College Of Engineering
서울공대 이야기

악성 코드의 종류와 현황, 전망

2004.07.14 03:31

lee496 조회 수:3809

악성 코드의 종류와 현황, 전망

자료 : 안철수연구소 www.ahnlab.com

 

악성 코드의 정의와 종류

바이러스

컴퓨터 바이러스는 일종의 프로그램으로 다른 프로그램들과 달리 사용자 몰래 자신을 다론 곳에 복사하는 명령어를 가지고 있다. 바이러스라는 이름이 붙은 이유는 생물학적인 바이러스가 자신을 복제하는 유전인자를 가지고 있는 것처럼 컴퓨터 바이러스도 자신을 복사하는 명령어들을 가지고 있기 때문이다. 따라서 컴퓨터 바이러스라는 말보다는 바이러스 프로그램이라는 말이 더 정확한 표현이라고 할 수 있다.

 

또한 컴퓨터 바이러스는 자기 복제 능력 외에도 실제 바이러스와 같이 부작용(side effect)를 가지고 있는 경우가 많다. 이러한 부작용은 컴퓨터를 느리게 하는 경우도 있지만 때로는 파일에 손상을 주거나 하드 자체를 사용하지 못하도록 하는 경우도 있다.

 

바이러스의 경우 자기 복제 능력을 가지며 감염 대상 코드의 실행 구조를 변경하거나 내부 구조를 변경하여 대상 코드의 수행 전후에 바이러스가 실행될 수 있도록 변경하는 코드들의 집합을 가진다. 바이러스의 경우 부작용을 가질 수 있는데 이러한 부작용은 메시지 출력, C-MOS 메모리 데이터 삭제로부터 하드디스크 정보 파괴, 플래시메모리 정보 파괴등으로 피해 규모가 커지고 있다.

 

(Brain), 절반(One_half), 알트엑스(Alt-X), 시스터보(SysTurbo), 에볼라(Ebola), 라루(XM/Laroux)등 다수가 있으며 CIH도 이에 포함된다.

 

웜 프로그램은 과거 70년대 대형 컴퓨터 등에서 다른 곳에 복사하지는 않고 기억장소에서 자기 복제를 하는 프로그램을 말했다. 그러나 근래에는 실행 코드 자체로 번식하는 유형을 말하며 주로 PC상에서 실행되는 것을 의미한다. 따라서 본고는 PC상에서 정의되는 웜만을 제한적으로 다룬다.

 

웜과 바이러스의 큰 차이점은 감염 대상을 가지고 있는가에 따라 구분된다. 즉 바이러스는 어떤 감염 대상을 가지고 있지만 웜은 감염 대상을 가지지 않는다.

 

국내에 발견된 웜은 I-Worm/Happy99, I-Worm/ExploreZIP, I-Worm/PrettyPark 등이다.

웜은 전염된다는 속성은 바이러스와 같지만 감염 대상(파일이나 특정 부트 영역)이 없다는 점에서 차이가 있다. 원래 웜은 70년대 대형 컴퓨터 등에서 다른 곳으로 복사하지는 않고 기억장소에서 자기 복제를 하는 프로그램을 일컬었지만 최근에는 자체 번식하는 프로그램을 일컫는 말로 통용되고 있다.

 

특히 인터넷 웜은 보통 웜과 다르게 인터넷의 E-mail 기능을 이용한다. 1999년 1월초 발견된 I-Worm/Happy99의 경우 감염된 컴퓨터에서 메일을 보낼 경우 HAPPY99.EXE를 함께 첨부해서 보내고 메일을 받은 사람이 HAPPY99.EXE를 실행하면 그 사람 역시 웜을 퍼뜨리는 보균자가 된다. 크게 보면 웜 프로그램의 한 종류이긴 하지만 E-mail을 전파의 경로로 이용하는 점이 특이하다. 최근 이슈가 되었던 웜으로는 Navidad, Code_Red, Nimda 등이 있다.

 

트로이목마

트로이목마는 시스템에 부작용을 일으킨다는 점에서 바이러스와 공통적이지만 전염은 되지 않는 실행 파일이다. 바이러스가 유행하기 이전부터 존재했으며 현재까지 수많은 트로이목마들이 발견되었다.

 

악의적 목적으로 제작되며 바이러스와 달리 자기 복제 능력이 없으며 악의의 기능을 가지는 코드를 유틸리티 프로그램에 내장하여 배포하거나 그 자체를 유틸리티 프로그램으로 위장하여 배포하게되며 특정한 환경이나 조건 혹은 배포자의 의도에 따른 사용자의 정보 유출이나 자료 파괴와 같은 피해를 준다.

