컴퓨터 보안위협 - 바이러스와 웜

바이러스

1. 정의

컴퓨터 바이러스(virus)는 컴퓨터의 운영체제와 핵심 데이터를 파괴한다거나, 자기복제 알고리즘을 이용하여 시스템을 작동불가 상태로 만드는 특수하게 제작된 프로그램이다 '바이러스'란 용어는 1983년 캐나다의 한 학회에서 프레드 코헨 박사가 '컴퓨터 바이러스 : 그 경험과 이론'이라는 논문을 발표하여 처음 사용했고, 그는 이전까지는 '쓰레기 프로그램' 또는 '악의적인 코드를 가지고 있는 프로그램' 등으로 다양하게 불렀다. 

생명체에 침투하는 바이러스가 생명체를 매개로 하여 병을 전염시키는 것처럼, 컴퓨터 바이러스 역시 컴퓨터와 컴퓨터간의 통신이나 접촉을 이용하여 다른 컴퓨터에 전염된다. 컴퓨터 바이러스는 감염된 디스크로 컴퓨터를 부팅하거나 그 디스크를 사용하는 경우에 프로그램된 절차대로 활동하게 되는데, 이런 특성이 생물학적 바이러스와 비슷하기 때문에 컴퓨터 바이러스라는 이름이 붙여진 것이다. 

즉, 컴퓨터 바이러스도 다른 일반 프로그램과 동일하게 인간이 만든 프로그램의 한 종류이다. 

2. 바이러스의 발생 기원

바이러스의 발생 기원에는 두 가지 설이 있다. 

첫째는 1949년 존 폰 노이만이 발표한 논문이 바이러스의 시작이라는 설이다. 노이만이 논문에서 자기 자신을 복제하여 무한 증식하는 프로그램의 가능성을 제시했는데, 이후 프로그래머들이 이것에 힌트를 얻어 바이러스를 제작하기 시작했다는 것이다. 

둘째는 소설가인 데이비드 제롤드의 공상과학소설에서 바이러스의 구체적인 모습이 최초로 제시되었다는 설이다. 1972년에 발표된 데이비드 제롤드의 'When Harlie was One'에는 "다른 컴퓨터에 자신을 계속 복제하여, 감염된 컴퓨터의 운영체제가 영향을 받아, 점차로 시스템이 마비되는 장치를 어떤 과학자가 제작하여 배포한다."는 내용이 들어있는데, 일부에서는 이를 바이러스의 시작이라고 주장하기도 한다. 

특정 컴퓨터에 나쁜 영향을 미치기 시작한 최초의 바이러스 프로그램은 1985년에 발견된 브레인 바이러스(Brain Virus)로 기록되고 있다. 이 바이러스는 파키스탄에서 프로그래머로 일하던 알비 형제가 자신들의 소프트웨어가 불법 복제되는 것을 참다못해 만들어서 유포시킨 설이라고 한다. 

실제로 미국에서 1985년 처음 보고된 이 바이러스는 한국에서는 1988년 부터 (C)BRAIN 이란 이름으로 전염되기 시작했다. 

3. 바이러스의 구분

컴퓨터 바이러스는 여러 가지 목적으로 제작된다. 자신의 능력을 과시하기 위해 제작되거나 소프트웨어의 불법복제를 막기 위해 제작되기도 한다. 그리고 소프트웨어의 유통 경로를 알아보기 위해, 혹은 경쟁자 또는 경쟁사에게 타격을 주기 위해 제작되기도 한다.  컴퓨터 바이러스는 그 영향 정도에 따라 악성과 양성으로 구분하고, 감염 부위에 따라 부트 및 파일 바이러스로 구분한다. 

(1) 부트 바이러스 : 컴퓨터가 시작될 때 제일 먼저 읽게 되는 디스크의 특정 장소에 감염되어 있다가 컴퓨터가 부팅되고 POST 작업을 시작할 때 활동을 시작하는 바이러스이다. 부트 바이러스는 플로피 디스크나 하드 디스크의 부트 섹터에 감염된다. 

