##1. 악성코드의 개요 및 현대적 정의악성코드(Malware)는 'Malicious'와 'Software'의 합성어로, 사용자, 컴퓨터, 네트워크에 해를 입히거나 승인되지 않은 작업을 수행하도록 설계된 모든 소프트웨어를 총칭합니다.
직관적 비유 (Intuitive Analogy): 컴퓨터 시스템을 '인체'라고 한다면, 악성코드는 외부에서 침입하는 병원체(바이러스, 박테리아)와 같습니다. 어떤 것은 세포(파일)에 기생하고, 어떤 것은 혈관(네트워크)을 타고 스스로 돌아다니며, 어떤 것은 영양분(데이터)을 훔치거나 장기(시스템)를 마비시킵니다.
최근의 악성코드는 단순한 파일 파괴를 넘어, RaaS (Ransomware as a Service, 서비스형 랜섬웨어)와 같이 비즈니스 모델화되거나, 국가 차원의 사이버 전력으로 고도화되고 있습니다.
##2. 악성코드의 주요 유형 및 기술적 특성악성코드는 크게 자가 복제 능력 유무와 동작 행위에 따라 분류할 수 있습니다.
| ###2.1. 자가 복제 능력에 따른 분류 (Propagation-based) | 구분 | 바이러스 (Virus) |
|---|---|---|
| 정의 | 정상적인 파일이나 부트 섹터에 기생하여 동작하는 코드 | 네트워크를 통해 스스로를 복제하고 전파하는 독립형 프로그램 |
| 매개체 | 숙주(Host) 파일 필요 (예: .exe, 문서 파일) | 숙주 불필요 (독자적인 프로세스로 실행) |
| 전파 방식 | 사용자가 감염된 파일을 실행해야 전파됨 | 시스템/네트워크 취약점을 이용하여 자동 전파 |
| 비유 | 독감 바이러스 (사람 간 접촉으로 전염) | 메뚜기 떼 (스스로 이동하며 농작물을 초토화) |
###2.2. 동작 행위 및 목적에 따른 분류 (Payload-based)1. 트로이 목마 (Trojan Horse):
- 특징: 정상적인 프로그램(유틸리티, 게임 등)으로 위장하여 사용자가 직접 설치하도록 유도합니다. 자가 복제 기능은 없으나, 백도어(Backdoor)를 설치하여 공격자가 시스템에 재침입할 수 있는 통로를 만듭니다.
- 랜섬웨어 (Ransomware):
- 특징: 시스템의 파일을 암호화하여 인질로 잡고, 복호화 대가로 금전(암호화폐)을 요구합니다.
- 최신 트렌드: 데이터를 암호화할 뿐만 아니라, 데이터를 유출하고 협박하는 이중 갈취(Double Extortion) 기법이 성행합니다.
- 스파이웨어 (Spyware) & 애드웨어 (Adware):
- 특징: 사용자 동의 없이 정보를 수집(키로깅, 스크린샷 등)하거나 강제로 광고를 노출합니다. 최근에는 상용 소프트웨어 개발 키트(SDK, Software Development Kit) 형태로 모바일 앱에 포함되어 배포되기도 합니다.
- 루트킷 (Rootkit):
- 기술적 심도: 커널(Kernel) 수준이나 관리자 권한을 탈취하여 시스템 깊숙이 숨어듭니다. 프로세스 목록, 파일 시스템, 네트워크 연결 등을 조작하여 자신의 존재를 은폐하는 데 특화되어 있습니다.
- 봇 (Bot) & 봇넷 (Botnet):
- 특징: 감염된 PC(좀비 PC)가 되어 C&C (Command and Control, 명령 제어) 서버의 명령을 수행합니다. 주로 DDoS (Distributed Denial of Service, 분산 서비스 거부) 공격에 악용됩니다.
