악성 코드는 Malware, Malicious Program 등으로 표기하고, 최근에는 악성 소프트웨어라는 용어를 사용하기도 하며, '악의적인 목적을 위해 작성된 실행 가능한 코드;로 정의함
악성 코드는 프로그램, 매크로, 스크립트뿐만 아니라 취약점을 이용한 형태도 포함하고 있으며, 형태에 따라 바이러스, 웜(Worm), 트로이 목마(Trojan Horse)로 분류
최근 등장하는 악성 코드의 경우 윈도우의 레지스트리에 임의의 명령어를 삽입하는 경우가 많으므로, 악성 코드를 삭제한 후 WIN.INI 파일을 수정하는 등 추가 조치를 취해야 하는 경우가 많아지고 있음
대표적인 악성 코드로는 바이러스, 트로이 목마, 웜, 악성 스크립트(Malicious Script-Java, Active-X, VBS), 드로퍼(Dropper), 논리 폭탄(Logic Bomb), Trap Door, Hoax/Myth, Joke 등이 있음
정의
바이러스
프로그램, 실행 가능한 어느 일부분 혹은 데이터에 자기 자신이나 변형된 자신을 복사하는 명령어들의 조합
감염대상 프로그램이나 코드를 변형해 바이러스 코드 혹은 일부 코드를 복제해 감염시키고 다른 대상을 감명시킴으로써 확산
웜
다른 프로그램의 감염 없이 자신 혹은 변형된 자신을 복사하는 명령어들의 조합
기억 장소에 코드 형태로 존재하거나 혹은 실행 파일로 존재하며, 실행되면 파일이나 코드 자체를 다른 시스템으로 복사
트로이 목마
컴퓨터의 프로그램 내에 사용자는 알 수 없도록 프로그래머가 고의로 포함시킨 자신을 복사하지 않는 명령어들의 조합
고의로 포함시켰다는 점에서 프로그램의 버그와 다르며, 자신을 복사하지 않는다는 점에서 바이러스와 웜과도 약간 다름
감염 경로 및 증상
악성 코드는 자기 복제와 감염형태에 따라 크게 바이러스, 웜, 트로이 목마로 나눌 수 있는데, 이와 같은 분류에 따라 감염되는 경로와 감염 시 나타나는 피해 증상도 조금씩 차이를 보이고 있음
바이러스
감염 경로
일반적으로 바이러스는 스스로 복제하지는 않지만 정상적인 시스템 파일 또는 사용자가 직접 작성한 파일의 특정 부위에 바이러스 코드를 삽입하는 형태를 보임
대부분 자체적인 전파 기능이 없으므로 인터넷에서 확인되지 않은 파일을 다운로드하여 실행하거나 사용자가 기존에 바이러스에 감염된 파일을 플로피 디스켓 또는 USB 드라이버나 전자 우편을 통해 다른 사용자에게 전달해 실행할 경우 감염될 수 있음
감염 증상
일반적으로 바이러스에 감명될 경우 바이러스의 감염 위치에 따라 다른 이상 증상이 발생할 수 있음
시스템의 부터 섹터 감염 시 며칠 전까지도 정상적으로 부팅됐던 윈도우 시스템이 정상적으로 부팅되지 않을 수 있으며, 파일 자체가 감염될 경우에는 사용자가 실행한 특정 프로그램 또는 파일이 정상적으로 실행되지 않거나 사용자가 예상하지 못한 오류가 발생할 수 있음
웜(Worm)
감염 경로
웜은 자신을 시스템에 복제하고 다른 시스템으로 전파하는데, 이와 같은 웜의 주된 감염 경로는 전자 우편과 네트워크라고 볼 수 있음
전자 우편
감염된 시스템에서 전자 우편 어드레스를 수집한 후 발신인과 수신인으로 이용해 웜을 첨부 파일로 발신하고, 웜이 첨부된 전자 우편을 수신하게 될 경우는 발신인이 잘 아는 사람으로 되어 있어 별다른 의심 없이 첨부된 웜을 실행하게 되는 경우
네트워크
첫 번째, 윈도우 취약점을 이용하는 경우 : 취약점이 있는 윈도우 시스템을 네트워크 스캐닝을 통해 찾으면 웜은 윈도우 취약점을 이용해 감염 대상이 되는 시스템에 복제
두 번째, 윈도우 시스템의 사용자 계정에 사용되는 패스워드의 취약점을 이용하는 경우 : 웜은 사용자 계정 패스워드의 취약점으로 인해 사용자 계정의 패스워드에 순차적으로 대입하는 공격 방법으로 사용자 계정과 동일한 권한을 획득하게 되고, 네트워크를 통해 관리 목적 공유폴더에 접속시 사용자 계정의 패스워드로 로그온하여 웜을 복제함
감염 증상
웜은 지속적으로 자신을 다른 시스템으로 복제하기 위해 감염된 시스템의 자원을 대부분 사용하는데, 이 과정에서 시스템 및 네트워크가 느려지는 현상이 발생
