악성코드(Malicious Code)
악성코드는 악의적인 목적을 가지고 있는 소프트웨어를 총칭이다. (‘악성 프로그램’, ‘악성 소프트웨어’, ‘Malware’)
- 악성코드의 유형
1) 다른 프로그램에 기생하여 작동하는 ‘바이러스’
2) 스스로 자기 복제하는 ‘웜’
3) 정상적인 프로그램인 것처럼 위장하며 자기 증식은 하지 않는 ‘트로이목마’
4) 광고를 목적으로 실행되는 ‘애드웨어’
5) 정보를 훔쳐 가는 ‘스파이웨어’
6) 사용자의 데이터를 암호화 시켜 인질 삼아 금전을 요구하는 ‘랜섬웨어’
이 외에도 다양한 유형이 존재하며 악성코드들은 보통 하나의 특징만 갖지 않고 여러 특징을 복합적으로 가진다.
바이러스(Virus)
바이러스는 프로그램이나 실행 가능한 부분을 변형, 자신 또는 자신의 변형을 복사하는 명령어들의 조합이라고 정의된다.
1. 특징
- 컴퓨터 프로그램에 잠입하여 동작.
- 자신 또는 자신의 변형을 복사.
- 다른 프로그램에 기생하지 않고서 다른 PC를 감염시키지는 못함.
2. 대표적인 사례
- 브레인바이러스
1) 목적: 프로그래머 형제가 자신들의 프로그램 불법복제 사용자들에게 피해를 주기 위해 개발.
2) 360KB 디스켓을 감염시키는 바이러스. 디스켓의 부트 영역을 감염시켜 부팅을 방해.
3) 일반인에게 바이러스란 존재가 처음으로 알려지는 계기가 됨.
웜(Worm)
웜은 다른 프로그램의 감염 없이 자신 혹은 변형된 자신을 복사하는 명령어들의 조합이라고 정의된다.
1. 특징
- 컴퓨터 바이러스와 달리 다른 대상에 기생하지 않음.
- 자신을 레지스트리에 등록하거나 복사본을 생성하여 전파하는 등의 독자적으로 실행.
- 이메일에 첨부, P2P 파일 공유, 프로그램 보안 취약점, 네트워크 공유 기능 등을 이용, 스스로 증식하여 확산.
- 감염 시 네트워크를 단절시키는 게 제일 우선.
2. 대표적인 사례
- 슬래머 웜(SQL Slammer)
1) 다양한 인터넷 호스트에 서비스 거부 공격(DoS)을 실시하는 웜.
2) 개인 컴퓨터보다는 네트워크에 더 위협적인 웜.
3) 2003년 등장해 10분 만에 7만 5,000대의 컴퓨터를 감염시킬 정도로 확산속도가 빨랐음.
4) 이메일이나 메신저로 전파되던 기존 웜과는 달리, 시스템의 취약점이 발견되자마자 웜 코드가 실행.
5) 보안 패치를 실시할 시간적 여유가 없어 피해 규모가 커질 수밖에 없었음.
6) 특히 국내에서 1.25 인터넷 대란을 일으키며 큰 피해를 입힘.
트로이목마(Trojan Horse)
트로이목마는 자기 자신을 복사하지는 않으며 정상 파일로 위장한 명령어들의 조합이라고 정의된다.
1. 특징
- 고의로 포함시켰다는 점에서 프로그램의 Bug(버그)와 다름.
- 자신을 복사하지 않음.
- 정상적인 프로그램을 가장하여 사용자가 의도하지 않은 기능을 수행하게 함.
- 대부분의 악성코드가 가지고 있는 특징 중 하나.
2. 대표적인 사례
- 백오리피스(Back Orifice)
1) 윈도우의 허점을 공략하여 CDC라는 해커그룹이 개발해 낸 해킹 툴.
2) 1998년 해커들의 연례행사인 데프콘(DEFCON)을 통해 처음 공개.
3) 원격 시스템에 접속해 사용자 모르게 정보를 빼내고 시스템 명령어를 수행하는 등 해킹 기능을 제공.
애드웨어(Adware)
애드웨어는 악성코드의 일종으로 사용자 정보는 빼내어가지 않고 광고만 보여주는 프로그램이다.
1. 특징
- 무분별한 팝업 광고로 정상적인 사용을 불가능하게 할 수 있음.
- 인터넷 브라우저 시작 페이지를 고정해 사용자의 인터넷 이용을 불편하게 하는 경우 있음.
- 사용자의 동의를 구한다는 점에서 스파이웨어와 구별됨.
- 사용자 모르게 스파이웨어 등이 있을 수 있으므로 컴퓨터 안전과 프라이버시 면에서 주의가 필요.
2. 대표적인 사례
- ‘오소프트’의 스폰서 프로그램 ‘BRTSvc’
1) 2017년 12월 ‘VirtualDVD’의 업데이트를 통해 비트코인 채굴 프로그램인 ‘BRTSvc’를 스폰서 프로그램으로 함께 설치하도록 함.
스파이웨어(Spyware)
스파이웨어는 사용자의 동의 없이 설치되어 컴퓨터의 정보를 수집하고 전송하는 악성 소프트웨어이다.
1. 특징
- 금융 정보 및 신상정보, 암호를 비롯한 각종 정보를 수집.
- 광고를 위한 애드웨어와 달리 정보를 유출시키기 위한 행위를 가지고 있는 특징이 있음.
2. 대표적인 사례
- 룩투미(Look2Me), 크립터(Crypter)
1) 2006년 상반기에 큰 피해를 입힌 스파이웨어.
2) 다운로더에 의해 설치되고, 윈로그온 노티피케이션(Winlogon notification) DLL을 사용해 시작 프로그램으로 등록.
- 2005년 소니의 일부 음악 CD의 DRM 모듈에 사용된 루트킷
1) 사용자 동의 없이 설치되어 파문을 일으키기도 했음.
2) 이 루트킷은 설치된 시스템에서 어떤 일을 하는지에 대해 설명이 충분치 않았고, 제거 방법도 제공하지 않아 여러 안티스파이웨어 업체에서 스파이웨어로 진단함.
랜섬웨어(Ransomware)
랜섬웨어는 시스템을 잠그거나 데이터를 암호화한 뒤, 이를 풀어주는 대가로 금전을 요구하는 악성 프로그램이다.
1. 특징
- 랜섬웨어 초기에는 공격자가 걸어 놓은 암호화 수준이 낮아 복호화로 데이터 복구하는 것이 가능했음.
- 비트코인 등장 그 이후, 강력한 암호화 알고리즘으로 파일을 암호화하는 ‘크립토락커’ 등장.
- 요구하는 대가도 비트코인으로 받아서 범인 추적이 어려움. (크립토락커 외에도 다양한 종류의 랜섬웨어 존재)
- 공격자가 요구하는 대가를 지불하더라도 데이터 복구 위한 키 값, 프로그램 등을 제공해 주는 경우는 거의 없음.
- 랜섬웨어 감염 시 데이터 복구 확률이 매우 낮기 때문에 백업, 중요 파일 별도 보관 등 예방을 하는 것이 최선.
2. 대표적인 사례
- 테슬라크립트
1) 2015년 국내에 많이 유포된 랜섬웨어.
2) 취약한 웹페이지 접속 및 이메일 내 첨부파일 등을 통해 퍼짐.
3) 파일 확장자를 ‘ecc’, ‘micr’ 등으로 변경함.
4) 드라이브 이름과 상관없이 고정식 드라이브만을 감염 대상으로 지정함.