기본 콘텐츠로 건너뛰기

회사 컴퓨터가 주말에 혼자 켜졌다 좀비PC 원인과 복구 방법, 디자이너 PC라면 더 위험한 이유

회사 컴퓨터가 주말에 혼자 켜졌다 좀비PC 원인과 복구 방법, 디자이너 PC라면 더 위험한 이유

주말에 출근도 하지 않았는데 회사 컴퓨터가 혼자 켜져 있고, CPU 사용률이 100% 가까이 치솟고, 그래픽카드 사용량까지 평소와 다르게 올라가고, 심지어 다른 PC로 원격 접속을 시도한 흔적까지 보였다면 그냥 느려진 PC 정도로 넘기면 안 됩니다. 저는 이런 상황이면 먼저 좀비PC원격 제어형 악성코드 감염부터 의심하는 편입니다.


특히 디자이너가 쓰는 PC는 위험한 유혹이 많습니다. 포토샵, 일러스트레이터, 3D 툴, 영상 편집 툴, 유료 플러그인, 폰트팩, 렌더러처럼 가격이 높은 프로그램이 많다 보니 토렌트, 크랙, 키젠, 포터블 설치본, 패치 파일을 찾게 되는 경우가 있습니다. 문제는 그 순간부터 프로그램이 아니라 악성코드 운반 파일을 같이 들여올 가능성이 커진다는 점입니다.

겉으로 보기에는 “정품 인증 우회 파일”처럼 보여도 실제로는 로더, RAT, 스틸러, 크립토마이너, 랜섬웨어 같은 악성코드가 함께 들어오는 경우가 있습니다.

 그래서 설치 직후에는 멀쩡해 보여도, 며칠 뒤 CPU와 GPU를 몰래 쓰거나, 브라우저 저장 계정과 쿠키를 빼가거나, 사내 다른 PC로 이동을 시도하는 식으로 증상이 나타날 수 있습니다.

좀비PC란 무엇인가

좀비PC는 쉽게 말해 내 컴퓨터인데 내가 아니라 외부 공격자가 뒤에서 쓰는 상태입니다.

사용자는 평범한 업무용 PC라고 생각하지만, 실제로는 백그라운드에서 명령을 받아 스팸을 보내거나, 계정을 훔치거나, 다른 장비를 탐색하거나, CPU와 GPU를 끌어다 쓰는 경우가 있습니다.

회사 PC가 좀비PC가 되면 개인 PC보다 더 위험합니다. 내 문서만 문제가 되는 게 아니라 회사 메일, 클라우드, 디자인 소스, 공유 폴더, 사내 다른 컴퓨터, 파일 서버까지 같이 위험해질 수 있기 때문입니다.

이런 증상이 같이 보이면 위험 신호입니다

보인 증상 의심되는 의미 왜 위험한지
주말에 PC가 혼자 켜짐 절전 해제, WOL, 예약 작업, 원격 관리, 이상 동작 원격 사용 흔적과 겹치면 그냥 넘기면 안 됩니다
CPU 100% 채굴, 대량 압축 해제, 자동 실행 악성 작업 업무 자원을 외부 작업에 쓰고 있을 수 있습니다
그래픽카드 사용량 상승 크립토마이너, 원격 화면 처리, 수상한 렌더링 작업 디자인 작업을 안 하는데 GPU가 튀면 의심할 만합니다
다른 PC 접속 시도 자격 증명 탈취 후 내부 이동 시도 한 대 문제가 아니라 회사 전체 문제로 번질 수 있습니다
모르는 프로세스 자동실행 지속성 등록 재부팅해도 다시 살아날 수 있습니다
팬소음과 발열 증가 숨겨진 연산 또는 네트워크 작업 사용자가 가만히 있어도 자원이 계속 소모됩니다

왜 이런 일이 생겼을까

정확한 원인은 로그와 탐지 결과를 봐야 알 수 있습니다. 

