악성코드, 그것이 알고 싶다

상세페이지

  • HOME > 월별 특집 & 기획

web 악성코드, 그것이 알고 싶다

트위터 페이스북

악성코드, 그것이 알고 싶다

Age of Virus
바이러스 숙주 25억 시대

1  악성코드, 그것이 알고 싶다
2  "자살하게 만들어드릴게요" 바이러스계 울트론, 스마트폰 바이러스
3  악성코드와 사물인터넷, 테러의 방아쇠가 되다
4  악성코드 위협으로부터 당장 준비할 수 있는 것

온라인 커뮤니티 배너 광고 소스를 통해 랜섬웨어가 유입되고, 안드로이드 스마트폰에 문자 메시지를 받는 것만으로 악성코드에 감염되는 시대다. 그렇게 침투한 악성코드는 단순한 개인정보 탈취를 넘어 삶 전체를 송두리째 빼앗는다. 앞으로 도래할 사물인터넷 시대는 그 위협과 피해가 더욱 커질 전망. 전 세계 보급된 스마트폰 25억 개가 모두 바이러스의 잠재적 숙주다. 이에 월간 웹 10월 특집은 'Age of Virus'로, 악성코드의 위협과 대처방안을 준비했다. 악성코드와 안티바이러스의 역사, 스마트폰과 사물인터넷 시대의 위험성 강조, 그리고 지금 당장 준비할 수 있는 것은 뭐가 있는지 알아본다. 

진행. 월간 w.e.b. 편집국




개인정보가 노출됐다는 뉴스를 접할 때, 멀쩡하게 사용하던 컴퓨터가 갑자기 다운될 때, 컴퓨터 바이러스는 왜 이렇게 우리 생활을 괴롭히는 건가 싶은 생각이 든 적이 있을 것이다. 컴퓨터 바이러스? 아니 악성코드는 무엇이며 그와 맞서 싸웠던 백신 프로그램은 어떻게 진화했는지 알아보자.

글. 남은선 기자 es@websmedia.co.kr  
참고. KISA 한국인터넷진흥원 보고서 <악성코드 유사 및 변종 유형 예측방법 연구, 2011.11.27> 






크리퍼 바이러스(Creeper Virus)가 복제한 메시지  “I'm the Creeper, Catch me if you can!”




컴퓨터 바이러스 아니고, 악성코드 사람들은 컴퓨터 바이러스라는 용어가 익숙하겠지만 사실 컴퓨터 바이러스를 포괄하는 용어는 악성코드(Malicious Code)다. 악성코드는 컴퓨터에 악영향을 주는 모든 소프트웨어의 총칭이다. 악성코드라는 단어는 한국에서 주로 쓰고 해외에서는 악성 프로그램(Malware, Malicious Software)이라고 부른다. 이 기사에서는 악성 프로그램 대신 악성코드로 지칭하겠다. 최초의 악성코드가 컴퓨터 바이러스였고 생물학적인 바이러스처럼 자신을 스스로 복제해 컴퓨터를 감염시키기 때문에 컴퓨터 바이러스라는 단어가 쓰이기 시작했다. 컴퓨터가 대중화되기 전에는 플로피 디스크로 전염됐고, 인터넷이 발달하면서 웹사이트나 이메일 등으로도 전파됐다. 최근에는 감염방식과 증상이 다양해지면서 악성코드를 세부 분류했다. 대표적인 악성코드는 컴퓨터 바이러스(Computer Virus), 웜(Worm), 트로이 목마(Trojan Horse), 웜 바이러스(Worm Virus), 스파이웨어(Spyware), 애드웨어(Adware) 등이다.

컴퓨터 바이러스는 언제부터 세상에 나타났을까. 그 탄생 이야기는 약 65년 전부터 시작된다. 1949년 컴퓨터 과학자 존 폰 노이만 (John von Neumann)이 한 논문을 발표했다. 그는 그 논문에서 컴퓨터 프로그램이 스스로 복제할 수 있다고 밝혔다. 이때 처음으로 컴퓨터 바이러스에 대한 개념이 나온 셈이다. 컴퓨터 바이러스의 정식 정의는 다음과 같다. 컴퓨터 내에 침투해 자료를 손상하거나 다른 프로그램들을 파괴해 작동할 수 없도록 하는 컴퓨터 프로그램의 한 종류. 생물학적인 바이러스처럼 자신을 복제하고 다른 곳으로 침투한다는 점에서 일맥상통한다.