(2) 파일 바이러스 : 파일을 직접 감염시키는 바이러스로서 부트 바이러스와는 다르게, 하드디스크에 담겨 있는 파일을 대상으로 활동하는 바이러스이다. 일반적으로 COM이나 EXE와 같은 실행 파일과 디바이스 드라이버 등에 감염되는 것으로 전체 바이러스의 80% 이상을 차지한다. 파일 바이러스는 감염된 실행 파일을 실행할 때 감염된다. 

이 바이러스는 그 종류에 따라 활동 방식도 다르다. 감염 즉시 활동하는 것, 일정기간의 잠복기가 지난 후에 활동하는 것, 특정 기간이나 특정한 날에만 활동하는 것 등으로 나눌 수 있다. 특정한 날에만 활동하는 바이러스 중에는 13일의 금요일이 되면 활동하는 예루살렘 바이러스, 미켈란젤로의 생일인 3월 6일에만 활동하는 미켈란젤로 바이러스 등이 있다. 

4. 바이러스의 감염과 증상

인터넷의 P2P 연결을 통해 불법으로 다운로드한 소프트웨어를 설치하거나, 여러 사람이 공동으로 사용하는 컴퓨터에서 USB를 이용할 떄 자신도 모르게 바이러스에 감염될 수 있다. 이렇게 감염된 USB를 사용하거나 자신의 컴퓨터에 불법 소프트웨어 등을 설치하면 감염된다. 최근에는 특정 사이트에 접근하거나 특정 게임을 할 때도 바이러스에 감염되기도 한다. 

바이러스에 감염되면, 컴퓨터 부팅시간이 평소보다 오래 걸리거나, 부팅 자체가 되지 않을 수도 있고, 특정 프로그램이 실행되지 않을 수도 있다. 또한 프로그램을 실행시키는 시간이 평소보다 오래 걸리거나, 웹 브라우저를 사용하지 않는 상태에서도 특정 광고 페이지가 화면에 나타나게 된다. 

감염 예방을 위해서는 복제품이 아닌 정품 소프트웨어를 사용하고, 외부에서 사용했던 USB는 내 PC에서 사용하기 전 반드시 백신 프로그램으로 바이러스 감염 여부를 확인한 후 사용해야한다. 또한 인터넷을 통하여 받은 프로그램의 경우에도 반드시 감염 여부를 확인 후 사용해야 한다. 

웜

1. 웜의 정의

웜(Worm)은 스스로 자신을 복제하는 악성 프로그램으로 컴퓨터에 숨어있는 기생충으로 묘사되기도 한다. 다른 프로그램이나 컴퓨터 시스템을 삭제하는 등의 직접적인 영향을 끼치지는 않지만, 감염시킨 컴퓨터에서 입수한 이메일 주소를 이용하여 인터넷을 통해 계속 전염된다. 자기 자신을 무한 복제해서 결국에는 대다수의 컴퓨터 시스템을 정지시킨다는 점에서 바이러스를 능가하는 피해를 끼치기도 한다. 웜은 바이러스처럼 기존 프로그램에 영향을 미치는 것이 아니라 독립된 프로그램으로 동작한다는 것이 특징으로, 확산 속도가 바이러스에 비해 빨라 단시간 내에 네트워크에 치명적인 피해를 입힐 수 있다. 대표적인 웜 몇 가지를 살펴보자. 

2. 모리스 웜(Morris Worm)

최초의 웜으로 1988년 11월에 발생했다. 대중들에게 웜에 대한 관심을 불러일으킨 주범으로 1988년 코넬대학에 재학 중이던 로버트 모리스에 의해 개발되었다. 모리스 웜은 당시 인터넷에 접속된 6만 대의 컴퓨터 중 약 10%에 달하는 유닉스 머신을 감염시켰고, 추정된 총 피해액만 10만 ~ 1천만 달러에 달했다. 그러나 모리스는 수사과정에서 인터넷의 크기를 파악하려는 순수한 의도로 웜을 배포했다고 주장하였다. 