다만 질문처럼 토렌트로 받은 디자인 프로그램, 크랙 패치 파일, 키젠, 포터블 버전, 무료 플러그인 번들, 폰트 압축 파일은 가장 먼저 의심할 만한 경로입니다.

특히 디자이너는 업무 특성상 실행 파일을 많이 만집니다. 설치 파일처럼 보이지만 실제로는 배치 파일, PowerShell 스크립트, DLL 교체 파일, 가짜 업데이트 실행기가 섞여 있을 수 있습니다. 이때 백신 예외를 직접 추가하게 유도하는 설치본은 더 위험합니다. 그 순간부터 사용자가 악성코드 실행을 직접 허용해 준 것과 비슷해지기 때문입니다.

어디서 감염됐을 가능성이 클까

  • 토렌트 설치 파일과 함께 받은 크랙, 패치, 키젠
  • 공식 사이트처럼 보이는 가짜 다운로드 페이지
  • 협업 메일 첨부파일로 온 시안, 폰트, 템플릿, 견적서
  • 이미 감염된 다른 사내 PC에서 공유 폴더나 원격 도구를 통해 이동

질문처럼 다른 PC로 접속 시도가 보였다면, 이미 저장된 계정 정보나 관리자 권한을 바탕으로 사내 네트워크 안을 훑고 있었을 가능성도 같이 봐야 합니다.

회사 PC라면 가장 먼저 해야 할 일

  1. 네트워크를 먼저 끊습니다.
    랜선을 뽑고 와이파이를 끄는 것이 우선입니다.
  2. 감염된 PC에서 더 이상 로그인하지 않습니다.
    메일, 회사 그룹웨어, 브라우저, 디자인 툴 계정 모두 포함입니다.
  3. 깨끗한 다른 기기에서 비밀번호를 바꿉니다.
    회사 계정, 메일, 클라우드, 금융, 브라우저 저장 계정을 먼저 바꾸는 편이 안전합니다.
  4. 사내 IT 담당자나 관리자에게 바로 알립니다.
    회사 PC는 혼자 정리하다가 더 큰 문제로 번질 수 있습니다.
  5. 공유 폴더와 다른 PC도 같이 점검합니다.
    이미 내부 이동이 시작됐을 수 있기 때문입니다.

치료 전에 하지 말아야 할 행동

  • 감염된 PC에서 바로 비밀번호를 바꾸는 행동
  • 정체 모르는 프로세스를 무턱대고 전부 삭제하는 행동
  • 정리되지 않은 상태에서 USB로 파일을 여기저기 옮기는 행동
  • 회사 PC인데 개인 PC처럼 혼자만 보고 끝내는 행동

복구에 실제로 쓸 수 있는 도구

1. Windows Security 확인

가장 먼저 현재 어떤 백신이 실제로 동작 중인지 확인합니다. 회사 PC는 Defender가 비활성 상태이거나, 다른 보안 제품이 기본 백신 역할을 하고 있는 경우도 있습니다.

2. Microsoft Defender Offline

부팅 후 숨으려는 악성코드나 자동실행으로 버티는 감염은 일반 실시간 검사만으로 놓칠 수 있습니다. 그래서 이런 상황이면 Microsoft Defender Offline을 먼저 돌리는 편이 좋습니다. 재부팅 후 일반 Windows 환경 바깥에서 검사하므로 숨는 악성코드 대응에 유리합니다.

3. Microsoft Safety Scanner

Microsoft Safety Scanner는 수동으로 내려받아 바로 실행하는 단발성 검사 도구입니다. 오프라인 검사 뒤에 한 번 더 확인하는 용도로 쓰기 좋습니다.

4. Autoruns

Autoruns는 자동 실행 위치를 폭넓게 보여주는 도구입니다. 재부팅 때마다 다시 살아나는 악성코드는 거의 예외 없이 자동실행 흔적을 남기기 때문에, 감염 흔적을 찾을 때 유용합니다.