그후 약 20년 후인 1971년 최초의 컴퓨터 바이러스가 탄생한다. 바로 크리퍼 바이러스(Creeper Virus). 이 바이러스는 인터넷의 원형 아파넷(ARPANET)을 구현한 BBN(BBN Technologies) 소속의 밥 토머스(Bob Thomas)가 실험적으로 만들었다. 이 바이러스는 아파넷의 접근 권한을 얻어 "I'm the Creeper, Catch me if you can!"(내가 크리퍼다, 잡을 테면 잡아봐라!)이라는 메시지가 있는 원격 시스템에 메시지를 복제했다. 최초의 컴퓨터 바이러스인 크리퍼 바이러스는 최초의 백신 프로그램 리퍼(Reaper)로 치료했다. 그리고 사실 리퍼는 애초부터 크리퍼를 퇴치하기 위해 만들어진 것이라고 한다.

3년 후에는 최초의 웜이 등장한다. 웜(Worm)은 컴퓨터 바이러스와 마찬가지로 자신을 스스로 복제하는 프로그램이다. 하지만 컴퓨터 바이러스가 다른 실행 프로그램에 기생해 활동하는 반면에 웜은 독자적으로 실행하기 때문에 다른 프로그램이 없어도 된다. 또한 네트워크로 자신의 복사본을 스스로 전송해 네트워크를 손상한다. 최초의 웜, 래빗(Rabbit)은 제록스 파크(Xerox PARC)의 연구자 존 쇼크(John Shoch)와 존 허프(Jon Hupp)가 구현했다. 네트워크에서 놀던 프로세서들을 찾아 그들에게 업무를 할당하고 연산처리를 공유해 전체 네트워크의 효율을 높이기 위해 웜을 설계했다고 알려진다. 하지만 그들이 악의적인 행동을 하려고 만들었는지 아니면 실험용으로 만들었다가 통제를 벗어난 것인지는 정확히 밝혀지지 않았다.

초기의 악성코드는 연구자들이 실험하다가 만들었고, 1980년대에 들어서야 개인용 컴퓨터에서 컴퓨터 바이러스가 등장한다. 그 발생지는 바로 애플이 1977년에 만든 컴퓨터였다. 1982년 발견된 엘크 클로너 바이러스 (Elk Cloner Virus)는 당시 15세 리차드 스크렌타(Richard Skrenta)가 제작했다. 이 바이러스는 부트한 후 메모리에 남아있다가 감염되지 않은 새 디스크가 컴퓨터에 들어오면 해당 디스크를 감염시켰다. 그리고 감염된 컴퓨터의 플로피 디스크가 50번째 부트할 때 다음과 같은 메시지를 출력했다.

“자아를 가진 프로그램. 그것은 당신의 모든 디스크를 침입할 겁니다. 그래요, 그게 바로 클로너입니다! 그것은 접착제처럼 당신에게 들러붙을 거예요. 그리고 당신의 램도 수정할 겁니다. 클로너를 보내세요!” - 엘크 클로너
“The program with a personality. It will get on all your disks. It will infiltrate your chips. Yes, it's Cloner! It will stick to you like glue. It will modify ram too. Send in the Cloner!” - Elk Cloner

1986년에는 최초의 MS-DOS 바이러스 브레인(Brain)이 발견된다. 브레인 바이러스는 360킬로바이트 용량의 5.25 인치 플로피 디스크만 감염시키는 부트 바이러스다. 제작자는 앰자드 알비(Amjad Farooq Alvi)와 배시트 알비(Basit Farooq Alvi)라는 파키스트인이다. 그들은 그들이 만든 프로그램을 불법 복사하는 사람들을 처벌하기 위해 브레인 바이러스를 만들었다. 이 바이러스는 1987년 10월 미국 델라웨어 대학(Delaware University)에서 최초 발견돼 1988년부터 전 세계로 퍼졌다. 브레인 바이러스는 한국에서 처음 발견된 바이러스이기도 하다.





