모두 다 바이러스는 아니다악성코드의 세계
컴퓨터가 제대로 작동하지 않으면 우리는 흔히 '바이러스 걸렸다'라고 한다. 하지만 컴퓨터를 병들게 하는 것에는 바이러스만 있는 것이 아니다. 사용자의 컴퓨터에 침입, 프로그램을 손상하는 등 악의적 목적을 가지고 짜인 코드를 통틀어 악성코드(malware)라고 한다. 이들은 자기 복제 능력과 감염 대상 유무에 따라 바이러스, 웜 바이러스, 트로이 목마 등으로 나뉜다. 이런 것들이 우리 컴퓨터를 괴롭히는 주요 프로그램이다. 모두 바이러스는 아니지만 컴퓨터에 악영향을 끼친다는 점에서 부정적인 뉘앙스를 담아 바이러스라는 단어로 통칭하고 있다.
스스로 복제하여 다른 프로그램을 감염시켜 정상프로그램과 데이터를 파괴하는 능력을 갖춘 악성 프로그램이다. 바이러스라는 이름이 지어진 것은 숙주에 기생하면서 자기 자신을 스스로 복제해 문제를 일으키는 생물학적 바이러스와 작동원리가 유사하기 때문이다. 즉 감염대상이 있어야 작동할 수 있으며 그 영역에 따라 바이러스의 종류를 구분한다. 세계 최초의 바이러스는 1986년 파키스탄에서 만들어진 '브레인 바이러스'이다. 불법 복제자들을 골탕 먹이기 위해 만들어졌다.
바이러스는 파일을 숙주 삼아 자신을 복사하기 때문에 한 컴퓨터 안에서 여러 파일을 감염시킬 수는 있어도 다른 컴퓨터로 옮겨가는 데는 한계가 있다.
다른 프로그램을 감염시키지 않고 스스로 복제하면서 네트워크를 통해 퍼지는 것이 특징이다. 특정 컴퓨터에 숨어 있다가 네트워크를 통해 연결된 다른 컴퓨터에 침투하는 방법을 쓴다. 인터넷이 활발해지기 시작한 90년대 말에서 2000년대 초반부터 이 형태의 악성코드들이 이메일을 중심으로 활개를 치기 시작했다.
웜은 독립적인 파일 형태로 존재한다. 전파력에서도 웜은 바이러스를 압도한다. 웜은 이메일을 반복해서 보내거나 네트워크를 통해 스스로 번져 나가기 때문에 많은 컴퓨터를 동시에 감염시킬 수 있다.
이름에서도 알 수 있듯이 사용자에게 유용한 프로그램인 것처럼 위장해 P2P사이트, 웹페이지, 이메일을 통해 사용자가 프로그램을 설치하게 하는 방법을 쓴다. 좋은 프로그램인 것처럼 보이기 때문에 다운받은 후 사용자가 자신의 컴퓨터가 악용당하고 있다는 것을 눈치채지 못하는 경우도 많다.
하지만 이 안에는 사용자의 컴퓨터 주요 개인 정보를 빼내고 프로그램을 파괴할 수 있는 무서운 바이러스를 가지고 있다. 또한 디도스 공격(DDoS 공격, 분산서비스거부)시 좀비 PC로 활용당하기도 한다. 다만 자기 복제 능력이 없고 다른 파일을 전염시키지 않으므로 해당 프로그램만 지우면 해결할 수 있다.
[장난에서 시작… 비즈니스형 사이버 범죄로 진화한 컴퓨터 바이러스]
우리를 경악시켰던 바이러스 사건
불법 복제물에 대한 저항으로 시작한 1985년 처음 등장한 바이러스는 현재 방법과 기술이 점점 교묘해지고 복잡해지면서 다양한 형태의 악성코드로 발전해왔다. 14일 랜섬웨어의 공포가 한국에도 도착한 지금, 우리의 PC를 위기에 몰아넣었던 사건과 주요 프로그램들을 정리했다.