5. Process Explorer

Process Explorer는 어떤 프로세스가 CPU를 많이 쓰는지, 어디서 실행됐는지, 어떤 DLL을 물고 있는지를 더 자세히 볼 수 있습니다. 정상 프로그램 이름을 흉내 낸 수상한 프로세스를 찾을 때 도움이 됩니다.

6. Process Monitor

Process Monitor는 파일, 레지스트리, 프로세스 활동을 실시간으로 보여줍니다. 자동실행 항목이나 수상한 경로 접근을 좁혀갈 때 유용합니다.

7. TCPView

TCPView는 어떤 프로세스가 어떤 로컬 주소와 원격 주소에 연결돼 있는지 보여줍니다. 다른 사내 PC로 접속 시도가 있었던 경우라면 꼭 확인할 만한 도구입니다.

도구 다운로드 링크

가장 현실적인 복구 순서

  1. 랜선과 와이파이를 먼저 끊습니다.
  2. 깨끗한 다른 기기에서 비밀번호를 바꿉니다.
  3. Windows Security 상태를 확인합니다.
  4. Microsoft Defender Offline 검사를 먼저 돌립니다.
  5. 그 다음 Microsoft Safety Scanner로 한 번 더 봅니다.
  6. Autoruns, Process Explorer, TCPView로 자동실행, 프로세스, 연결 흔적을 같이 확인합니다.
  7. 중요 문서는 보수적으로 백업하되, 실행 파일과 스크립트류는 함부로 옮기지 않습니다.
  8. 회사 PC인데 다른 장비로 이동 정황이 있었다면 재설치나 표준 이미지 복구까지 적극 검토합니다.

개인 PC라면 백신 한 번 돌리고 써볼까 고민할 수도 있습니다. 하지만 회사 PC는 다릅니다. 다른 PC 접속 시도가 있었다면 저는 “겉으로 조용해졌다”는 이유만으로 안심하지 않는 편입니다.

주말에 켜진 이유가 정말 악성코드였을까

여기서 한 번은 따로 구분해서 봐야 합니다. 주말에 PC가 켜진 이유감염된 이유는 같은 문제가 아닐 수 있습니다. PC가 완전 종료가 아니라 절전이나 최대절전 상태였다면, WOL, wake timer, Windows 유지 관리로도 깨어날 수 있습니다.

그래서 관리자 권한 명령 프롬프트에서 아래 명령으로 확인해 보는 편이 좋습니다.

powercfg /lastwake
powercfg /waketimers
powercfg /devicequery wake_armed

/lastwake는 마지막 절전 해제 원인을 보여주고, /waketimers는 현재 활성화된 깨우기 예약을 보여주며, /devicequery wake_armed는 절전을 깨울 수 있도록 허용된 장치를 보여줍니다.

WOL 확인 방법

  • BIOS 또는 UEFI에서 Wake on LAN, Power On By PCI-E, Resume by LAN 같은 항목이 켜져 있는지 확인합니다.
  • 윈도우 장치 관리자에서 유선 랜카드 전원 관리 항목의 이 장치가 컴퓨터를 깨울 수 있음이 켜져 있는지 봅니다.
  • 공유기에 예전에 잡아둔 WOL 포트포워딩, DDNS, 원격 앱 설정이 남아 있는지도 확인합니다.
  • 회사에서 원격 관리 솔루션을 쓰고 있었다면 해당 정책도 같이 봅니다.

즉, 주말에 혼자 켜졌다고 해서 무조건 악성코드가 전원을 넣었다고 볼 수는 없습니다. 다만 켜진 뒤 CPU와 GPU를 비정상적으로 쓰고, 다른 PC 접속 시도까지 있었다면 그건 별개의 감염 문제로 같이 대응해야 합니다.

복구 관련 글 함께 보기

정리

회사에서 쓰던 컴퓨터가 주말에 혼자 켜지고, CPU가 100%까지 치솟고, 그래픽카드 사용량까지 오르고, 다른 PC 접속 시도까지 있었다면 저는 먼저 좀비PC 또는 그에 준하는 보안 사고로 봅니다. 특히 토렌트나 크랙판 디자인 프로그램을 최근에 만졌다면 감염 경로로 가장 먼저 의심하는 편이 맞습니다.