엘크 클로너 바이러스(Elk Cloner Virus)가 출력한 메시지  
엘크 크로너 바이러스 (Elk Cloner Virus)는 애플이 1977년에 만든 컴퓨터에서 발견됐다.




브레인 바이러스 (Brain Virus)가 감염된 플로피 디스크 





예수의 땅에서 발생한 질병

브레인 바이러스가 전 세계로 퍼지면서 일반 사용자도 바이러스의 존재를 알게 됐다. 대표적으로 비엔나 바이러스(Vienna Virus), 예루살렘 바이러스 (Jerusalem Virus) 등이 세계 각지에서 발생했다. 당시 도스에서 활동하는 바이러스만 10여 종이었다. 1987년 10월 이스라엘에서 제작된 것으로 알려진 예루살렘 바이러스는 감염된 컴퓨터에 잠복하다가 13일 금요일에 ‘COM’, ‘EXE’ 등이 붙은 실행파일을 파괴하고 삭제한다.

1년 후 1988년 11월 2일에는 코넬대학교(Cornell University)에 다니는 학생인 로버트 터팬 모리스(Robert Tappan Morris)가 모리스 웜(Morris Worm)을 유포했다. 그가 처음부터 악성 행위를 목적으로 만든 것은 아니었고, 다른 시스템에서 자신의 프로그램을 실행하기 위해 모리스 웜을 만들었다. 하지만 웜이 가진 자체 버그가 생기면서 많은 시스템이 마비됐다. 이 피해를 당한 호스트 시스템은 6,000개에서 60,000개 정도로 추정한다. 이 사건으로 그는 집행유예 3년을 받고 400시간의 사회봉사를 했으며 10,000달러의 벌금을 냈다. 흥미로운 점은 이 웜을 통해 전 세계 인터넷 시스템의 규모를 알게 됐다고 한다.

전 세계가 컴퓨터 바이러스의 등장에 당황하고 있을 무렵에 최초로 바이러스를 분석한 서적이 발행됐다. 독일의 랄프 버거(Ralph Burger)는 자신을 복제할 수 있는 프로그램 비엔나 바이러스(Vienna Virus)를 구현했다. 그리고 이 샘플을 분석해 바이러스 원리, 제작법, 기존 바이러스 소스, 데이터 파괴법 등을 담은 서적을 출판한다. 최초의 바이러스 서적으로 알려진 [COMPUTER Viruses: a High-Tech Disease(Das Grosse Computerviren-Buch)]은 각국에 수많은 변형 바이러스들이 제작되는데 일조한 셈이 됐다. 그 후 바이러스가 다양한 종류로 제작됐다. 1990년에는 최초로 다형성 기법을 사용한 V2PX 바이러스, 1991년에는 연결형 바이러스 Dir-II 바이러스가 발견됐다. 이전의 바이러스는 암호화 바이러스로써 암호를 푸는 코드가 같아서 시그니처로 진단할 수 있었다. 하지만 다형성 바이러스는 감염할 때마다 다른 암호화 기법을 사용한다. 바꿔 말하면 암호화 바이러스의 단점을 보완해 악성코드 탐지를 더욱 어렵게 만든 셈이다.

연결형 바이러스는 실행하려 했던 프로그램 대신 감염된 실행파일을 실행하도록 유도한다. 이 바이러스는 FAT(File Allocation Table) 연결구조만 수정하므로 감염 속도가 빠르고 광범위하다. 파일 바이러스에 감염되면 특정 파일, 프로그램을 실행할 수 없고 실행하는 데 더 오래 걸린다. 1992년 하드디스크를 파괴하며 ‘미켈란젤로 바이러스 신드롬’이라는 말까지 생긴 일이 발생했다. 사건의 주인공 미켈란젤로 바이러스(Michelangelo Virus)는 스웨덴에서 처음 발견됐으며 500만 대가 감염됐다고 알려졌으나 실제로는 1만 대에 불과했다. 당시 안철수 연구소(현 안랩)가 개발한 V3 백신 프로그램은 이 바이러스에 대응하면서 유명해졌다.




