7. 악성코드

SJH·2024년 6월 13일
0
post-thumbnail
post-custom-banner

악성코드란?

악성코드(Malicious Code)란
악성 행위를 위해 개발된 컴퓨터 프로그램 또는 소프트웨어 파일

악성 소프트웨어 또는 멀웨어(Malware)라고도 불리며,
대표적인 악성코드로 바이러스 / 웜 / 트로이목마 / 스파이웨어 등이 존재

악성코드 탐지 구분

악성코드의 탐지 구분법은 크게 3가지로 나뉘어짐.

  • 정탐(TP,TN) : 정상적으로 탐지를 한 것

  • 오탐(FP) : 탐지를 했지만 잘못 탐지 한 것

  • 미탐(FN) : 탐지조차 하지 않은 것

보고 O (정상 패킷)보고 X (비정상 패킷)
오류 O (정상 탐지)True Positive (긍정적 사실 - 정탐)False Negative (부정적 오류 - 미탐)
오류 X (비정상 탐지)False Positive (긍정적 오류 - 오탐)True Negative (부정적 사실 - 정탐)

정탐(TP, TN)

  • True Positive (TP) : 긍정적 사실

  • True Negative (TN) : 부정적 사실

=> 긍정적 혹은 부정적 둘 다 사실대로 탐지했기 때문에 정탐

Ex)
일반 메일이 일반 메일함으로 들어오는 것 : 긍정적 사실 (TP)
스팸 메일이 스팸 메일함으로 가는 것 : 부정적 사실 (TN)

=> TP와 TN 둘 다 일반메일과 스팸 메일을 잘 구분 했으므로 정탐

오탐(FP)

  • False Positive(FP) : 긍정적 오류

  • 탐지는 하였으나 잘못된 탐지를 한 것

Ex) 일반메일이 스팸메일함에 들어가는 것 : 긍정적 오류(FP)

미탐 (FN)

  • False Negative(FN) : 부정적 오류

  • 비정상적인 파일을 정상으로 판단하여, 탐지조차 하지 않는 것 (행위 X)

Ex) 스팸메일이 일반메일함에 들어가는 것 : 부정적 오류(FN)

악성코드의 유형

악성코드의 유형의 대표적인 10가지
( ★는 옛날부터 현재까지 자주 악용되는 악성코드의 종류)

  1. 바이러스 ★
  2. 웜 ★
  3. 트로이목마 ★
  4. 스파이웨어 ★
  5. 애드웨어 ★
  6. 루트킷
  7. 키로깅
  8. 크립토마이닝
  9. 백도어
  10. 랜섬웨어 ★

1. 바이러스

  • 악성코드 중 가장 기본적인 형태
  • 바이러스의 가장 큰 특징은 숙주를 통한 ‘복제성’과 ‘전염성’

사례 1) 미켈란젤로 바이러스

  • 이탈리아의 예술가인 미켈란젤로의 생일인 3월 6일에 감염 증상이 발현되어 붙여진 이름

  • 컴퓨터의 전원을 켤 때 제일 먼저 실행되는 부트 섹터에 위치하여 컴퓨터 부팅에 영향을 주는 ‘부트 바이러스’

사례 2) 예루살렘 바이러스

  • 1988년 예루살렘에서 발견되어 명명된 바이러스

  • COM, EXE 파일을 통해 PC에 잠복했다가 시스템 날짜 상 13일의 금요일이 되면 모든 파일을 삭제하는 ‘파일 바이러스’

  • ‘13일의 금요일’ 바이러스라고도 불림.

2. 웜

  • 1988년 모리스 웜에 의해 최초로 개발된 악성코드
  • 인터넷 또는 네트워크를 통해서 전파되는 악성 프로그램
  • 스스로 복제한다는 점에서 바이러스와 비슷하지만, 숙주 프로그램이 필요하지 않고 스스로 전파되며 독립적으로 실행된다는 점에서 바이러스와 차이점 존재

사례) 코드레드 웜 (Code Red Worm)