대응은 단순합니다. 끊고, 계정을 보호하고, 오프라인 검사하고, 자동실행과 네트워크 흔적을 확인한 뒤, 회사 PC라면 재설치까지 포함해 판단하는 것입니다. 그리고 주말에 켜진 이유는 감염과 별개로 WOL과 wake timer까지 같이 봐야 정확합니다.

라벨:

댓글

댓글 쓰기

이 블로그의 인기 게시물

삼성 제품 시리얼번호로 제조일자 확인하는 방법

  삼성 제품 시리얼번호로 제조일자 확인하는 방법 (자세한 설명) 시리얼번호는 단순한 제품 식별번호 이상의 정보를 담고 있습니다. 제조 국가, 공장, 생산 라인, 그리고 제조 연월일 까지도 알 수 있는데요. 특히 삼성 제품 의 경우, 시리얼번호만으로도 제조일자를 확인할 수 있는 규칙이 존재합니다. 이번 글에서는 삼성 복합기 를 중심으로 시리얼번호 해석법을 자세히 설명하겠습니다. Tip: 삼성 외 다른 제조사의 제품들도 비슷한 방식으로 시리얼번호를 구성하는 경우가 많으니 참고하세요! 📌 삼성 복합기 시리얼번호 구성 삼성 복합기의 시리얼번호는 총 15자리 로 구성되어 있으며, 각 자리에 특정한 의미가 담겨 있습니다. ✅ 시리얼번호 자리별 의미 자리 내용 예시 (SCX-8128 기준) 1~4 모델 코드 Z8D4 5 제품군 코드 B (프린터) 6~7 생산 공장 및 라인 정보 (공장에 따라 다름) 8 생산년도 코드 C 9 생산월 코드 8 10~14 일련번호 (제품별 상이) 15 위조방지용 체크 디지트 (알고리즘 적용) 📆 생산년도 확인 방법 시리얼번호의 8번째 자리 가 바로 생산년도 를 의미합니다. 다만, 한 자리로 광범위한 연도를 표현해야 하기 때문에 알파벳 코드 를 사용하며, 이 코드는 20년 주기 로 순환됩니다. 🎯 생산년도 코드표 (삼성 기준) 코드 연도 (1차 순환) 연도 (2차 순환) A 1991 2011 B 1992 2012 C 1993 2013 D 1994 2014 E 1995 2015 F 1996 2016 G 1997 2017 H 1998 2018 J 1999 2019 K 2000 2020 L 2001 2021 M 2002 2022 N 2003 2023 P 2004 2024 Q 2005 20...
댓글 쓰기
자세한 내용 보기