최초의 바이러스 서적





가장 뛰어난 바이러스 베포 툴, 윈도우 마이크로소프트는 윈도우 체제 그리고 엑셀, 워드 등과 같은 오피스 프로그램을 만들었다. 그에 따라 오피스 프로그램으로 전파하는 바이러스가 발생했다. 이때 만들어진 매크로 바이러스(Macro Virus) 또는 스크립트 바이러스는 스크립트 언어를 이용해 만들어졌다. 매크로란 하나의 명령으로 여러 개의 명령을 수행하는 기능이다. 특히 이 바이러스는 실행 프로그램 파일이 아니라 자료 파일로 감염되므로 일반인도 손해 입을 가능성이 크다. 해당 문서를 이메일로 보낼 때 상대방 컴퓨터에 침입해 파일명이나 문서 내용을 바꾸거나 하드디스크 정보를 삭제한다. 멜리사 바이러스(Melissa Virus)가 대표적인 매크로 바이러스다.
1996년 7월에 발견된 매크로 바이러스의 일종인 라루 바이러스(Laroux Virus)는 엑셀의 VBA(Visual Basic for Application)로 작성됐다. 워드 베이직은 나라 언어별로 쓰는 명령어가 달랐다. 즉 영어로 작성한 바이러스는 한국에서 동작하지 않는다. 하지만 VBA로 작성한 바이러스는 언어가 달라도 전 세계 어디서나 활동할 수 있다. 또한 OS X에서도 워드와 엑셀을 사용하기 때문에 매킨토시 컴퓨터에도 퍼졌다.
윈도우의 사용률이 올라감에 따라 윈도우 운영체제를 침투한 악성코드도 1998년에 발견됐다. 백 오리피스(Back Orifice)는 백도어 악성코드의 한 종류로 윈도우 운영체제를 조절하는 악성코드다.  백도어(Backdoor)란 시스템을 유지 보수하고 발생하는 문제를 해결하려고 관리자가 보안설정을 우회해 시스템에 접근하도록 만든 도구다. 하지만 최근에는 악의적으로 공격하는 사람들이 쉽게 시스템에 다시 침입하는 데 이용하는 도구를 뜻한다. 백 오리피스를 이용하면 윈도우 운영체제 환경의 시스템의 중요 정보를 조작하거나 파괴할 수 있다.




사랑으로 사람들을 속인 바이러스

윈도우의 발전뿐 아니라 사람들의 일상에 또 다른 변화가 찾아온다. 바로 이메일이다. 이메일은 1971년에 개발됐었지만, 일반인들이 자유롭게 계정을 만들어 이메일을 사용하게 된 건 90년대 후반이 된 후부터다. 소셜미디어 같은 건 없었던 시절, 사람들은 연인이나 친구와 주로 이메일로 연락을 주고받았다. 악성코드 제작자는 이 기회를 놓치지 않고 이메일로 전파하는 악성코드를 만든다.

이름만 들어도 설레는 러브레터 바이러스는 2000년 5월 4일 ‘제가 보내는 사랑 고백 편지를 읽어보세요’ 라는 내용과 ‘LOVE-LETTER-FOR-YOU.TXT.vbs'라는 파일이 같이 첨부해 이메일을 보냈다. 이 악성코드는 바이러스와 웜의 특징을 모두 갖고 있었다. 파일을 손상하거나 탐색기에서 보이지 않게 만들었으며 이메일을 받은 사람의 연락처에 있는 주소로 자동 전송돼 전파력도 상당했다.
2001년 7월 미국 백악관은 물론 전 세계 약 30만 대를 집어 삼킨 악성코드가 나타났다. 코드레드 웜(Codered Worm)은 마이크로소프트사의 윈도우 운영체제를 사용하는 인터넷 서버를 감염했다. 이 웜은 목표 시스템을 침투한 후 일정 시간 동안 잠복해 있다가 공격한다. 이때 감염된 서버는 속도가 느려지거나 작동이 멈추는 등의 이상이 생긴다.

