컴퓨터를 사용하고 백신을 사용하고 계시다면 한번쯤은 Trojan이나 Spyware, Worm 등등 여러 악성코드(malware)의 이름을 보셨을껀데요, 이번 포스트에선 각 악성코드별 보편적인 특징에 대해 알아보도록 하겠습니다.
※ 글 제목에 악성코드/바이러스 라고 적어뒀는데요, 악성코드는 바이러스를 포함한 여러 악성프로그램을 모두 포함하는 말입니다. 제가 이 포스트에서 계속 악성코드라고 말할 껀데 일단 지금은 바이러스라고 생각해주세요. 조만간 악성코드에 대해서 포스트를 하도록 하겠습니다.
1. 트로이 목마(Trojan-horse)
,그리스 로마 신화를 보신 분들이라면 트로이 목마를 모르시는 분들은 안계실꺼에요. 그리스와 트로이의 전쟁에서 그리스의 군사들은 거대한 목마를 만들고 그 목마 안에 그리스 군사들을 태워두고, 그 목마만 남겨둔채 거짓으로 퇴각을 합니다. 그리고 트로이에서는 자신들이 승리한 것으로 착각하고 그리스 군사들이 매복해 있는 목마를 승리의 상징으로써 군 내부로 들고오죠. 그리고 매복해 있던 그리스 전사들이 나와 트로이 전사들을 무찌르게 됩니다.
이 이야기에서 따온 이름이 트로이 목마입니다. 아무 이상없는 파일인 것처럼 있다가 사용자가 다운을 받거나 실행을 시키는 경우 그 본래의 기능을 하는거죠. 트로이 목마 악성코드는 사용자의 정보를 빼가거나 사이트의 아이디 및 패스워드를 빼갈 수도있고, 백도어 역할을 하는 경우도 있습니다. 그 역활에 따라서 악성코드의 이름이 조금씩 달라지기는 하는데 이 포스트에서는 단순히 트로이 목마 악성코드에 대해서만 다루도록 하겠습니다. (명명법은 따로 올릴께요 ~ )
트로이 목마는 이메일을 통해서 유포되는 경우가 많습니다. 그리고 P2P사이트에서 반드시 필요한 파일인 것처럼 속여 다운로드를 받게 하는 경우도 있고, ActiveX로 배포해 사용자가 다운받도록 하는게 트로이 목마의 대체적인 수법입니다. 그렇기 때문에 우리가 트로이 목마에 대비하기 위해서는 자신이 모르는 사람의 이메일은 절때 열어보지도 말고 다운로드 받지도 말것, p2p사이트 이용은 가능한한 자제하도록 하고, ActiveX를 설치하라는 경고창이 뜨면 바로 설치를 해버릴 것이 아니라 이 사이트가 신뢰를 할 수 있는 사이트인지, 그리고 그 ActiveX가 필요한건지 필요없는건지를 판단한 후에 설치할 것, 마지막으로 백신은 반드시 설치해서 실시간 감시를 해둘 것. 이것들을 기본적인 수칙으로 생각하고 인터넷을 사용하시면 되겠습니다.
2. Worm
웜을 설명하려면 우선 바이러스에 대해 잠깐 언급을 해야겠네요. 원래는 나중에 악성코드에 대해 설명하는 포스트를 올릴 때 차이점으로 올리려고 했는데말이죠... 우리가 흔히 말하는 바이러스는 악성코드의 범주 내에 있는 녀석입니다. 다른 파일을 감염시켜서 기생하면서 동작하는게 바이러스라면 웜은 독자적으로 실행이 가능한 바이러스입니다. 그리고 다른 파일을 감염시키는게 아닌 자기 자신을 복제해서 퍼뜨리죠. 그리고 웜의 특징은 자기 자신을 네트워크를 통해 전파를 할 수 있고, 메일을 전송할 수 있습니다. 그것도 파일을 첨부 해서말이죠. 이렇게 네트워크로 계속 전송이 되면서 트래픽이 증가하여 인터넷 속도가 느려질 수 있고, 다운된(감염된) 컴퓨터에 백도어를 설치할 수도 있습니다. 자기 복제력이 뛰어나서 한번 컴퓨터에 감염되면 수백개씩 백신에 검출되는 경우가 있습니다.
웜 바이러스는 그 목적에 따라서 여러가지 기능을 할 수 있습니다. 대표적으로는 분산서비스거부공격(DDOS)를 하기 위한 준비작업으로 하는 경우가 있죠. 앞에 트로이 목마 역시 마찬가지입니다.
