악성 코드 (Malware)
시스템에 설치되어 기밀 정보 탈취, 시스템 손상, 백도어 생성, 자원 낭비 등을 유발하는 악의적인 소프트웨어이다.
주로 사용자의 동의 없이 설치되어, 피해를 유발한다.
목적
- 악성 코드의 목적은 단순한 장난을 넘어서, 금전적 이익, 정보 탈취, 시스템 파괴, 권한 확보 등 공격자의 목표를 달성하기 위한 수단이다.
- 현재는 기업을 대상으로 한 피해 사례가 증가하고 있다. (높은 수익성..?)
유형
악성 코드의 세부적 분류는 회사마다 다를 수 있다.
아래는 악성 코드의 대표적인 유형에 대해서 정리하였다.
| 분류 | 설명 |
|---|---|
| 바이러스 (Virus) | 다른 파일에 자신을 삽입해 감염시키고, 실행될 때 활성화됨. 파일 파괴나 시스템 손상 유발. |
| 웜 (Worm) | 스스로 복제해 네트워크를 통해 빠르게 전파됨. 감염 대상 파일 없이도 작동함. |
| 트로이 목마 (Trojan) | 정상 프로그램으로 위장해 사용자가 직접 실행하게 유도. 백도어, 정보 유출 기능 포함 가능. |
| 랜섬웨어 (Ransomware) | 파일을 암호화하고 금전을 요구. 복호화 키 제공을 미끼로 협박. |
| 스파이웨어 (Spyware) | 사용자 동의 없이 정보를 수집해 외부로 전송. 키로깅, 쿠키 수집 등 포함. |
| 애드웨어 (Adware) | 과도한 광고 노출 또는 광고 수익 목적의 소프트웨어. 사용자의 활동을 추적하기도 함. |
1. 바이러스 (Virus)
- 바이러스(Virus)는 다른 정상 파일이나 프로그램에 편승에 다른 시스템을 감염시킨다.
- 반드시 숙주가 필요하다.
- 사용자가 해당 파일을 실행 할 때 함께 실행되며, 다른 파일에도 감염을 시도하여 확산되도록 한다.
- 주로 .exe, .doc, .xls, .scr 등의 실행 가능하거나 매크로 지원되는 파일을 노린다.
특징
- 반드시 사용자의 실행 동작이 필요하다.
- 감염된 파일이 많아질수록 시스템 속도가 저하되고, 파일이 손상되기도 한다.
- 일부는 시스템 부팅 영역(MBR)에 침투해 부팅 시 자동 실행되기도 한다.
사례
- CIH (체르노빌): 바이오스를 손상시켜 부팅 자체를 불가능하게 만들었던 악성 바이러스.
- Melissa: Word 문서에 매크로로 삽입된 바이러스. Outlook 주소록으로 이메일을 자동 전송함.
- ILOVEYOU: “사랑해요” 제목의 메일로 전파되어, 수많은 파일을 덮어쓰기하고 확산됨.
2. 웜 (Worm)
- 감염된 시스템에서 네트워크를 통해 자신을 자동으로 복제하여 다른 시스템으로 퍼진다.
- 취약한 포트나 보안 구멍을 이용해서 직접 시스템에 침투할 수도 있어서, 사용자 실행이 전제조건이 아니다.
- 바이러스와 다르게 숙주가 될 수 있는 파일이 필요치 않다.
특징
- 빠른 확산 속도: 수 초 안에 전 세계 수십만 대의 시스템을 감염시킬 수 있다.
- 감염과정에서 네트워크 대역폭을 소모하여, 서비스 지연이나 마비를 유발한다.
- 일부는 추가 페이로드(백도어 설치, 데이터 삭제 등)를 포함한다.
- 다수의 시스템에 동시에 영향을 미칠 수 있다.
사례
- Code Red: IIS 웹 서버 취약점을 이용해 수십만 대 시스템을 감염.
- SQL Slammer: MS SQL 서버 취약점을 이용해 10분 만에 전 세계 확산, 네트워크 마비 초래.
- Conficker: USB 및 네트워크 취약점으로 확산, 군 시스템까지 침투.
3. 트로이 목마 (Trojan Horse)
- 정상 프로그램처럼 위장하여 사용자가 설치/실행하도록 유도한다.
