IT·전자

꼭 알고 넘어가야 할 바이러스 상식

발행일시 : 2009-11-23 10:30

올해 보안의 가장 큰 이슈는 DDoS 공격으로 인한 ‘7·7대란’이었다. 공공 기관뿐만 아니라 대형 언론사 등 대한민국의 유수의 사이트들이 공격받고 이로 인해 보안의 중요성이 한층 강화되었을 뿐 아니라 IT강국으로서의 위상에도 흠집이 생겼다. 바이러스와 보안, DDoS에 대해 짚어보고 하는 시간을 마련했다.

꼭 알고 넘어가야 할 바이러스 상식

OECD 국가중 IT인프라의 선두그룹을 유지하고 있는 한국에서 이번 7.7 DDoS 대란은 국가의 주요 부처와 은행, 대형포털 등이 적대국가 혹은 사이버테러리스트, 해커에 의해 한순간에 무너질 수 있다는 것을 보여준 사태다.

현재 운영되고 있는 사이버 테러 예·경보 체계가 정부·공공 ·민간의 모든 정보보호조직과 시스템적으로 연결되어 활성화 되려면 모든 정보보호조직이 안전한 네트워크와 비상통신수단 그리고 정보를 공유할 수 있는 조기경보시스템(Early Warning Information System, 얼리 워닝 인포메이션 시스템)을 구축해 국가차원에서 사전 대응하고 조직 규모에 따라 세분화되고 기능적으로 분류된 사이버 상황실을 설치 운영해야한다는 숙제를 남기기도 했다.

이번 공격은 단순한 금품요구나 정보를 빼내기 위해 이뤄지는 단순한 해킹사건이 아닌 대한민국의 주요사이트를 공격해 온라인 대응솜씨는 점검하려는 시도로 보는 전문가들도 상당수다.

이에 국정원에서는 ‘21세기형 사이버전쟁’으로 규정해 DDoS대응 장비의 규정을 까다롭게 검증하며 한국의 보안 수준은 한 단계 끌어올리는 중이다.

꼭 알고 넘어가야 할 바이러스 상식

공격이 끝나고 상황이 종료된 후에도 많은 관련기관들과 보안 전문업체들이 조사 중이어서 100% 정확한 결론을 내릴수 없을 정도로 특별한 목적을 알수 없도록 처리된 이번사태는 향후 전쟁이 물리적으로 진행되는 것뿐만 아니라 사이버 전쟁으로 이어지고 한국 역시 여기서 자유롭지는 못하다는 것이다.

IT 육성정책으로 인해 잘 발달된 인프라는 꼭 한국이 공격 목표가 아니더라도 전쟁을 시험해보기에 충분한 바탕이 마련돼 있어 향후에도 이번 사태와 같은 일이 발생할 확률이 높다.

DDoS 공격이 마무리됐고 보안업체들의 신속한 대응으로 사태가 수습됐지만 정확한 공격시도에 대한 의도가 밝혀지기 전까지는 사이버테러에 대해 철저한 준비와 보완이 필요하다.

이미 해외 선진국들은 정부와 민간기업이 힘을 합쳐 사이버테러에 대응하고 있다. 미국의 경우 정부와 민간기업간의 컨소시엄을 구성, 중요 정보 인프라에 대한 정보보안을 추진 중이고 민간기업의 기술력과 자문을 활용 중이다.

부즈알렌컨설팅 정보보호부서가 ‘중요 정보 기반구조 보호를 위한 97년 11월 대통령 보고’를 위해 네트워크 기반 시나리오 기법을 사용한 컨설팅을 수행했고 지난 2월에 발간된 미국방부 산하의 국방위원회(Defense Science Board, 디펜스 사이언스 보드)의 “Protecting the Homeland(프로텍팅 더 홈랜드)”에는 미국은 향후 핵공격이나 생화학전보다는 현실적으로 사이버테러로 야기되는 전력·항공·가스·정보통신 등 주요 기반구조를 위협하는 테러리스트의 위협에 지대한 관심과 투자를 밝히고 있다.

이 보고서에 따르면 이미 전세계 20여개국은 이러한 대재앙을 몰고올 능력이 있고 전 세계 120여 개국에서 이러한 사이버테러준비를 하고 있다고 미CIA국장이 의회에서 증언한 바 있다.