세계를 뒤흔들 정도로 악성코드의 영향력이 커지면서 2003년 1월 25일 역사에 남을 사건이 터졌다. 사건의 범인 슬래머 웜(SQL Slammer Worm)이 전 세계 인터넷을 마비시킨 것. 이 웜은 윈도우 2000의 SQL 서버 취약점을 이용했으며 감염된 호스트로 초당 1만~5만 개의 UDP 패킷을 생성해 인터넷으로 전송했다. 그리고 악성코드를 전파해서 감염 시스템을 추가로 만들었다. 슬래머 웜에 감염된 호스트들은 과부하를 일으켰고 서비스 방해(DoS, Denial of Service) 현상을 겪었다. 한국에서 이 웜에 감염된 PC들은 KT 혜화전화국의 DNS 서버에 인터넷 트래픽을 집중하면서 퍼졌다. KT 혜화전화국이 마비되자 전국 인터넷 트래픽이 다른 백본망으로 우회했고 다른 DNS 서버도 차례로 마비됐다.




원치 않았던 선물 트로이목마

모든 전쟁 무기가 처음부터 악의를 품고 발명된 게 아닌 것처럼 악성코드도 마찬가지인 듯하다. 악성코드를 만들 수 있는 사람이 늘어나고 종류도 많아지면서 제작 목적도 변질했다. 2004년에는 영화에서 봤을 법한 악성 봇(Malicious Bot)이 개발됐다. 악성 봇은 정해진 알고리즘에 따라 일어나지 않고 공격자의 입력에 따라 동작한다. 미리 정해진 IRC 서버의 특정 대화방에 접속해 공격자의 명령을 기다렸다가 공격자가 IRC 서버로 명령을 내리면 악성 행위를 수행한다. 예를 들어 프로그램을 설치하면 자동으로 광고가 뜨게 만드는 애드웨어(Adware)를 설치하고, 스팸 메일을 보내거나 시스템 자체가 정상적으로 돌아가지 않게 공격(DDoS, Distributed Denial of Service)한다.
악성 봇에 이어 특정 기업이나 조직의 네트워크에 지속해서 가하는 APT(Advanced Persistent Threat) 공격이 연이어 발생했다. 한국에서는 2004년 6월에 최초로 APT 공격을 당했다. 핍뷰어(PeepViewer)라는 트로이목마가 유포되면서 6개 공공기관의 PC 64대와 민간 기업의 PC 52대가 감염됐다. 이 트로이목마는 이메일로 ‘워크숍 내용과 일정.MDB’라는 첨부 파일을 전송해 악성코드 감염을 시도했다.
또한 해외에서는 2010년 이란 원자력 발전소의 시스템 파괴를 목적으로 한 APT 공격 사건이 충격을 주었다. 스턱스넷(Stuxnet)은 특정 산업 자동화 시스템만을 목표로 만들어졌다. 즉 원자력, 철강, 반도체 등 주요 산업 기반 시설의 제어 시스템을 망가뜨려 치명적인 손상을 입힐 수 있다.





이름만 들어도 설레는 러브레터 바이러스



안드로이드 랜섬웨어




제일 가까운 곳에 숨어있는 적 2010년 들어서는 소셜 네트워크 서비스와 스마트폰을 통해서도 악성코드가 전파되기 시작했다. 트위터에서는 단축 URL을 가짜 단축 URL로 바꿔서 사용자들을 악성코드가 삽입된 웹사이트로 유도하는 사례가 발생했다. 페이스북에서도 이용자들의 개인 정보를 탈취하려는 게시물들이 게시됐다. 또한 페이스북 채팅 메시지를 악용해 허위 페이스북 웹 페이지로 접속을 유도한 후 악성코드를 내려받도록 하는 기법도 발견됐다. 2010년 스마트폰을 대상으로 하는 악성코드가 실험적으로 제작됐다. 그후 2011년부터 본격적으로 스마트폰을 노리는 악성코드가 유포됐다. 2011년 2월 안드로이드(Android) 스마트폰에서 개인정보를 탈취하기 위해 제작된 Adrd와 Pjapps 악성코드가 발견됐다. 3월에는 구글이 운영하는 정식 안드로이드 앱스토어가 아닌 제3의 앱스토어를 이용해 통화 명세까지 탈취하는 Adrd 변형도 제작됐다.