  • 한 달을 주기로 감염 확산 (1~19일), 특정 사이트 공격 (20~27일), 잠복 (28~30, 31일) 을 반복하는 특징을 지닌 웜

  • 당시 웜을 분석하던 보안팀이 밤샘 작업을 하면서 마셨던 음료수 ‘마운틴 듀 코드레드’의 이름을 따 즉흥적으로 붙인 이름

3. 트로이목마

  • 트로이목마란 트로이전쟁에서 그리스가 군인을 매복시킨 대형 목마로, 신에게 바치는 선물로 위장하였지만 실제로는 군인을 매복시켜 트로이 성 안으로 침투, 승리를 이끈 수단

  • 악성코드의 개념으로는 겉보기에는 유용한 프로그램인 것처럼 위장하여 사용자에게 설치를 유도하지만, 실제로는 악의적인 기능이 포함된 프로그램

  • 바이러스나 웜처럼 컴퓨터에 직접적인 피해는 주지 않지만, 악의적인 공격자가 컴퓨터에 침투하여 컴퓨터 조종 가능

  • 거의 대부분의 악성코드들이 가지고 있는 유형 중 하나

사례) 제우스(Zeus) 트로이목마

  • 2007~2009년에 금융 서비스 영역에 큰 피해를 입힌 악성코드

  • 2007년에 러시아에서 처음 개발된 것으로 추정되며, 2009년 하반기부터 북미 지역 등에서 범죄에 활용

  • 2011년에는 제우스 소스코드가 대중에게 유출되면서 금융뿐만이 아닌 SNS에도 피해 확산

4. 스파이웨어

  • 악의적인 스파이 짓을 하는 컴퓨터 소프트웨어

  • 사용자의 동의 없이 컴퓨터에 몰래 설치되어, 중요한 개인정보 등을 수집하고 공격자의 서버로 전송

  • 뒤에 나올 애드웨어와의 차이는 스파이웨어는 설치 동의를 구하지 않고, 무단으로 설치가 된다는 것

사례) 페가수스 스파이웨어 (Pegasus Spyware)

  • 이스라엘의 NSO 그룹이 개발한 스파이웨어

  • 아이폰과 안드로이드폰을 포함한 스마트폰에서 GPS를 활용한 위치, 어플리케이션 사용내역, 사진 컨텐츠 등 개인정보를 탈취할 수 있는 악성코드

  • 원래는 범죄조직의 위치를 찾는 등의 범죄나 테러를 막기 위한 수단으로 개발되었으나 의도와 달리 악용된 사례 존재

5. 애드웨어

  • 광고(ad) + 소프트웨어의 합성어
  • 프로그램을 실행할 때나 웹에 접속할 때 자동으로 광고창을 활성화하는 공격
  • 일반적으로 무료 소프트웨어 등을 다운로드 할 때 같이 설치되는 경우가 많음

스파이웨어와 애드웨어의 차이점

스파이웨어애드웨어
목적사용자의 개인정보 수집무분별한 광고 개시
설치 유형사용자의 동의 없이 몰래 설치사용자가 에드웨어가 담긴 프로그램을 직접 설치
정보 유출가능알 수 없음
감염 인식불가능가능

6. 루트킷

  • 컴퓨터에 접속하거나 제어하도록 설계된 정보를 탈취하는 악성코드

  • 루트 권한을 쉽게 얻게 하는 키트로, 주로 파일이나 레지스트리에 숨기는 것이 특징

  • 얻은 루트 권한을 통해 다른 악성 코드를 추가로 설치해 정상 파일처럼 보이도록 가능

  • 백신에 의해서는 탐지가 되지않고, 엔드 포인트 보안 솔루션 등에 의해 탐지 가능

  • 현재 발생빈도는 많이 낮아진 악성코드 유형

사례) 소니 BMG 루트킷 사건
2005년 세계적인 음반업체인 소니 BMG가 자사에서 발매하는 음반에 불법복제 방지 소프트웨어를 내장하면서 윈도우용 루트킷을 적용한 것으로 밝혀져 논란거리가 된 사건

7. 키로깅

  • Key + Log의 합성어
  • 키보드에 입력한 키의 흔적을 남기는 프로그램
  • 키로깅을 악용해 아이디, 비밀번호 등의 로그인 정보 탈취