2026년 민방위 사이버 교육 문제 & 정답 총정리

  🛡️ 2026년 민방위 사이버 교육 문제 & 정답 총정리 🗓️ 교육 개요 대상: 3~4년차(2시간), 5년차 이상(1시간) 사이버교육 이수 방식: 동영상 수강 후 20문항 평가(70점 이상, 14문제 정답 이상) 응시 횟수: 불합격 시 재도전 가능(몇 회든 OK) ​   ​ ✅ 2026년 민방위 사이버 교육 문제 및 정답 모음 (최종) ​ 문제 1.  다음 중 민방위대 분대 편제에 해당하지 않는 것은? 정답 : 4. 적 침투 부대. ​ 문제 2.  다음 중 민방위사태에 해당하는 것은? 정답 : 1. 전시 사변에 이에 준하는 사태. ​ 문제 3. 다음에서 직장민방위 대장으로 지정된 사람은? 정답 : 1. 직장인의 대표자 또는 대표자가 지정한 사람. ​ 문제 4. 다음 중 민방위 단위다 중 분대의 설명으로 맞지 않는 것은? 정답 : 2. 분대원의 임무와 역할이 없다. ​ 문제 5. 다음 중 화생방 사태 설명으로 옳지 않은 것은? 정답 4. 탄저균, 천연두와 같은 병원체를 살 표하는 것은 핵 공격이다. ​ 문제 6. 다음 중 완강기에 대한 설명으로 적절한 것은? 정답 : 3. 사용자가 교대하여 연속적으로 사용할 수 있다. ​ ​ 문제 8. 다음 중 화재 시 행동요령으로 적절하지 않은 것은? 정답 : 1. 화재 시 완강기를 사용해서는 안 된다. ​ 문제 9. 다음 중 화생방 경보 시 국민 행동 요령으로 적절하지 않은 것은? 정답 : 4. 가족과 외출하기 ​ 문제 10. 다음 중 인명 구조에 대한 설명 중 적합하지 않는 것은? 정답 : 2. 자신의 안전은 전혀 중요하지 않다. ​ 문제 11. 다음 중 지진 해야 일이 발생 시 민방위대원의 임무와 역할로 적절한 것은? 정답 : 1. 노약자와 어린이를 우선 안전지대로 대피시킨다. ​ 문제 12. 다음 중 태풍이나 집중호우 시 해야 할 행동이 아닌 것은? 정답 : 3. 논둑이나 물꼬를 보러 나간다. ​ 문제 13. 다음 중 폭발물 의심 물품 발견 시 행동요령으로 적절하지 않은 ...
댓글 쓰기
자세한 내용 보기

📱 아이폰 16 DFU 공장 초기화 및 벽돌 복구 가이드

 아이폰 16 사용 중에 갑자기 부팅이 안되거나 , 무한 재부팅(bootloop) , 또는 **벽돌 현상(Bricked)**이 발생할 수 있습니다. 또한, 루팅(Jailbreak) 시도 후 시스템 오류가 생기는 경우도 있습니다. 이러한 상황에서 DFU(디바이스 펌웨어 업데이트) 모드를 통해 공장 초기화를 진행하면 대부분의 문제를 해결할 수 있습니다. 아이폰16을 DFU 모드로 초기화 하는 방법과 루팅 또는 벽돌 상태에서 복구하는 방법, 그리고 초기화 후 발생할 수 있는 문제 해결법을 포함하고 있습니다. ⚡ 아이폰 벽돌(Bricked) 및 부팅 불가 원인 iOS 업데이트 실패 펌웨어 업데이트 도중 오류 발생 시 벽돌 현상이 발생할 수 있습니다. 루팅(Jailbreak) 시도 실패 탈옥 과정에서 시스템 파일이 손상되면 아이폰이 부팅되지 않거나 무한 부팅 루프에 빠질 수 있습니다. 불완전한 초기화 또는 복원 iOS 복원 과정에서 오류가 발생하면 부팅이 되지 않는 문제가 생길 수 있습니다. 하드웨어 결함 물리적 손상(충격, 침수 등)으로 인해 부팅이 되지 않는 경우도 있습니다. 🔄 아이폰 16 DFU 공장 초기화 방법 (벽돌 및 루팅 복구용) DFU 모드 는 아이폰을 펌웨어 레벨까지 초기화할 수 있는 가장 강력한 복원 모드입니다.  벽돌 , 루팅 실패 , 부팅 불가 문제 해결에 적합합니다. ✅ 초기화 전 준비사항 최신 iTunes 또는 Finder 설치 Mac (macOS Catalina 이상) : Finder 사용 Mac (macOS Mojave 이하) 또는 Windows PC : iTunes 사용 정품 USB 케이블 사용 비정품 케이블 사용 시 DFU 인식 오류가 발생할 수 있습니다. 데이터 백업 (가능할 경우) 벽돌 상태가 아니라면, iTunes 또는 iCloud로 데이터를 백업하세요. 🚀 DFU 모드 진입 방법 (아이폰 16) 아이폰 16을 컴퓨터에 연결 정품 라이트닝 케이블을 사용하세요. 아이폰을 DFU 모드로 진입 볼륨 업 버튼...
댓글 쓰기
자세한 내용 보기