 손해보는 경우다. 이런 경우라면 인덱스를 만들면 안되는 것이 유리하다 할수 있다. 그러나 반드시 그런 것은 아니다. 그것은 수행 시간을 고려해야한다. 낮에일반적으로 QUERY가 빠르게 수행되고 주로 밤에 BATCH에서 DML이 수행되고 있다고 가정할 때 DML이 더 느려지는 것이 그렇게 문제가 되지 않는다면 INDEX를 생성할 수도 있는것이다. 어디까지나 Application 사용의 관점에서 효율적인 것을 찾는 것이 중요하다. 인덱스를 사용하여 손해보는 경우는 아래와 같다. 같은 값이 많은 컬럼 INDEX를 타면 10%이상 선택하는 경우 예) 남녀성별등.. 조회보다 DML의 부담이 큰 경우 이익시간 < 비용시간 경우 그러나 이때도 사용환경을 고려하여 인덱스를 생성할 수 있다. 데이터가 적은 테이블 일반적으로 db_file_multiblock_read_count보다 적은 수의 BLOCK을 가진테이블은 INDEX를 타지 않는 것이 빠르다. 그러나 integrity를 위해서 PK와 FK는 달아야 한다. 이번 회에는 INDEX를 타서 오히려 손해를 보는 경우와 그를 방지하는 방법을 보았다. 인덱스를 생성한다고 인덱스를 반드시 타는 것도 아니며 또한 인덱스를 탄다고 반드시 빠른 것도 아니다. 따라서 INDEX의 생성과사용 전략은 그렇게 쉬운 문제가 아니다. 빠른 시스템을 위해서는 고려할 점이 많다는 것이다. 물론 필자가 다룬 것은 테이블중에 일반테이블과 일반 INDEX에 대해서만 다루었기때문에 PARTITION이나 BITMAP같은 다른 구조의 인덱스에서는 다른 특성을 가진다. 그러나 이러한 것은 대용량이나 DW의 특수한 용도에 사용되므로 대부분의 경우에는 고려하지 않아도 크게 문제되지 않을 것이다. 못조록 필자의 글이 독자들에게 도움이되는 길이기를 바라면서 이글을 마무리하고자 한다. 마지막으로 당부 드리고 싶은 말은 SQL을 작성하시고 항상 PLAN을 확인하시기 바랍니다. PLAN에 익숙해지고 OPTIMIZER를 이해할 때 비로소 OPTIMIZER가 여러분의 심부름꾼이 될수 있기때문이다.

해마다 이맘때면 시내 한복판에서 쉽게 구세군들을 만날 수가 있다. 그들이 왜 추운 거리에서 자그마한 정성을 모아 불우한 이웃을 돕자고 열심히 종을 치며 사랑의 모금을 하는지 생각해 볼 필요가 있다. 무엇인가 나눌 것이 있다는 것은 참 행복한 것이다. 어쩌면 손해를 본다는 생각이 들겠지만 조금만 다른 시각에서 바라보면 전혀 다른 행복이 보이기 시작할 것이다.

개발자라면 꾸준히 새로운 지식을 익힐 필요성을 느끼게 될 것이다. 필자가 처음 개발자로 입문을 했을 당시에는 지금처럼 인터넷이 활성화가 안 되어 있던 시절이었고 개발을 하다 막히는 부분이 있으면 하루고 이틀이고 밤을 새워가며 해결하기 위해 끊임없이 원인을 찾기 위해 노력을 해야만 했다.

한번은 문제가 해결될 기미도 안보이고 거의 포기 상태까지 이르렀을 때 같이 일하던 A선배가 비슷한 경험이 있다며 힌트를 주었고, 그로 말미암아 다른 관점에서 접근을 하게 되어 일을 기한에 맞추어 끝냈던 기억이 난다.

반면, 당시 실력은 월등히 좋았지만 옆에서 힘들어 하는 걸 뻔히 보면서도 도움을 주지 않았던 B라는 선배도 있었다. 그 이후에도 A선배는 뛰어난 실력은 아니어도 자신이 알고 있는 것을 정리해서 가끔 필자에게 알려 주었고, 덕분에 다양한 개발 팁을 배우게 되는 등 회사 생활을 하는데 많은 도움을 받았다. B선배의 경우는 어려운 일을 혼자서 다 처리했기에 역시 회사 생활을 하는데 도움을 받은 것은 사실이다.