8. 크립토마이닝 악성코드

크립토마이닝 악성코드란 사용자의 허가 없이 사용자 시스템의 리소스를 사용하여 암호 화폐를 채굴하는 악성코드

사례)

  • 크립토재킹은 2011년 처음 발견된 후로 계속해서 피해 사례 증가

  • 국내에서는 이력서로 위장한 이메일을 기업 담당자들에게 전송해 총 6,000여 대에 달하는 PC에 악성 코드를 설치한 사건이 첫 사례로 적발

9. 백도어

  • 하드웨어나 소프트웨어 등의 개발과정이나 유통과정 중에 몰래 탑재되어 정상적인 인증 과정을 거치지 않고 보안을 해제할 수 있도록 만드는 악성코드

  • 백도어가 실행되면 해커가 시스템의 사용자가 모르게 내부로 진입하여 정보를 빼가는 등의 작업 가능

사례) 화웨이, ZTE와 중국 공산당과의 연계 의혹

  • 2017년 6월, 중국에서는 중국 국내뿐만 아니라 국외에서도 개인이나 단체를 감시할 수 있는 국가 정보법이 발효되어,

  • 2018년, 미국 3대 정보기관인 FBI, CIA, NSA는 공식적으로 미국 국민에게 화웨이와 ZTE 폰을 쓰지 말라고 권고

10. 랜섬웨어

  • Ransom ( 몸값 ) + Ware ( 제품 ) 의 합성어

  • 컴퓨터에 저장된 파일을 암호화 시키고 몸값을 요구하는 악성코드

  • 악성코드 가운데서도 가장 질이 나쁘고 악랄한 종류로 현재로서는 예방을 해도 확신할 수 없는 최악의 악성코드로 불림

사례) 워너크라이 랜섬웨어 (Wanna Cry Ransomware)

  • 2017년 5월 12일에 대규모 공격이 시작되어 전세계적으로 많은 컴퓨터에서 심각한 피해가 발생한 랜섬웨어

  • 감염되면 컴퓨터 내의 파일들이 암호화되어 버리며, 파일 몸값으로 비트코인 300달러를 요구하는 메시지 창이 화면에 등장

보완점

오탐과 미탐의 차이점 - 행위를 했냐 안했냐 차이

악성코드 대표 유형 - 바이러스 / 웜 / 트로이목마 / 스파이웨어 / 애드웨어 / 랜섬웨어

바이러스 - 숙주를 통해서만 전파 가능, 숙주가 되는 파일이 없으면 전파 불가

웜 - 숙주없이 네트워크를 통해서 자가증식 및 전파, 확산의 리스크가 큼
치료방법은 네트워크를 단절시킨 상태에서 치료
그러나 네트워크 재연결하면 다시 웜들이 감염시키기 때문에 근본적인 해결방법은 숙주가 되는 웜을 찾아서 제거

트로이목마 - 대부분의 악성코드가 가지고 있는 특징
정상파일인것처럼 위장해서 사용자가 실행하도록 유도
실행시키는 순간 원본파일이 삭제되고 보이지않는 백그라운드에서 실행

애드웨어 - 광고목적으로 사용되고 큰 악의적인 목적은 없음
스파이웨어 - 사용자의 동의없이 설치되는 악성코드, 정보 유출 등의 악의적인 목적이 있음.
애드웨어랑 스파이웨어의 차이를 잘 알기

랜섬웨어 - 치료하기보단 예방하는게 가장 좋은 대응방안

참고

https://bavid98.tistory.com/19
https://maker5587.tistory.com/9
https://kk-7790.tistory.com/31
https://m.blog.naver.com/skinfosec2000/221327717027
https://maker5587.tistory.com/10
https://ottl-seo.tistory.com/67
https://library.gabia.com/contents/infrahosting/4961/
https://www.veritas.com/ko/kr/information-center/malware
https://namu.wiki/w/%EB%B0%B1%EB%8F%84%EC%96%B4
https://namu.wiki/w/%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C#s-3.2.5

profile
SJH
보안, 클라우드 공부정리 블로그
이전 포스트

6. Firewall, IDS, IPS, DDoS의 특징 및 차이점

다음 포스트

8. 보안관제

post-custom-banner

0개의 댓글