3. Spyware/hijacker
spy + ware가 합성된 단어입니다. 컴퓨터에 몰래 잠입해서 필요한 정보를 빼가는 악성코드입니다. 바이러스나 웜처럼 따로 감염이 되지 않습니다. 처음에는 사용자의 취향을 알아 보기 위해 만들어졋었는데요, 그 뒤로 사용자의 아이디나 비밀번호, 주민등록번호, IP주소 등등 악의적인 목적으로 만들어 져서 오늘날의 스파이웨어로까지 발전이 되었습니다. 애드웨어와 비슷하게 사용되고 있긴 한데 이 둘의 차이점은 바로 사용자의 동의를 구하느냐 안구하느냐죠. 우리가 프로그램 설치할 때 제휴프로그램을 설치해도 되겠냐는 물음이 있는 경우 그건 합법적인 애드웨어로 스파이웨어가 아닙니다. 프로그램을 설치할 때 쥐도새도 모르게 설치해버리는게 스파이웨어죠.
그런데 제가 스파이웨어와 하이재커를 같이 적어뒀죠? 둘은 거의 비슷한 녀석이기 때문입니다. 스파이웨어라고 불리우기 위해서는 몇가지 조건이 있는데 그건 국가마다 다르다고 합니다. 아래 내용은
네이버 캐스트 서동민 기자님 글에서 가져 왔습니다.
2005년 구 정보통신부에서는 스파이웨어를 아래 내용으로 규제를 했는데요,
첫째로 웹브라우저의 홈페이지 설정이나 검색 설정을 변경 또는 시스템 설정을 변경하는 행위, 둘째로 정상 프로그램의 운영을 방해 및 중지하거나 삭제하는 행위, 셋째로 정상 프로그램의 설치를 방해하는 행위, 넷째로 다른 프로그램을 내려받아 설치하게 하는 행위, 다섯째로 운영체제 또는 타 프로그램의 보안 설정을 제거하거나 낮게 변경하는 행위, 여섯째로 이용자가 프로그램을 제거하거나 종료시켜도 해당 프로그램이 제거되거나 종료되지 않는 행위, 일곱째로 컴퓨터 키보드 입력 내용이나 화면 표시 내용을 수집 및 전송하는 행위를 하는 녀석을 스파이웨어로 규정하고 있습니다.
하이재커도 동일한 녀석이죠. 사용자의 시스템 설정을 임의로 변경하는 행위를 하는걸 하이재커라고 하는데 기능상 똑같습니다. 그래서 제가 같이 적어둔 것이구요. (위키백과에서도 스파이웨어랑 하이재커를 같이 보는것 같더라구요~) ※세션 하이재킹과 다릅니다.
보통 프리웨어가 설치될 때 같이 딸려오는 경우가 많았는데요. 최근에는 ActiveX를 통해 유포하는 경우가 많이 생기고 있습니다. 분명 겉으로 보기에는 정상 ActiveX 처럼 보이지만 해당 ActiveX가 설치될 때 스파이웨어가 같이 딸려 오게되는거죠. 예방법은 다른 웜바이러스나 트로이 목마와 같습니다. 이상한 이메일은 열어보지말고 첨부파일 다운로드는 절때금물, p2p역시 마찬가지겠죠?
4. Backdoor(백도어)
백도어는 영어 그대로 해석하시면 됩니다. Backdoor => 뒷문 이라는 말이죠. 개구멍이라고도 불립니다. 도둑이 나중에 침입하기 쉽게 뒷문을 미리 열어두는 작업이라고 보시면 되요. 해커가 나중에 컴퓨터에 침입이 쉽도록 해주는 녀석입니다.
이게 원래는 어떤 시스템의 제작자가 나중에 그 시스템이 고장 났을 때 원격으로 접속하여 문제를 해결하기 위해 계정을 열어둔건데요, 이게 지금은 해커들의 수법에 사용되고 있는거죠.
백도어는 다른 악성코드와 함께 감염이 되는 경우가 많습니다. 그래야 백도어로 접속을 하고 자기가 하고 싶은 일을 자유롭게 할 수 있는거죠.
어느정도 우리가 흔히 알만한 악성코드에 대해서는 다 다룬 것 같은데요, 악성코드별 주요 특징만 소개를 했습니다. 악성코드가 만들어진 목적에 따라서 그 기능들이 더 추가될 수 있는거죠. 트로이목마가 정상파일인 것처럼 들어와서 실행되면 백도어 역할을 할 수 있는거고, 웜이 백도어 파일을 마구잡이로 뿌릴 수도있는거구요. 이 점 참조해 주셨으면 좋겠네요~ 다음번엔 악성코드와 바이러스의 차이점에 대해서, 그리고 악성코드의 명명법에 대해서도 글을 올려볼까 합니다. 또 들려주세요 ~
글이 마음에 드셨다면 추천버튼 꾸욱! 블로그를 구독하고 싶으시다면 HanRSS, GoogleReader, FeedBurner 버튼을 꾸욱!