 

예전에는 보통 실행하면 하드 디스크를 포맷하는 등의 파괴적인 일을 하지만, 최근의 트로이목마들은 단순히 시스템을 파괴하는 것보다 ‘Back Door’라고 해서 정보를 빼오는 프로그램이 많아졌다. 대표적인 예로 백오리피스는 상대 PC를 내 PC처럼 작동할 수 있게 하고, 에코키스나 넷버스는 키보드 입력 값을 특정 IP 주소로 전송해 사용자가 사이버 뱅킹 등을 이용할 경우 개인 정보가 유출되게 한다.

 

최근에는 상대방 컴퓨터의 정보를 유출하기 위한 목적으로 사용되며 Win-Trojan/Back_Orifice, Win-Trojan/SubSeven등, Win-Trojan/Ecokys가 대표적이다.

 

악성 코드의 최근 추세

-감염 방법이 지능화하고 있다. 예전에는 사용자가 악성 프로그램을 실행해야 감염이 되었는데 아웃룩의 취약점으로 인해 메일을 읽기만 해도 감염되는 웜이 등장하더니 이제는 메일을 읽거나 파일을 실행하는 등의 행위를 하지 않아도 인터넷에 연결만 되어 있으면 보안 취약점을 통해 웜의 공격이 들어오는 정도로 진화한 상태이다. 그 대표적인 경우가 블래스터(Blaster), 아고보트(AgoBot), 새서(Sasser) 웜 등이다.

 

-컴퓨터 바이러스 기술과 해킹 기술의 결합이다. 이로 인해 네트워크에 연결된 컴퓨터들을 능동적으로 침입하고 증식할 수 있게 되었으며, 공격당한 컴퓨터를 근거지로 이용하여 다시 다른 컴퓨터들을 공격해 전 세계로 급속하게 퍼져나갈 수 있는 엄청난 파괴력을 가지게 된 것이다.

 

-개인용 컴퓨터에 대한 해킹 공격이다. 예전에는 해킹의 대상이 네트워크에 물려있는 대형 컴퓨터들이었다. 그러나 개인용 컴퓨터의 성능이 발전하고 인터넷의 보급이 가속화함에 따라, 그리고 개인용 컴퓨터에서 중요한 자료들을 처리하게 되고 홈뱅킹, 사이버주식거래, 전자상거래와 같은 중요한 업무들을 담당하게 됨에 따라 점점 공격 대상으로 부각되고 있다.

 

-전통적인 바이러스보다 트로이목마와 웜의 비중 높아지고 있다. 트로이목마는 당장 눈에 띄는 피해는 없지만 PC의 정보가 유출되거나 DoS(서비스거부공격)의 도구가 될 수 있다는 점에서 잠재적 위협이 크다. MircPack 시리즈는 특정 IRC 서버(인터넷 채팅 서버) 및 채널로 접속을 시도하여 접속이 성공하면 사용자의 시스템 정보와 접속 여부를 트로이목마 제작자가 볼 수 있다.

 

-복합적 위협이 증가하고 있다. 바이러스와 웜, 트로이목마가 복합된 이른바 ‘칵테일 바이러스’가 다수 등장해 기존 백신만으로는 해결하기 어려운 난제로 부각되었다. 올해 8월 12일 국내에 유입된 블래스터 웜은 트로이목마와 웜이 결합된 형태이다. 매년 8월 16일부터 12월 31일까지 WINDOWSUPDATE.COM 사이트에 대해 DoS(서비스 거부 공격)를 시도하는 트로이목마의 특성과, IP를 스캐닝해 DCOM RPC 취약성이 있는 시스템을 찾아 공격을 시도하고 웜 파일을 복사하는 웜의 특성을 갖고 있다. 한편 예전에 발견된 것 중에는 버그베어가 메일로 확산되는 웜인 동시에 동시에 키보드 입력 값을 유출하는 트로이목마 특성을 함께 갖고 있으며, 클레즈.H는 웜인 동시에 엘컨.B 바이러스를 동반하고 있다.

 

-감염 경로가 다양해지고 있다. MSN 같은 메신저나 P2P 프로그램을 통한 확산 증가. 인터넷 메신저(MSN, ICQ 등)나 P2P 프로그램(KaZaA 등)으로 전파되는 악성 코드가 증가해 확산력이 점차 강해지고 있는 추세를 반영했다.

 

악성 코드에 대한 대책

네트웍의 발달과 같은 속도로 악성 코드의 확산력과 파괴력도 강해지고 있다. 또한 강한 네트웍으로 인해 악성 코드의 피해를 당하는 쪽은 동시에 가해자도 될 수 있는 환경이 되었다. 정보보안은 일부의 노력으로 해결되지 않는, IT 환경에 있는 모든 사람의 관심과 대책이 필요한 사안이다.