트로이 목마
감염 경로
자체적인 전파 기능이 없으므로 인터넷에서 배포된 확인되지 않은 파일이나 악의적인 목적을 가진 제작자가 특정 사용자들에게 전자 우편을 유포해 감염되는 경향이 많음
트로이 목마를 실행하면 제작자가 원하는 기능이 실행되거나 아니면 시스템의 오류 메시지를 표시하면서 오류가 발생되는 것으로 위장하는 경우가 많음
트로이 목마는 해당 시스템에 몰래 설치되며, 시스템의 특정 포트를 오픈해 외부에서 몰래 접속할 수 있는 환경을 만들게 됨
감염 증상
악의적인 공격자는 오픈된 포트를 통해 감염된 시스템의 사용자 정보를 유출하거나 시스템을 원격 제어할 수 있으므로 트로이 목마는 개인 정보를 유출한다는 면에서 다른 바이러스나 웜 보다 더 위험하다고 볼 수 있음
작게는 자주 방문하는 웹사이트의 사용자 암호가 변경되어 접속되지 않을 수도 있으며, 크게는 온라인 뱅킹을 통해 사용자도 모르게 통장의 잔고 모두가 다른 계좌로 이체 될 수도 있음
예방
의심스러운 웹사이트 방문을 삼가함
잘 모르는 사람이 보냈거나 수한 이메일을 열지 않음
메시저로 오는 인터넷 주소나 첨부파일을 함부로 접속하거나 열지 않음
보안 등급을 설정하고, 불법 복제를 하지 않음
통합 보안 프로그램을 설치해 항상 최신 버전으로 유지하고 실시간 감시 기능을 켜둠
진단과 치료
악성 코드의 진단과 치료는 역시 백신 프로그램의 올바른 사용이라고 할 수 있음
최신 엔진 업데이트
실시간 감시 기능 활용
주기적으로 시스템의 모든 파일 검사
하루에도 수 십, 수 백건의 악성코드가 개발 및 전파되고 있는 상황에서, 최신 엔진 업데이트가 아무리 빨리 이뤄진다고 하더라도 피해를 입는 컴퓨터 사용자는 발생됨
악성 코드 감염 증상이 발생하는 경우, 윈도우 프로세스 확인 및 관련 프로그램의 삭제 등의 수동 조치가 불가피
악성 코드의 현황
KISA(한국정보보호진흥원) '2005 정보시스템 해킹 바이러스 현황 및 대응'에서 발표한 국내 웜, 바이러스, 웜 바이러스의 현황을 분석한 내용은 다음과 같음
이메일 첨부 및 윈도우 공유폴더를 통해 전파되는 웜
MSN 메신저를 통해 *.pif 또는 *.scr 확장자를 가진 악성 첨부 파일을 전송하여 감염을 시도하는 메신저 웜
MSN 메신저와 P2P로 전파되어 감염되면 원격의 웜 본체 파일을 다운로드 함으로써 네트워크 성능을 저하시키는 웜
*.mp3, *.com 확장자를 가진 파일을 삭제하며, AnyDVD 프로그램으로 위장하여 P2P 프로그램을 통해 전파되는 웜
영문 이메일로 전파되고, 자체 SMTP 엔진탑재 및 분당 20회 이상의 메일을 발송하는 전형적인 대향 메일 발송 웜
Sony BMG 음악 CD의 루트킷을 이용한 악성 코드
기타 다양한 주요 신종 웜 바이러스
2005년도 한 해 동안 웜바이러스 피해 신고는 총 16,093건으로 2004년에 비해 85% 감소(107,994 => 16,093)하였음
2004년에 기승을 부렸던 Netsky, Bagle, Dumaru 등 대량 이메일 발송 웜의 출현 및 피해 건수가 급감했기 때문
최근에는 기존의 지적 호기심이나 일반인의 주목을 끌기 위한 악성 코드의 유포보다는 특정 대상, 특정 목적을 가지고 행해지는 해킹의 형태로 변하고 있기 때문
유해 가능 프로그램(Potentially Unwanted Program)
악의적인 목적으로 제작되지 않았지만 다른 악성 코드나 타인에 의해 악용될 수 있어 주의가 필요한 프로그램
기능적으로는 악성코드와 유사하지만 상용으로 판매되거나 단독으로는 피해를 줄 수 없는 것
원격제어 프로그램, 키로거 프로그램, 취약점 검색 프로그램 등
스파이 웨어
스파이와 소프트웨어의 합성어로, 다른 사람의 컴퓨터에 몰래 숨어들어가 있다가 중요한 개인 정보를 빼가는 악의적인 프로그램을 지칭
대개 인터넷이나 PC 통신에 무료로 공개되는 소프트웨어를 다운로드 받을 때 함께 설치됨
최근에는 사용자 이름은 물론 IP 주소, 즐겨찾는 URL, 개인 ID, 패스워드까지 알아낼 수 있게 발전되어 악의적으로 사용될 소지가 많음