하지만 A, B선배와는 서로 다른 회사로 옮기면서 확실하게 차이가 벌어지게 되었다. A선배와는 계속 연락하며 지내지만, B선배와는 연락을 하는 일이 전혀 없어진 것이다. A선배와는 왠지 모르는 인간적인 유대가 생겼고 B선배와는 그저 일 때문에 만난 사람이기에 더 이상 관계가 발전되기 힘들기 때문이다. 직장에서 만난 사람들과 오랫동안 서로 알고 지내는 일은 솔직히 좀처럼 쉽지 않다.

실력이 우선시 되는 사회인 것만은 사실이다. 하지만 독불장군처럼 알고 있고 기술을 나눌 줄 모르는 사람이라면 아마도 개발자로서 오랫동안 생활하기에는 어려움이 있을 것이다. 모든 지식을 혼자서 다 익힐 수는 없기 때문이다. 그리고 자기만 알고 있다고 생각하는 신기술 또한 알고 있는 사람이 있기에 자신도 알고 있는 것이고 그렇다면 언젠가는 다른 사람들 또한 알게 될 것이다. 어떤 사람이 그 기술을 공유하려고 할 때 "나도 알고 있는데…" 이런 말을 하게 된다면 한다면 오히려 욕을 먹을지도 모른다.

현재 거의 모든 프로젝트는 여러 사람이 톱니바퀴처럼 딱딱 맞아야 비로소 성공적인 프로젝트로 갈 수 있다. 내가 알고 상대가 모른다면 지식을 공유해야 하는 것이 개발자의 예의라고 생각한다. 기술의 공유에 있어서 지위가 높고 낮음은 없으며, 새로운 지식을 습득하게 되면 다른 사람들과의 공유는 필수이며, 알려주려고 하는 사람을 오히려 잘난 척 한다고 생각하는 사람이 있다면 그 사람은 남보다 발전이 늦을 것이며 그 사람은 왜 쉽게 갈 수 있는 길을 어렵게 돌아가려 하는지 생각해봐야 한다. 사전 정보를 가지고 시작하는 것과 모르고 시작하는 것은 천지차이다.

신기술이나 팁을 공유함으로써 자신에 돌아오는 것이 무엇인가? 그것은 사람이다. 바로 이것이 나누면 행복해지는 이유이다. 나를 인정해주고 어려움이 닥쳐도 함께 해줄 동료가 한 명이라도 있다면 개발자로서 성공한 거라고 생각한다. 이 글을 통해 내가 지금 힘들 때 정말 나를 도와줄 개발자가 몇이나 되고 연락 가능한 사람이 몇이나 되는지 돌아보는 계기가 되었으면 좋겠다.

1. 악성코드의 형태

악성코드는 대부분 스스로 실행 가능한 .exe 형태이거나, 다른 프로세스에 인젝션 되어 실행되는 .dll형태로 존재한다. 이번 칼럼에서는 간단하게 .exe형태의 악성코드를 제거해보도록 하겠다. 왜냐하면 .exe형태의 프로세스가 .dll형태의 악성코드보다 인지하는게 수월하기 때문이다.

2. 유용한 확인/제거 툴

ㄱ. Process Explorer 작업관리자로도 .exe형태의 파일을 볼 수는 있지만, 프로세스명만 나오기 때문에 많이 부족하다.이를 보완해줄수 있는 툴이 Process Explorer이다. 이 툴은 간단하게는 이미지(파일) 경로와 프로세스명, User Name등을 알 수 있으며, 프로세스의 실행, 일시정지, 재실행, 종료등 여러가지 기능을 가지고 있다.

ㄴ. Autoruns 레지스트리를 확인할 수 있는 툴로 부팅시 자동실행되는 파일이나 서비스를 보여준다. 이것을 이용해서 재부팅시 실행되는 악성코드도 확인 할 수 있다.

ㄷ. IceSword / Gmer 루트킷 탐지와 숨겨진 프로세스, 파일 등을 종료시키거나 제거할 때 사용한다.

ㄹ. File Monitor / Registry Monitor 파일이나 레지스트리의 IO를 사람의 눈으로 확인하기가 힘들기 때문에, IO에 대한 로그를 보고IO를 확인하는데 사용한다.

ㅁ. taskkill 하나 이상의 프로세스를 종료하는데 사용하며 여러가지 조건을 줄 수 있다.