 

자동차를 운전하기 위해서는 기본적인 지식과 기술을 익혀서 면허를 따야 하며, 운전을 할 때는 교통법규를 준수해야 하고, 차량에 대해서도 정기 점검을 받는 것이 기본이다. 무면허로 운전하거나, 신호등을 비롯한 교통법규를 지키지 않거나, 오랫동안 차량을 점검하지 않는다면 그만큼 사고의 확률이 높아지고, 사고도 대형화되기 쉽다.

 

컴퓨터의 경우에도 마찬가지다. 당장 컴퓨터와 인터넷을 사용하는 데 필요한 최소한의 기능만 익힌 후에는 보안에 대해서는 알려고 하지 않거나, 관심을 가지고 시간과 비용을 들여서 정기적으로 점검하지 않는 경우에는 사고가 나기 쉽다. 또한 이러한 경우에는 자동차의 경우와 마찬가지로 혼자만 사고를 당하는 것이 아니라 다른 사람에게도 큰 피해를 줄 수 있다.

 

따라서 인터넷을 사용하여 혜택을 받는 사용자들이라면 자신과 주위의 다른 사람들을 위해서 최소한의 보안 수칙은 지켜야 하며, 이것이 공공장소인 인터넷을 사용할 때 지켜야 할 에티켓이라는 생각이 자리를 잡아야 한다.

 

악성 코드의 주요 역사와 전망

웜은 1970년대까지만 해도 대형 컴퓨터의 메모리(기억장소)에서 자기 복제를 하는 프로그램을 일컬었다. 하지만 네트워크(랜)와 인터넷이 등장하면서 웜의 활동 무대가 네트워크 혹은 인터넷과 연결된 컴퓨터 전체로 확산됐다. 여러 대의 컴퓨터를 네트워크로 연결해 하나의 컴퓨터처럼 사용하게 하는 ‘네트워크 컴퓨팅’ 기술이 낳은 결과다.

 

세계 최초의 컴퓨터 바이러스 ‘브레인’은 디스켓의 부트 영역에 감염돼 컴퓨터 부팅을 방해하는 수준이었다. 하지만 지금은 시아이에이치처럼 컴퓨터를 뇌사 상태로 만들거나 윈에바처럼 윈도의 시스템 파일을 삭제하는 것까지 등장했다.

 

전파 수단도 처음에는 디스켓이 전부였다. 따라서 전파 속도가 빠르지 않았다. 하지만 인터넷 등장 이후 전자우편이 바이러스나 웜의 전파 수단으로 사용되면서 국경을 초월해 실시간으로 퍼지고 있다. 최근에는 인터넷 쪽지와 사내 네트워크를 통해 퍼지는 것도 등장했다.

 

지금의 악성코드는 제작자가 지정한 운영체제가 설치된 컴퓨터를 공격한다. 그리고 대부분 빨리 전파되게 하기 위해 가장 대중적으로 사용되는 운영체제를 공격 대상으로 삼고 있다. 마이크로소프트의 윈도를 장착한 컴퓨터가 많이 당하는 것도 이 때문이다.

 

엠에스 닷넷은 운영체제 사이의 장벽을 허무는 것을 목표로 한다. 운영체제 종류와 상관없이 통합해 같은 운영체제를 쓰는 한 대의 컴퓨터처럼 사용할 수 있게 하는 기술이다. 전문가들은 “닷넷이 운영체제 종류에 상관없이 피해를 주는 악성코드를 등장시킬 것이다.

 

홈네트워크, 이동통신과 인터넷의 결합 등도 악성코드 제작자에게는 새로운 기회다. 홈네트워크가 구축되면 텔레비전과 냉장고 등 집 안의 모든 가전기기가 인터넷에 연결되고 각각 주소가 부여된다. 밥솥과 세탁기에도 주소가 주어져 이를 이용해 밖에서 컴퓨터나 휴대폰을 통해 원격으로 제어할 수 있게 된다.

 

이렇게 되면 가전기기와 휴대폰도 악성코드의 공격 대상이 될 수 있다. 쪽지에 숨겨져 보내진 웜이 휴대폰 단말기에 감염돼 휴대폰 안의 전화번호로 자신을 복제해 담은 쪽지를 대량으로 발송할 수 있다. 이 경우 이동통신망이 마비되고 가입자가 요금 날벼락을 맞는 상황도 예상된다. 밥솥을 오작동시켜 밥을 태우게 하고 냉장고 안 온도를 떨어뜨려 음식을 상하게 하며 현관문이나 가스밸브를 여는 악성코드의 등장도 예상해볼 수 있다. <Ahn>

 

Login
College of Engineering Seoul National University
XE Login