- 실행 후 시스템에 백도어를 설치하거나, 정보를 몰래 탈취하는 기능이 있다
- 일반적으로 자기 복제 기능은 없다. (다른 악성 코드와 달리 웜/바이러스처럼 퍼지지 않음).
- 대부분의 악성 코드가 가지고 있는 특징이다.
특징
- 보통 이메일 첨부파일, 불법 다운로드 파일, 광고 등을 통해 유포됨.
- 원격 제어 기능, 스크린 캡처, 키로깅, 파일 업로드/다운로드 등 다양한 악성 행위를 수행함.
- 다양한 하위 종류가 있다. (예: 뱅킹 트로이, RAT, 드로퍼 등)
사례
- Zeus: 인터넷 뱅킹 정보를 탈취하는 트로이목마.
- Emotet: 뱅킹 트로이에서 출발했지만 나중엔 다른 악성코드를 퍼뜨리는 플랫폼 역할로 발전.
- RevengeRAT: 사용자의 웹캠, 마이크를 원격 조정하고, 파일 탈취 가능.
4. 랜섬웨어
- Ransom(몸값)과 Software(소프트웨어)의 합성어.
- 시스템 또는 사용자에게 중요한 확장자 파일들을 찾아 암호화함
- 파일을 복호화해 주겠다”며 비트코인 등의 금전 요구
- 감염 경로: 스피어 피싱 이메일, 웹사이트 취약점, 원격 데스크탑 프로토콜(RDP) 취약점 등.
특징
- 감염되면 대부분 복호화가 불가능하거나, 암호화 알고리즘이 강력함.
- 일부는 복호화 키를 주지 않고 돈만 챙김 (그래서 금전 지급해도 복구 안 됨)
-> 치료보다는 예방에 집중하여 대응 방안을 세운다. - 최근에는 단순 암호화 외에 정보 유출 협박(이중 갈취) 방식도 사용.
사례
- WannaCry: SMB 취약점(EternalBlue)을 통해 전 세계 병원, 기업 등 피해.
- NotPetya: 랜섬웨어처럼 보이지만, 사실상 파일 파괴 목적의 국가급 공격.
- LockBit: 최근 기업, 병원, 공공기관 등을 대상으로 활발하게 활동 중
5. 애드웨어
작동 방식
- 시스템에 설치되어 광고를 자동 실행하거나 웹 브라우저에 삽입함.
-> 주로 무료로 제공되는 소프트웨어나 앱과 번들로 제공되어 사용자가 설치할 때 함께 설치됨 - 사용자 활동을 분석해 광고를 타겟팅하거나 광고 수익을 획득함.
특징
- 때로는 합법적인 소프트웨어로 위장되기도 함.
-> 사실상 설치 유무를 체크하는 동의란이 구석에 아주 잘 숨겨져있어서 확인하기 힘듦.
-> 이런 애드웨어 설치를 위한 절차 없이 프로그램이 설치되도록 설계되어있으면 법적으로 악성코드로 분류됨. - 팝업 광고, 브라우저 리디렉션, 바탕화면 광고 아이콘 생성 등 다양한 방식 존재.
- 일부는 스파이웨어 기능도 포함 (사용자 추적 등).
6. 스파이웨어
작동 방식
- 사용자 모르게 설치되어 브라우징 기록, 키보드 입력(키 로깅), 화면 캡처 등을 수집함.
-> 보통 다른 프로그램에 번들되어 설치됨 (무료 소프트웨어 등). - 수집된 정보는 외부 서버로 전송됨.
특징
- 탐지가 어려울 수 있고, 시스템을 느리게 만들며, 배터리 소모 유발함.
-> 보통 시스템 부팅 시 자동으로 실행되도록 설계되며, 사용자 모르게 계속 백그라운드에 작동되는 경우가 많음. - 백도어나 트로이목마와 결합되는 경우도 많음.
사례
- FinSpy (FinFisher): 정부에서 감시에 사용, 마이크/카메라 정보도 수집 가능.
- CoolWebSearch: 브라우저 설정을 변경하고 사용자 검색기록 추적.
- DarkHotel: 고급 호텔 와이파이에서 관리자권한으로 정보 탈취. 한국 타깃 공격도 존재.
출처 및 참고
안녕하세요