최근 가장 화제가 된 악성코드는 단연 랜섬웨어(Ransomware)다. 랜섬웨어는 ‘Ransom(몸값)’과 ‘Malware(악성코드)’의 합성어로 중요한 데이터 자산을 인질로 삼아 금전적인 대가를 요구하는 악성코드나 그런 공격방식을 뜻한다. 특정 파일들을 암호화하고 이를 복원하기 위해 결제가 필요하다는 경고문과 그 절차를 안내한다. 이렇게 암호화된 파일을 인질로 삼아 몸값을 요구한다. 대가를 지불한다고 해도 모든 파일을 복구할 수 있다는 보장도 없다. 한국에서는 크립토락커(CryptoLocker)류가 가장 유명하다. 특히 안드로이드 디펜더(Android Defender)라는 악성 앱은 악성코드에 감염되었다는 허위 정보를 보여주고 치료를 빌미로 금액 결제를 유도한다. 감염될 경우 해당 기기가 통제 불가능한 상태가 돼 안드로이드폰 내의 중요 정보를 정상적으로 사용할 수 없도록 만든다.




백신, 악성코드를 잡아라!

바이러스 검사 소프트웨어 또는 안티 바이러스 소프트웨어(Antivirus Software)는 악성 소프트웨어를 찾아 제거하는 컴퓨터 프로그램이다. 한국에서는 주로 백신(Vaccine) 이라고 부른다. 국내 안티 바이러스 업체는 안랩, 하우리 등이 있다. 해외에는 맥아피(Mcafee), 시만텍(Symantec) 등이 있다.
처음 문서로 만들어진 컴퓨터 바이러스 제거 프로그램은 1987년에 발표된 번트 픽스(Bernd Fix)인 것으로 알려졌다. 이 프로그램은 독일의 번트 로버트 픽스(Bernd Robert Fix)가 만들었다. 그는 1986년부터 독일 함부르크 클럽 소속으로 컴퓨터 보안, 바이러스에 대해 연구했다. 폴란드도 바이러스 MKS vir를 제거하는 프로그램을 1987년 공개했다. 1988년에는 닥터 솔로몬의 앤티바이러스 툴킷, AIDSTEST와 AntiVir 등이 소개됐다. 같은 해 한국에서는 안철수 연구소(현 안랩)의 안철수 박사가 V1이라는 프로그램을 제작했다. 미국에서는 안티 바이러스 프로그램 제조사와 판매상이 1988년 6월에 협회를 구성했다.




문자열 진단 기술을 이용한 치료

초기 백신 프로그램의 방어 방식은 워드 프로세서의 단어들을 자동으로 관찰하는 것처럼 단순했다. 기계어를 열어 특정 바이러스에만 존재하는 문자열을 비교하고 찾아내는 문자열 진단 기술을 활용한 것이다. 이는 프로그램 코드 중 문자열(String)을 비교해 악성코드 여부를 판명하는 기술이다. 그리고 파일이 생성되면 파일이 가진 고유한 지문과 같은 것인 해시(Hash)값을 이용하기도 했다. 당시 기술로 해시 값은 지울 이유도 없었고 쉽게 지울 수도 없었다. 즉, 파일명을 바꿔도 해시 값은 그대로 남아있는 것이다. 백신 프로그램은 악성코드마다 해시 값을 할당해 놓았다가 해시 값이 변조되면, 사용자에게 경고 메시지를 띄워 바이러스가 감염된 사실을 알리곤 했다.
문자열 진단 기술과 해시 진단은 모두 시그니처 기반 기술에 속한다. 이는 PC 내 파일을 스캔해 백신 엔진에 등록된 바이러스 시그니처와 일치하면 치료하는 방식이다. 바이러스 시그니처(Virus Signature)란 바이러스의 고유한 비트열이나 이진수의 패턴, 특정 바이러스를 검색하기 위해 사용하는 지문과 같은 것이다. 하지만 시그니처 기반 기술은 이전에 발견된 적이 있는 바이러스의 시그니처만 등록돼 있다. 이 때문에 신종 바이러스에는 빠르게 대처하기 어렵고 변종을 탐지하기 어렵다. 게다가 사용자 스스로 악성 여부를 판단해야 했고 너무 많은 경고가 떴기 때문에, 보안을 잘 모르는 사람들은 그 경고를 무시했다. 악성코드가 다양해지면서 진단하기 더욱 어려워졌고 단순 문자열만으로 진단한 결과 오진이 자주 발생했다.