꼭 알고 넘어가야 할 바이러스 상식

비단 미국뿐 아니라 중국 등에서도 사이버전에 대비하고 있다는 것은 널리 알려진 사실이다. 조금 늦은 감이 있지만 한국도 민·군·관 합동대응체계를 통한 국가적인 조직정비가 필요한 시점이다.

바이러스나 해킹 공격등 대부분의 경우 특정한 이익을 위해(자신의 명성을 날리는 것 포함) 타인의 PC를 공격하고 이를 막는 보안담당자의 경우 이를 막기 위해 노력한다.

보안에 대한 기술이 향상될수록 이를 공격하는 쪽의 해커들의 기술 역시 나날이 향상되 과거 PC를 통한 보안에서 이젠 그 범위도 광범위해져 어디까지가 컴퓨터 보안인지 조차 애매한 경계까지 왔다. 영화에서나 보던 지문인식, 홍체인식 등이 개인용PC는 물론 USB, 스마트카드에 까지 적용돼 이를 통해 로그인까지 해야 하는 시대인 것이다.

컴퓨터 보안은 과거 나홀로 컴퓨터를 사용할 때는 문제가 될 만한 경우가 거의 없었다. 그러나 대다수가 인터넷을 사용하면서 타인의 컴퓨터와 연결되고 업무의 대부분을 컴퓨터를 사용하다 보니 기밀이나 보안이 필요한 내용들을 컴퓨터에 저장하게 됐고 이를 악용하거나 이러한 서버에 침투해 자신의 명성을 날리고자 하는 사람들에 의해 유출, 파손되면서 보안에 대한 필요성이 대두됐다.

특히 올해는 지난해 시만텍이 발표한 ‘2009년 주요 보안 전망’ 예측대로 올 상반기에는 담보대출 관련 사기와 미취업자를 노린 구인광고 위장 스팸메일 등을 통한 피싱 및 사기피해가 증가한 가운데 악성코드 변종의 폭발적 증가, 소셜 네트워크에 대한 보안 위협, 웹기반 위협의 발전 등 금전적 이득을 목적으로 하는 보안 위협이 갈수록 정교해지고 조직화되고 있는 것으로 나타났다.

꼭 알고 넘어가야 할 바이러스 상식

새로운 악성코드 변종의 폭증

시만텍에 따르면 지난해에 이어 올 상반기에도 전세계적으로 월 평균 2억4천5백만건 이상의 악성코드 공격 시도가 탐지되었으며 대다수의 공격이 웹을 통해 발생한 새로운 유형의 보안위협이었다.

해커들은 소수의 위협요소를 광범위하게 배포하는 기존 방식에서 수백만 가지의 위협요소를 소규모로 배포하는 공격방식으로 전환하고 있다.

이러한 새로운 종류의 악성코드는 파일공유, 이메일 및 이동식 저장장치 등과 같은 다양한 경로를 통해 확산되면서 각기 다른 개별적 악성코드들을 무수히 발생시킨다.

이처럼 새롭게 등장하는 보안 위협으로 인해 휴리스틱(heuristics), 행위기반 및 평판 기반의 보안 모델과 같이 기존 기술들을 보완할 수 있는 새로운 탐지기법의 필요성이 대두되고 있다.

경제 위기를 악용한 보안 위협

2009년 상반기에는 전세계적인 경제 위기를 틈타 이를 악용한 수많은 새로운 보안 공격이 발생했다.

지난해 시만텍이 예상했던 대로 ‘재택근무’ 사기뿐 아니라 구인 게시판 등을 겨냥하는 새로운 변종들이 등장했으며 주택담보 대출자를 대상으로 하는 주택 관련 사기와 미취업자를 대상으로 한 스팸메일 사기 등도 지속적으로 증가하고 있는 것으로 나타났다.

소셜 네트워크에 대한 보안 위협

소셜 네트워크 사이트에 대한 피싱 등의 보안 위협도 증가한 것으로 나타났다.

일례로 최근 인기있는 한 소셜 네트워크 사이트에 피싱 공격자들이 계정을 만들고 이를 이용해 다른 사용자 계정 정보를 탈취하는 사례가 보고됐으며 블로깅 사이트에 게임을 올려두고 참가자들에게 게임의 일부인 것처럼 개인정보를 요구해 탈취한 사례도 있었다.

소셜 네트워크 사이트에 대한 보안 위협은 앞으로도 더욱 증가할 것인 만큼 개인 및 기업들은 이러한 위협에 대해서 더욱 주의를 기울여야 한다고 시만텍은 조언한다.