##3. 악성코드 개발 및 유포의 목적과거의 악성코드가 개인의 과시욕이었다면, 현대의 악성코드는 명확한 경제적, 정치적 목적을 가집니다.
###3.1. 금전적 이득 (Financial Gain)* 직접 탈취: 뱅킹 정보를 탈취하여 자금을 이체.
- 몸값 요구: 랜섬웨어를 통한 데이터 인질극.
- 자원 도용: 감염된 시스템의 CPU/GPU 자원을 사용하여 암호화폐를 채굴하는 크립토재킹(Cryptojacking).
###3.2. 사이버 스파이 및 정보 유출 (Cyber Espionage)* 기업의 지적 재산권(IP), 국가 기밀, 개인 정보를 탈취하여 경쟁 우위를 점하거나 다크웹(Dark Web)에 판매합니다. APT (Advanced Persistent Threat, 지능형 지속 위협) 공격의 주된 목적입니다.
###3.3. 시스템 파괴 및 혼란 야기 (Sabotage)* 국가 간 사이버 전(Cyber Warfare)의 일환으로 전력망, 교통 시스템 등 국가 기반 시설(Critical Infrastructure)을 마비시키는 와이퍼(Wiper) 형태의 악성코드가 사용됩니다.
##4. 전파 방법 및 침투 메커니즘 (Propagation Vectors)기술사 관점에서 악성코드의 침투는 단순히 "파일 다운로드"를 넘어 다양한 레이어에서 발생합니다.
###4.1. 사회공학적 기법 (Social Engineering)* 스피어 피싱 (Spear Phishing): 특정 개인이나 조직을 표적으로 하여, 신뢰할 수 있는 발신자(거래처, 상사 등)를 사칭한 이메일과 첨부파일을 보냅니다.
- 인간의 심리 이용: 긴급함, 호기심, 공포심을 자극하여 악성 URL 클릭이나 매크로 실행을 유도합니다.
###4.2. 소프트웨어 취약점 악용 (Exploitation)* 제로데이 (Zero-day) 공격: 패치가 발표되지 않은 보안 취약점을 이용하여 침투합니다.
- 드라이브 바이 다운로드 (Drive-by Download): 사용자가 악성 스크립트가 삽입된 웹사이트에 방문하기만 해도, 브라우저나 플러그인의 취약점을 통해 악성코드가 자동으로 다운로드 및 실행됩니다.
###4.3. 공급망 공격 (Supply Chain Attack)* 신뢰받는 소프트웨어 개발사나 업데이트 서버를 해킹하여, 정상적인 소프트웨어 업데이트 파일에 악성코드를 심어 배포합니다. (예: SolarWinds 사태). 탐지가 매우 어렵고 파급력이 큽니다.
###4.4. 파일리스 (Fileless) 공격* LotL (Living off the Land): 하드디스크에 파일을 생성하지 않고, 메모리(RAM) 상에서만 동작하거나 PowerShell, WMI (Windows Management Instrumentation) 등 운영체제의 정상적인 도구를 악용하여 악성 행위를 수행합니다. 기존 백신(Anti-Virus) 탐지를 우회하는 고도화된 기법입니다.
##5. 결론 및 기술적 대응 방안악성코드는 단순한 파일 형태에서 벗어나 다형성(Polymorphism) 및 난독화(Obfuscation) 기술을 통해 시그니처 기반 탐지를 무력화하고 있습니다.
따라서 방어 전략 역시 전통적인 백신을 넘어 다음과 같이 진화해야 합니다:
- EDR (Endpoint Detection and Response, 엔드포인트 탐지 및 대응): 행위 기반 분석을 통해 알려지지 않은 위협 탐지.
- 제로 트러스트 (Zero Trust) 모델: "아무것도 신뢰하지 않는다"는 전제하에 모든 접근을 지속적으로 검증.
- 사이버 위협 인텔리전스 (CTI, Cyber Threat Intelligence): 위협 정보를 사전에 수집하고 공유하여 선제적 대응.