3. 님다 웜(Nimda Worm)

2011년에 등장한 님다 웜은 클라이언트와 서버의 취약한 경로를 통해 전파된 웜으로 발생 22분 만에 인터넷을 장악했다. 이메일을 통해 배포되는 경우가 많으며 'README.EXE' 등의 첨부파일을 통해 감염된다. 마이크로소프트의 아웃룩 사용자의 경우 첨부파일을 실행하지 않고 본문 내용을 보기만 해도 자동ㅇ로 감염되는 것으로 알려졌다. 마이크로소프트의 인터넷 익스플로러 초기 버전은 단순히 메시지를 읽기만 해도 님다에 감염될 정도로 보안이 취약했다. 님자는 어드민(admin)의 철자를 거꾸로 한 것이다. 

4. 슬래머 웜(SQL Slammer)

다양한 인터넷 호스트에 서비스 거부 공격을 실시한 웜으로, 2003년 1월 25일 인터넷 대란을 일으켰다. CAIDA(샌디에고 슈퍼컴퓨터 센터)의 보고에 따르면 2003년 1월 25일 5시 29분에 슬퍼지기 시작하여 30분 만인 6시에 전 세계 74,855대 컴퓨터가 순식간에 감염되었다. 이메일이나 메신저로 전파되던 기존 웜과는 달리 시스템의 취약점이 발견되자마자 웜 코드가 실행되었기 때문에 보안 패치를 실시할 시간적 여유가 없었고 피해 규모는 커질 수밖에 없었다. 국내에서 1.25 인터넷 대란을 일으키며 큰 피해를 입힌 웜이기도 하다. 

5. 블래스터 웜(Blaster Worm)

2003년 마이크로소프트의 윈도우 NT계열을 통해 급속하게 확산된 웜이다. 이 웜은 컴퓨터에 침입한 후 메모리를 과다 사용하게 만들고, 궁극적으로 운영체제를 파손시킨다. 보통 'RPC 서비스가 예기치 않게 종료되어 윈도우를 지금 다시 시작해야 합니다.' 라는 메시지와 함께 컴퓨터가 재부팅된다. 하지만 이미 윈도우 레지스트리가 수정된 상태라 컴퓨터를 재시작해도 똑같은 상황이 반복될 뿐이다. 블래스터 웜은 전세계적으로 20만 대가 넘는 시스템을 감염시켰으며 국내에도 창궐해 슬래머 웜의 악몽을 다시 불러일으켰다. 

웜은 이메일에 첨부파일 형태로 첨부되어 확산되거나, 운영체제나 프로그램의 보안 취약점을 이용하여 스스로 침투하는 것이 일반적이나, 최근에는 메모리에 상주하고 있다가 전파되는 신종 웜이 발생하기도 한다. 메신저/채팅 프로그램, P2P 파일 공유 프로그램, 이메일 관련 스크립트 기능, 네트워크 공유 기능의 허점을 이용하여 전파되는 경우가 있기 때문에 피해와 부작용이 계속 커질 것으로 예측되고 있다. 

매크로 바이러스

1997년 매크로 바이러스가 출현하였다. 매크로(Macro)란 엑셀이나 워드에서 특정한 기능을 자동화시키는 일종의 약식 프로그램을 말한다. 매크로는 시스템 프로그램과 같은 고난도의 프로그래밍 기술만이 웜과 바이러스 제작에 사용될 수 있다는 그동안의 인식을 바꾸어 놓았다. 기존의 바이러스는 실행할 수 있는 파일인 COM이나 EXE에 감염되는 특성을 가지고 있으나 매크로 바이러스는 엑셀 또는 워드와 같은 문서 파일의 매크로 기능을 이용하기 때문에 워드나 엑셀 파일을 열 때 감염되는 특징을 가지고 있다. 

출처 : "정보보안 및 인터넷해킹과 방어기술"