스팸의 증가

2008년 시만텍은 대규모 스팸 유포의 근원지이었던 웹 호스팅 업체 맥콜로(McColo)의 서비스 중단 전후 48시간 동안 스팸의 양이 65% 정도 감소했지만 2009년에는 전체 메일에서 스팸이 차지하는 비중이 75 ~ 80% 수준으로 다시 높아질 것으로 예측한 바 있다.

2009년 6월 초 미국연방통신위원회(FTC)는 악명높은 ISP 중의 하나인 프라이스워트(Pricewert)를 폐쇄하도록 연방법원을 설득해 임시제지명령을 내렸는데 이는 보안 전문가들이 사이버범죄에 맞서기 위해 어떻게 협력할 수 있는지를 보여준 모범 사례라 할 수 있다.

하지만 이 같은 폐쇄조치에도 불구하고 지난 6월 전체 이메일에서 스팸 메시지가 차지하는 비중은 평균 90%에 달한 것으로 나타났다. 한편, 최근 스패머들이 애용하는 메시지로는 마이클 잭슨 자살, 신종감기, 이탈리아 지진 등으로 나타났다.

진화된 웹 기반 위협

웹 기반 보안 위협이 증가하고 있는 가운데 최근에는 공격자들이 합법적인 웹사이트를 조작하여 일반 방문자들을 악성 컨텐트를 유포하는 사이트로 유도해 감염시키는 형태의 공격들이 주를 이루고 있다.

이 같은 감염 방식 중 하나가 사용자 몰래 또는 허락 없이 악성 컨텐트를 사용자 컴퓨터로 다운로드 시키는 ‘드라이브 바이 다운로드(drive-by download)’이다. 소셜 네트워킹 환경을 통해 유명 도메인을 공격하는 웹 기반 공격도 주의를 기울일 필요가 있다.

최근 잘 알려진 공격 중 하나는 소셜 네트워킹 사이트 가짜 초대장에 대량 메일발송 웜을 첨부해 보내는 것이다. 기타 공격 유형들로는 악성 자바스크립트나 패치를 설치하지 않은 브라우저 대신 플러그인 애플리케이션 및 크로스사이트 스크립팅 취약성을 이용하는 공격 유형들이 증가하고 있는 것으로 나타났다.

한편, 2009년 상반기에 부각된 주요 보안 이슈로는 과거 보안공격 기법의 재등장과 함께 사이버보안에 대처하기 위한 업계 전체의 공동대응 노력 및 실제 비즈니스 거래를 모방하여 방문자를 현혹하는 허위/위장 공격의 증가 등을 들 수 있다.

2009, 과거 보안 공격 기법의 재등장

2009년 상반기 중 가장 최근에 대대적으로 알려진 공격들을 살펴보면 과거에 사용된 공격 기법을 채용한 것이 특징이다.

소셜 네트워크를 통해 꾸준히 확산되고 있는 ‘쿱페이스(Koobface)’ 웜이나 최근 몇 년간의 보안 공격 중에서 가장 복잡하고 광범위하게 확산된 공격으로 꼽히고 있는 컨피커(Conficker) 웜에서 채용된 공격기법은 과거 대규모로 유포되었던 코드레드(CodeRed)나 님다(Nimda) 공격에서 사용된 공격기법을 사용하고 있는 것으로 나타났다.

최근의 보안 공격은 개인정보 도용, 가짜 안티바이러스 배포, 스팸 유포와 같이 금적적인 목적으로 행해진 것들이 대부분이다.

최근 한국과 미국 웹사이트에 대해 DDoS공격을 유발한 악성코드 ‘도저(Trojan.Dozer)’도 악의적인 목적을 가지고 있었다. 과거의 보안 공격기법은 최근의 공격 위협에서도 다시금 등장하고 있기 때문에 전통적인 탐지 방식과 이를 보완하는 평판 기반의 보안 모델을 접목한 이른바 ‘다계층(multi-layered) 방어’ 체제를 구축하는 것이 중요하다.

사이버보안에 대처하기 위한 업계 전체의 협업 확대

보안 공격들이 점점 더 정교해짐에 따라 폭넓은 위협에 재빨리 대처하기 위한 업계간 협력도 더욱 공고해 지고 있다. 2009년 2월에는 산학연 협의체인 컨피커 워킹그룹이 설립되어 컨피커 웜의 위험성을 알리고 전세계적인 공동대응 방안을 마련하기 위해 노력하고 있다.