우리나라에 컴퓨터 바이러스의 심각성을 일깨운 악성코드이다. CIH는 바이러스를 처음 만든 타이완(대만)인 첸잉하오(CHEN ING HAU)의 이니셜이다. 감염파일의 소스(원본) 상태를 열어보면 'CIH V 1.2'는 메시지가 떴다. 체르노빌 원전사고 13주년인 1999년 4월 26일 작동이 예견되면서 일명 '체르노빌 바이러스'로도 불려왔다. CIH는 윈도95와 윈도98에 주로 감염되며 하드 디스크 저장 파일을 망가뜨리고 컴퓨터 부팅(시작) 기능까지 마비시키는 위력을 발휘한다.
이 바이러스 사건의 최대 피해국은 한국이었다. 국내 약 30만대의 컴퓨터가 파괴되어 기업과 공공기관 등에서 피해가 발생했다. 체르노빌 바이러스 전 멜리사 바이러스의 공격을 받은 미국은 바이러스 대비에 만전을 기했으나 해적판과 불법 복제물이 많은 아시아권 국가에서는 큰 피해를 보았다. 터키 30만대, 중국 10만 대, 인도 3만 대, 방글라데시 1만 대, 노르웨이 2000대 등. 중동지역도 전체 컴퓨터의 5∼10% 가 감염된 것으로 추정됐다. 미국의 경우 카네기-멜론대 '컴퓨터 비상사태 대응팀(CERT)'이 잠정집계한 감염 PC는 2328대였다.
바이러스의 인터넷 시대를 알린 악성코드이다. 멜리사 바이러스는 국내보다는 미국에서 더 큰 문제가 됐다. 유럽에서 만들어진 것으로 알려진 이 바이러스는 미국으로 전파돼 미국 내 10여 만대의 컴퓨터와 서버를 오염시켰으며, 또 노스다코다 주 정부 컴퓨터 시스템도 중단돼, 주 정부 기능의 상당 부분이 마비됐다. MS사에서는 한때 전 직원의 모든 이메일 사용을 중단시키기까지 했다.
이 바이러스는 메일 형태로 '멜리사'는 '중요한 메시지(important message from)'라는 제목의 이메일 형태로 돌아다녔다. 이 이메일에는 '당신이 원하던 문서가 있다(Hereisthat document you asked for)'는 내용과 MS 워드 파일이 첨부된 것이 특징. 워드로 작업 중이던 사람이 이메일을 열어 첨부된 워드 파일을 실행시키는 순간 바이러스가 작동되면서 다른 50명에게 이 감염된 이메일을 보낸다. 작업중이던 파일을 이메일로 보내는 특성이 있어 기밀문서를 작업하던 중 50명에게 기밀문서가 그대로 날아갔다.
필리핀에서 만들어져 아시아와 유럽에서 확산된 바이러스로 '사랑 고백'을 가장했기 때문에 가장 인기있는 바이러스였다. '웜(worm)' 형태로 분류되는 러브 바이러스는 모두 마이크로소프트사의 제품인 익스플로러와 아웃룩 익스프레스 시스템을 통해 친구 등 잘 아는 사람의 이름으로 발송된다. 'ILOVEYOU'라는 제목과 함께 '첨부된 러브레터를 확인하기 바랍니다(kindly check the attached LOVELETTER coming from me)’라는 메시지가 들어있다.
'LOVE-LETTER-FOR-YOU.TXT.vbs'라는 첨부파일을 열면 바이러스가 활동을 시작하면서 비디오·디지털 사진 등 그래픽 파일을 삭제하고 음악 파일을 숨긴다. 또한 아웃룩 시스템 주소록에 등록된 모든 이메일 주소로 바이러스를 복사, 전송한다. 바이러스가 이처럼 확대·증산되면서 컴퓨터 네트워크를 마비시켜 딜레이(작동지연)와 셧다운(기능정지)을 일으킨다.
이 바이러스는 '멜리사 바이러스'와 동일한 방법으로 전파됐다. 그러나 멜리사가 아웃룩의 주소록에서 50개의 이메일 주소로만 발송된 데 비해 러브는 모든 주소로 발송되어 말 그대로 수백, 수천 개의 다른 이메일 주소로 전파됐다. 또한 멜리사는 이메일 시스템만을 통해 전파됐으나 러브는 'mIRC'라는 채팅 프로그램을 침범, 채팅방을 통해서도 확산 가능했다.