바이러스 검사 프로그램을 본격적으로 개발

1990년 후반 19개의 바이러스 검사 프로그램이 나타났다. 그 중 대표적인 프로그램이 시만텍(Symantec)이 만든 노턴 안티바이러스(Norton AntiVirus)다. 당시 컴퓨터 바이러스 연구로 유명한 사람들은 프레드 코헨, 존 맥아피 등이 있다. 1995년 윈도우 95가 대중화되면서 MS-DOS를 대체했다. 그에 따라 악성코드도 오피스 문서, 윈도우로 퍼졌고 인터넷이 보편화한 후에는 이메일로도 전파됐다.
변종 악성코드를 탐지하기 위해 휴리스틱 기술이 개발됐다. 이는 원본 파일의 일부만 변경돼도 전혀 다른 파일로 인지하는 기존 기술의 한계를 극복하기 위한 기술이다. 특정 코드의 행위 방식이 이미 알려진 악성코드의 행위 방식과 얼마나 유사한지를 분석해 알려지지 않은 악성코드를 탐지한다. 다만 그 특성상 오진이나 과탐의 이슈가 발생하기도 한다.




악성코드의 다양화, 백신 기술의 고도화

2000년대 들어 악성코드 제작자들의 코드 배포 목적은 변하기 시작했다. 더는 악성코드는 실력 과시를 위한 것이 아니었다. 금전적 목적으로 변한 것이다. 이때 배포자들은 인터넷을 사용하는 전 사용자(불특정 다수)가 아닌 철저하게 이익을 얻을 수 있는 조직을 노렸다. 인터넷 전반에 관여하는 보안업체가 사전에 악성코드를 발견하기 더욱 어려워졌다. 어떤 불법적인 방법으로 외부와 단절된 특정 네트워크에 침입했을 때 해당 백신이 이를 알아낼 방법은 없다. 따라서 백신 프로그램 업체들은 파일이 아닌 네트워크 단계에서 악성 여부를 검사하는 네트워크 검사 기술을 개발했다. 그에 따라 방화벽 기능을 탑재 및 제공하기도 했다. 또한, 악성코드를 가상 공간에서 실행하고 위험 유무를 확인하는 행동기반 탐지 혹은 클라우드 기법을 이용해, 악성코드 여부를 악성코드 정보가 모여있는 서버에서 판단하는 클라우드 기반 탐지 기술, 파일에 대한 사용자 수와 제작일 등의 평판을 기반으로 하는 평판 기반 기술 등을 개발했다. 최근에는 실시간 대응을 위해 시그니처 기반, 평판 기반, 행동 기반 방식 등을 함께 사용한다. 





누적 악성코드 수 추정치
출처: 안랩 





악성코드의 주요 사건








안티 바이러스 업체 안랩, 시만텍, 맥아피

tags 남은선 기자 , 컴퓨터 바이러스 , 바이러스 역사 , 악성코드 , 맬웨어 , 최초 바이러스 , 크리퍼 , 엘크 클로너 , 브레인 , 러브레터 , 트로이목마

저작권자 © 웹스미디어 무단 전재-재배포 금지

뉴스콘텐츠는 저작권법 제7조 규정된 단서조항을 제외한 저작물로서 저작권법의 보호대상입니다.
본 기사를 개인블로그 및 홈페이지, 카페 등에 게재(링크)를 원하시는 분은
반드시 기사의 출처(로고)를 붙여주시기 바랍니다.
영리를 목적으로 하지 않더라도 출처 없이 본 기사를 재편집해 올린 해당 미디어에 대해서는 합법적인 절차(지적재산권법)에 따라
그 책임을 묻게 되며, 이에 따른 불이익은 책임지지 않습니다.

URL 복사 출력하기 목록보기 스크랩하기

관련기사


정기구독신청