3. 악성코드에 감염된 PC를 찾아라

악성코드를 제거하기 위해서는 감염된 PC가 필요한데 실PC가 감염되면 좋을게 하나도 없다. 이럴때 필요한 것이 가상머신인데 VmWare, VirtualPC, VirtualBox등 여러가지가 있다. 자신에게 맞는 가상머신을 설치하고 OS도 설치하여 필요한 툴도 넣고, 마지막으로 스냅샷 등의 복원지점도 설정해놓아야 편안하게 감염 테스트를 할 수 있다.

ㄱ. 필자는 VirtualBox를 이용해 보았으며 툴도 넣어두었고, 복원지점을 위해 스냅샷도 찍어 두었다. 숨길건 없지만, 안개효과를 내주는 Blur 필터를 추가하니 이미지가 멋있어졌다.

ㄴ. 가상머신에 공유폴더를 이용하여 악성코드와 툴을 넣고 File Monitor를 실행해두고, 악성코드인 TEST_MAL.vir.exe를 실행시켰다. 악성코드가 C:\lsass.exe를 생성시키는 것을 알수 있었다.

(설정변경 : 메뉴의 Help밑에 보이는 깔때기 아이콘 실행 -> Highlite에 Write;Delete 추가)

ㄷ. 이제 악성코드는 TEST_MAL.vir.exe와 C:\lsass.exe 두 마리다.

실행중인 악성코드를 보기위해 Process Explorer을 실행시켜 악성코드를 지켜보니 처음에 실행한 악성코드 TEST_MAL.vir.exe와 계속해서 실행/종료를 반복하고 있는 C:\lsass.exe를 확인할 수 있다.

(빨간색 줄은 종료되는 프로세스를, 녹색줄은 이제 막 실행되고 있는 프로세스를, 보라색은 압축되어 있는 프로세스를 나타낸다.)

4. 악성코드 제거하기

이제 감염된 PC가 생겼으니 제거해보자. 원래 쉬운것부터 해나가야 실력이 늘것이고, 주유소 습격사건의 유오성처럼 한 놈만 잡으면 다른것도 응용해서 할 수 있을꺼라 생각한다. 대부분의 악성코드를 직접 감염시켜보는게 아니기 때문에 어떤 프로세스를 종료시켜야 할 지 난감할 것이다. 이 많은 프로세스중에 어떤게 악성코드일까?

ㄱ. 악성코드 의심 대상을 좁혀라.

(Services로 실행되는 악성코드는 예외) Process Explorer가 트리구조로 보여주는 것을 감안하여 Shell로 동작하는 explorer.exe의 자식노드(우측으로 치우친)로 보여지거나, (모니터를 기준으로) explorer.exe의 아래쪽에 존재하는 프로세스들을 자세히 들여다 보자. 이는 우리가 PC에 로그인하여 실행하는 프로그램들은 쉘에서 실행되기 때문이며, 예외적으로 쉘에서 실행된 것중 자식프로세스를 생성하고 죽을경우 Process Explorer는 해당 자식 프로세스를 쉘과 동등한 레벨로 보여주기 때문이다.

(이것은 마치 SI로 추정되는 사람을 특정국가에서 귀국한 사람들로 범위를 좁혀가는 것과 같은 것이다. 하지만 사람은 악성코드가 아니다.)

ㄴ. 하나씩 제외시키면 악성코드가 보인다. 평소에 자신이 많이 보았거나 확실하게 아는 프로세스를 제외해보면 몇 개 안남을 것이다. 지금 같은 경우는 TEST_MAL.vir.exe와 실행/종료를 반복하는 lsass.exe만 눈에 띄게 이상하다. ㄷ. 의심되는 프로세스를 찾았다. 정말 악성코드일까?

- 백신업체에 해당 파일을 압축암호와 함께 압축하여 신고

=> 악성코드의 신고접수는 자신뿐 아니라 많은 백신 이용자들이 PC를 쾌적하고 안전하게 사용할 수 있게 해준다. 많은분들이 계속해서 신고해준다면 더 좋아지지 않을까?

- 각 백신업체의 홈페이지에서 무료로 검사해 볼 수 있다.

- 여러 백신업체의 스캐너로 악성코드를 무료로 검사해준다.

=> http://www.virustotal.com/ko

=> http://virscan.org

ㄹ. 확신이 섰다면 악성코드를 종료하자. 실행중인 악성코드를 종료하기 위해 Process Explorer에서 해당 악성코드를 선택하여 마우스 우측버튼을 누르면 나오는 메뉴중 [Kill Process] 를 선택하면 해당 프로세스가 종료되고, [Kill Process Tree]를 선택하면 해당 프로세스 및 해당 프로세스의 자식 프로세스까지 같이 종료된다. - TEST_MAL.vir.exe, lsass.exe -> 마우스 우측버튼 -> Kill Process/Kill Process Tree

ㅁ. 어라.. 아직 남았네.

