악성코드는 무엇인가?

Photo Image

바이러스, 웜, 트로이목마, 루트킷 등 용어의 공통점은 무엇일까?정답은 사이버 범죄자들이 PC와 모바일 기기를 감염 시키고 통제하기 위해 사용하는 악성 프로그램(코드)의 이름을 말한다. 악성코드는 악성(범죄) 행위를 위해 개발된 PC 프로그램(소프트웨어)을 말한다. 참고로, 해외에서는 악성코드(Malicious Code)라는 이름보다는 악성 프로그램(Malicious software)이라는 용어가 더 흔하게 사용된다. 줄여서 보통 ‘Malware’라고 언급되고 있다.

악성코드는 어떻게 생성될까?

전문가들은 “사이버 범죄자들의 최종 목적은 PC나 모바일기기에 악성코드를 설치하는 것”이라고 말을 한다. 사이버 범죄자들이 만들어 유포하는 악성코드는 한번 설치되면 공격자들이 PC나 모바일기기를 완전히 통제할 수 있다. 많은 사람들이 악성코드는 PC에서만 감염 되는 것으로 알고 있다. 하지만 악성코드는 스마트폰과 태블릿과 같은 컴퓨팅 기기를 감염시킬 수 있다. 사이버범죄자들은 최대한 많이 사람들이 사용하는 컴퓨팅 기기 들을 감염시키고자 노력한다. 그 이유는 부의 축적과 자신의 실력을 자랑하고 싶은 욕심 때문이다.

NCR사에서 고객 IT 운영 보안을 담당하고 있는 레니 젤트서는 2014년 2월 〈OUCH!〉에 기고한 글을 통해, “악성코드는 더 이상 순진한 엔지니어나 아마추어 해커들이 만드는 것이 아니라, 구체적 목표를 달성하기 위해 지능적인 범죄자들이 만든다. 주요 목표는 비밀 정보를 훔고, 인증정보를 수집하고, 스팸 이메일을 발송하고 디도스(DDoS) 공격, 변조 및 신분 절도를 하기 위해서다. 예를 들어 ‘크립토로커(Cryptolocker)’라는 악성코드는 사이버 밤죄자들이 파일 복호화를 대가로 돈을 요구한다. 악성코드를 만들고, 배포하고 이익을 얻는 사람들은 개인에서부터 범죄조직 또는 정부기관 등 다양하다”고 썼다.

레니 젤트서는 또 “지능적인 범죄자들은 악성코드를 개발한 후에 개인 또는 조직에 악성코드를 판매하고, 판매 후 업데이트도 제공하는 등 악성코드를 이용하려는 사이버 범죄자들을 지원 한다”면서 “사이버 범죄자들은 악성코드를 구매한 후 수백만 명의 피해 시스템에 악성코드를 설치하고 감염 시스템 봇넷을 구축해 돈을 번다. 이처럼 개발돼 심어진 봇넷은 원격으로 통제가 가능한 군대가 되어, 사이버 범죄자들이 자신을 이용하거나 다른 범죄자들에게 감염된 컴퓨터를 판다”고 설명했다.

악성코드, 원론적으로는 ‘바이러스’도 포함

악성코드는 그 행위나 동작방식에 따라 여러 가지 형태로 나뉜다.
바이러스(Virus) : 바이러스는 다른 대상(정상파일)을 감염시키는 형태로 실행되며, 감염시킬 대상이 존재하지 않을 때에는 실행되지 않는다. 또한 감염 파일에서 다른 정상파일로의 자기 복제 기능을 가지고 있으나, 네트워크를 통해 전파되지 않는다. 바이러스는 감염시키는 방식 및 위치에 따라, 부트바이러스, 파일 바이러스, 메모리 상주 바이러스, 매크로 바이러스 등으로 나뉜다.
웜(Worm) : 웜은 감염시킬 대상이 존재하지 않아도, 스스로 실행될 수 있다는 특징이 있다. 자가복제 및 네트워크를 통한 전파도 가능하다.

트로이목마(Trojan) : 트로이 목마는 정상 파일을 가장하거나, 정상파일 안에 삽입돼 실행되는 것이 특징이다. 사용자의 설치를 유도한 후, 사용자 PC에 있는 정보를 해커에게 유출하는 악성 행위를 하는 프로그램 이다. 최근 발생하는 대부분의 악성코드는 이 트로이 목마 범주에 포함된다고 보면 된다. 사이버 범죄들은 트로이 목마 악성코드를 이용해 자신들이 원하는 목적을 달성하려고 한다.

백도어(Backdoor) : 백도어는 말 그대로 ‘뒷문’으로, 시스템 관리자가 일부러 열어놓은 시스템의 구멍을 말한다. 해커가 이미 장악한 PC의 다음 침입을 쉽게 하기 위해, 사용자가 모르는 침입 루트를 뚫어 놓은 것이다.

애드웨어(Adware) : 애드웨어는 광고 프로그램이다. 프로그램 자체는 악의적인 행위를 하지 않지만, PC를 느리게 하는 등 광고를 띄워 사용자들에게 불편함을 초래한다.

악성 봇(Malicious Bot) : 스스로 실행되지 못하고, 해커의 명령에 의해 원격에서 제어 또는 실행이 가능한 프로그램 혹은 코드이다. 주로 취약점이나 백도어 등을 이용해 전파되며, 스팸 메일 전송이나 분산 서비스 거부 디도스 공격 등에 악용된다. 사용자들에게 잘 알려진 ‘좀비PC’는 악성 봇에 의해 감염된 것을 말한다.

Photo Image

악성코드로부터 보호 방안은?

악성코드로부터 사용하고 있는 PC나 모바일기기를 보호하기 위해서는 먼저, 믿을만한 기업에서 나온 안티바이러스 제품을 설치해야 한다. 안티바이러스는 악성 소프트웨어를 탐지하고 방어하는 소프트웨어를 말한다. 그렇지만 안티바이러스가 모든 악성코드를 차단하거나 제거할 수는 없다. 사이버 범죄자들이 지속적으로 새롭고 지능적인 제품을 개발해 안타바이러스를 무력화시키기 때문이다. 때문에 사용자들은 PC운영체제 및 모바일 애플리케션이 자동적으로 보안 업데이트도록 설정해야 한다.

레니 젤트서는 기고문을 통해 “악성코드는 사회공학 기법으로 감염시킨다. 일반적인 예가 피싱 공격이다. 합법적인 것처럼 보이는 이메일로 감염시키는 피싱 공격의 예로, 사이버 범죄자들이 은행에서 온 것처럼 이메일을 보내 사용자가 클릭하도록 한 뒤 PC를 감염시킨다. 또 주문한 물건 배송에 문제가 있다고 하는 이메일을 발송, 첨부파일을 클릭하도록 해 문서를 열게해 PC를 감염 시킨다”면서 “악성코드로부터 보호 방안은 정기적인 소프트웨어 업데이트, 안티바이러스 소프트웨어 설치, 각종 방법을 이용해 감염시키고자 하는 사이버 범죄자들을 조심하는 수밖에 없다”고 조언했다.


소성렬 기자(hisabisa@etnews.com)


브랜드 뉴스룸