['러브 바이러스' 특징 ]
2001년 유포된 신종 이메일 바이러스 '님다'(W32.nimda)는 단숨에 미국·일본·한국까지 번지며, 기업 웹사이트와 개인 PC를 감염시켰다. 당시 이 바이러스는 역대 바이러스 중 가장 전염성이 높은 바이러스였다. 과거 다른 바이러스와 달리 이메일의 제목과 첨부파일도 일정하지 않았고 첨부파일이 아닌, 이메일의 내용을 읽기만 해도 감염되는 것으로 나타났다. 당시 안철수연구소와 한국인터넷진흥원은 백신 프로그램이 배포되기 시작했는데도, 바이러스의 확산을 막기에는 역부족이었다.
랜섬웨어
현재 세계를 공포에 몰아넣은 랜섬웨어는 지난 2015년에도 한국에 상륙한 적이 있다. 이때 유포된 랜섬웨어는 '크립토락커(CryptoLocker)'의 한글버전으로 국내 웹사이트를 중심으로 돌아다녔다. PC자체를 암호로 묶는 것은 '락커 랜섬웨어', 파일을 암호로 묶는 것은 '크립토 랜섬웨어'다. 2015년 한해동안 발견된 랜섬웨어 중 크립토 랜섬웨어의 비중(64%)이 락커 랜섬웨어(36%)에 비해 높다.
크립토 랜섬웨어 공격을 가장 많이 받은 국가는 미국, 2위는 일본이다. 크립토 랜섬웨어를 푸는 조건으로 요구되는 금액은 평균 300달러(약 35만원)다. 이 악성코드는 돈을 목적으로 하는 만큼 불특정 다수에게 뿌려진다. 누구나 크립토 랜섬웨어의 공격 대상이 될 수 있는 셈이다. ▶기사 더보기
2017년 5월 발생한 랜섬웨어 공격은 기존의 랜섬웨어와 달라 위험과 파급력 정도가 훨씬 강력하다. 과거 랜섬웨어는 본래 이메일 첨부 파일이나 인터넷 주소를 클릭하면 감염되기 때문에 사용자가 주의하면 예방할 수 있었다. 하지만 이번 NSA의 방식을 이용한 이번 랜섬웨어는 '워너크라이(WannaCry)'라는 신종 해킹 기법으로, 감염된 컴퓨터와 네트워크로 연결돼 있으면 자동으로 감염된다. 사실상 인터넷에 연결만 돼 있으면 감염되는 형태이기 때문에 확산 속도가 기존 어느 악성 프로그램보다 빠르다.
13일 영국의 한 보안 전문가가 랜섬웨어 전염을 막는 방법을 찾아냈지만 곧바로 변종이 등장하면서 피해 확산을 완전히 멈추지는 못했다.
이번 사태에 대해 마이크로소프트(MS)는 "지난 3월 배포한 윈도 보안 업데이트가 설치돼 있으면 랜섬웨어 공격을 받아도 감염되지 않는다"고 밝혔다. 하지만 MS가 업데이트 서비스를 중단한 구형 윈도 프로그램(XP와 비스타) 사용자들은 랜섬웨어 공격에 무방비로 노출될 수밖에 없다. 실제로 영국 의료기관 등 이번에 큰 피해를 입은 곳은 대부분 XP나 윈도비스타를 사용하고 있는 것으로 알려졌다. 이에 따라 MS는 13일 XP와 비스타 등 구형 윈도 버전에 대한 긴급 보안 프로그램을 배포했다. 한국은 랜섬웨어에 취약한 XP와 비스타 운영체제를 이용하는 PC가 70만대 이상인 것으로 추산된다. 윤광택 시만텍 본부장은 "윈도7이나 10 같은 최신 버전을 사용하고 있더라도 자동 업데이트 기능을 꺼놨다면 랜섬웨어에 감염될 수 있다"면서 "신속하게 업데이트를 받는 것이 감염을 막을 수 있는 유일한 방법"이라고 말했다. ▶기사 더보기