Process Explorer로 TEST_MAL.vir.exe는 종료되었지만, 실행/종료를 반복중인 lsass.exe는 끄떡도 안한다. 일반적인 바이러스의 경우 Process Explorer, IceSword, Gmer, 추가적으로 Autoruns면 끝을 보는데 실행/종료를 반복하는 악성코드의 경우는 이것들로 해결이 되지 않을 수 있다.

[시도-1] IceSword로 Process를 종료해보자.

(생성/종료를 반복하기 때문에 안보일때도 있음) 왼쪽메뉴 Function/Registry/File중 Function을 선택한 뒤 Process를 선택하면 실행중인 프로세스의 PathName과 ImageName를 확인할 수 있다. 마우스 우측버튼으로 선택해서 Terminate Process를 누르면 종료해보자. 종료된 것 처럼 보였지만, 여전히 프로세스 생성/종료를 반복하고 있다. 실패!!

[시도-2] 실패했다. 그러면 IceSword로 파일을 지워보자.

왼쪽메뉴 Function/Registry/File중 File을 선택하여 C드라이브를 선택하면 lsass.exe가 보이므로 해당 악성코드를 선택하여 [Delete]/[force delete]해보자. 지워진것 처럼 보이지만 Process Explorer에서는 여전히 실행/종료를 반복하고 있다. 실패!!

[시도-3] Gmer로 프로세스를 종료해보자.

(생성/종료를 반복하기 때문에 선택안됨) Gmer를 실행시키고 맨위의 메뉴 [Rootkit/Malware]/[>>>>]중 >>>>를 선택하면 아래와 같은 메뉴가 나온다. 그중 첫번째에 있는 Process를 선택하여 [Kill Process]하려 하였으나 선택이 안된다. 실패!!

[시도-4] Gmer로 파일을 파일을 지워보자.

메뉴중 [File]를 선택하여 C드라이브에 존재하는 lsass.exe를 선택하여 [Delete]를 누르면 제거되지만 다른 폴더를 억세스후 다시 확인해보면 그대로다. 실패!! [File]메뉴에도 [Kill]이 존재하여 종료해보니 성공 반!! 실패 반!! 이었다.

ㅂ. 왜 안되는지 문제점을 파악하자.

Process Explorer, IceSword의 문제는 실행/종료가 반복되는 해당 프로세스에 대한 종료를 하려 하면 이미 해당 프로세스의 ID(=PID)는 이미 사라지고 다른 PID가 생성되면서 딜레이가 발생해서 인것으로 추정되었다. 즉 툴이 보여주는 프로세스와 현재 실행중인 프로세스에 차이가 발생해서 종료가 불가능 했던 것이며, Gmer의 경우 성공 반!! / 실패 반!! 이 가능했던 이유는 변하지 않는 않는 파일쪽에서 [Kill]명령을 내려서 인것으로 추정되었다. 한 두번 하면 성공!!

ㅅ. 위의 방법만으로만 해결이 가능한 것일까? 좀더 쉬운 방법은 없을까?

여러가지 조건을 걸어줄 수 있는 Taskkill이 가능 했었다. 아래의 Process Explorer을 보면 정상 lsass.exe와 악성 lsass.exe의 차이를 찾아서 조건부 Kill을 하면 되는 것이었다. Process Explorer의 숨겨진 컬럼을 추가하여 보자.

a. View -> Select Columns선택

b. Process Image에서 User Name, command Line를 체크해준다.

c. 아래의 컬럼이 추가된 Process Explorer을 보면 User Name이 다른 것을 알수 있다.

<<사용된 명령어>> Taskkill /f /fi “username eq pcname” /im lsass.exe

휴.. 해결되었다.. 처음엔 쉬운걸 선택한줄 알았는데, 의외로 까다로운 악성코드였다. 이번 악성코드는 좀 방황했지만, 대부분 Process Explorer에서 프로세스를 종료하고 IceSword나 Gmer로 파일을 지우면 대부분 해결된다. 이제 악성코드라고 멀리하지 말고 가끔은 자신의 힘으로 악성코드를 제거해보는건 어떨까 한다. 물론 가끔이다.