또한 보안 연구자들, ICANN(국제인터넷주소관리기구) 및 DNS 내 운영자들과 공동으로 몇몇 업계 벤더들은 컨피커 웜이 겨냥한 도메인을 무력화하는 대응방안을 마련하기도 했다. 날로 심각해지는 보안 위협에 대응하기 위한 산학연 및 정부기관의 협업 노력은 앞으로도 계속 이어질 전망이다.

실제 비즈니스 거래를 모방하여 방문자를 현혹하는 허위 공격

보안 공격은 갈수록 정교해지고 조직적인 양상을 띄고 있는데 최근에는 실제 비즈니스 거래까지 그대로 모방하여 사용자들을 현혹시키고 있다. 주로 플래시 형태로 유포되는 악성 광고(malvertisements)는 방문자를 가짜 웹 페이지로 유도하고 있는데 주류 비주류 웹 사이트에 상관 없이 모두 이러한 공격에 취약한 실정이다.

일명 ‘스캐어웨어(scareware)’ 또는 가짜 안티바이러스 프로그램으로 알려진 ‘허위 알림/위장 애플리케이션(misleading application)’은 컴퓨터의 보안 상태에 문제가 있다고 알려 사용자가 실제 존재하지 않거나 허위로 날조된 보안 위험을 제거하기 위해 가짜 보안 소프트웨어를 구입하도록 한다.

스캐어웨어는 실제로는 존재하지도 않는 악성코드에 감염되었다는 허위 시스템 알림을 통해 사용자를 속이고 결국에는 이를 치료할 수 있다는 가짜 소프트웨어를 구매하는 주문 페이지로 사용자를 유인하고 있다.

정보화 사회로 발전할수록 이러한 일들은 더욱 비일비재 해졌고 이를 방지하기 위한 여러 가지 방안이나 법규들이 마련 됐음에도 오히려 이러한 수는 더욱 늘어나고 있다.

미국 최대 규모의 인터넷 검색 사이트인 야후와 아마존이 크래커들의 공격으로 서비스가 중단됐으며 국내에서도 국내 최대 오픈마켓의 하나인 옥션 사태와 LG, 효성등의 데이터 유출 사태 등이 발생한 것이 그 단적인 예이다. 또한 고객의 DB를 가지고 있는 일부 게임회사 등의 경우에도 DB에 침투한후 금액을 요구하는 경우까지 발생하고 있다.

꼭 알고 넘어가야 할 바이러스 상식

여기에 대규모 시스템 구축이 어려운 벤처 기업에 거액을 요구하고 이에 응하지 않자 메일폭탄으로 서비스를 중단시키거나 이를 치료 및 방어해준다며 접근해 고액의 비용을 요구하는 사태도 발생하고 있다.

`열사람이 한명의 도둑을 막기 힘들다`는 말처럼 불특정 다수의 공격을 방어해야 하는 보안 담당자들이 이를 100% 막기란 쉽지 않은 일이며 여기에 돈을 목적으로 내부 정보를 외부에 팔아넘기는 일까지 생각한다면 완벽한 보안이란 상당히 힘든 일이다.

물론 이 같은 악성 크래킹이나 내부정보 유출에 대비해 정부와 기업들이 대책을 마련하고 관련법을 강화하고 있으나 아직 큰 실효성을 거두지는 못하고 있다.

이는 기본적인 시스템은 단기간 내에 개발이 어려우나 이를 이용한 어플리케이션은 매일매일 개발되고 이러한 경로를 통해 침투하는 것을 막는 것이 쉽지 않은 일이기 때문에 관련법이 강화되고 지속적으로 보안관련 작업이 이뤄지고 있음에도 근본적인 방어가 어려운 이유이다.

■ 컴퓨터 바이러스

컴퓨터 바이러스 감염 경로

바이러스의 감염 경로는 매우 다양하고 복잡한 구조를 가진다. 가장 일반적인 경로는 ① 불법복사 ② 컴퓨터 통신 ③ 컴퓨터 공동 사용 ④ LAN ⑤ 인터넷 등이 있다. 불법 복제한 소프트웨어 디스켓을 사용하거나, 여러 사람이 공동으로 사용하는 컴퓨터에서 작업하면 바이러스 감염의 가능성이 높아 자신도 모르게 디스켓 또는 프로그램에 감염된다.

이렇게 감염된 디스켓이나 프로그램을 자신의 컴퓨터에서 사용하면 자신의 컴퓨터도 감염된다. 최근에는 컴퓨터 통신 이용률이 높아지면서 이를 통하여 자료를 주고 받을때 급속도로 바이러스가 확산되기도 한다.

컴퓨터 바이러스 분류

우리나라 최고의 보안 관련 업체인 ‘안철수연구소’는 바이러스 정보를 감염부위, 운영체제에 따라 다음과 같이 분류하고 있다.

꼭 알고 넘어가야 할 바이러스 상식

감염 부위에 따른 분류

감염 부위란 바이러스 프로그램이 위치하는 영역을 말하는 것으로 크게 4가지로 구분할 수 있다.

-부트 바이러스(Boot virus)

컴퓨터가 처음 가동되면 하드디스크의 가장 처음 부분인 부트섹터에 위치하는 프로그램이 가장 먼저 실행되는데 이곳에 자리잡는 컴퓨터 바이러스를 부트 바이러스라고한다. 대표적으로 뇌(Brain)와 지금까지도 많은 피해를 주고 있는 원숭이(Monkey) 및 감염 빈도가 높은 Anti-CMOS 등이 있다.

-파일 바이러스(File virus)

파일 바이러스란 실행 가능한 프로그램에 감염되는 바이러스를 말한다. 이때 감염되는 대상은 확장자가 COM, EXE인 실행파일이 대부분이다. 국내에서 발견된 바이러스의 80% 정도가 파일 바이러스에 속할 정도로 파일 바이러스는 가장 일반적인 바이러스 유형이다.

국내에서는 예루살렘(Jerusalem)과 일요일(Sunday)을 시작으로 1997년과 1998년 적지 않은 피해를 주어 잘 알려진 전갈(Scorpion), 까마귀(Crow) 그리고 FCL이 있으며 최근 아시아 지역에 많은 피해를 주었던 Win95/CIH도 이에 포함된다.

-부트/파일 바이러스(Multipartite virus)

부트/파일 바이러스는 부트섹터와 파일에 모두 감염되는 바이러스로 대부분 크기가 크고 피해 정도가 크다.

국내에서 발견된 바이러스는 1990년 처음 발견된 침입자(Invader)를 대표로 외국보다 빠른 대처로 인하여 이름에 혼란을 주었던 안락사(Euthanasia)가 있다. 국내 제작 바이러스로는 1998년에 발견된 에볼라(Ebola)가 대표적이다.

-매크로 바이러스(Macro virus)

새로운 파일 바이러스의 일종으로, 감염 대상이 실행 파일이 아니라 마이크로소프트사의 엑셀과 워드 프로그램에서 사용하는 문서 파일이다.

또한 응용 프로그램에서 사용하는 매크로 사용을 통해 감염되는 형태로 매크로를 사용하는 문서를 읽을 때 감염된다는 점이 이전 바이러스들과는 다르다. 대표적인 예로 감염 비율이 매우 높았던 라룩스(XM/Laroux)를 들 수 있다.

운영체제에 따른 분류

IBM 호환 기종중 현재 바이러스가 발견된 운영체제는 도스, 윈도우시리즈, 리눅스 등이며 애플리케이션으로는 MS 오피스(액세스, 엑셀, 워드, 파워포인트)와 mIRC 등의 자체 스크립트 언어를 내장한 프로그램들이다.

-도스 바이러스

일반적인 부트, 파일, 부트/파일 바이러스는 대부분 도스용 바이러스다. 감염 부위에 따라 부트, 파일, 부트/파일 바이러스로 나뉜다. 80년 중반 이후부터 90년 중반까지 약 10년간 왕성한 활동을 하던 도스용 바이러스는 윈도95의 등장으로 주춤한 상태다.

꼭 알고 넘어가야 할 바이러스 상식

도스 사용자가 감소함에 따라 도스 바이러스는 수적으로나 피해 규모면에서 감소할 것으로 예상된다. 그러나 여전히 도스용 파일 바이러스는 윈도 95에서 문제를 일으킨다.

또한 부트 바이러스의 경우 이미 시중에 많이 퍼져 있고 `윈도 2000`이 일반화될때까지 멸종하지 않는다면 지금처럼 많은 문제가 발생할 것이다. 여전히 원숭이, Anti-CMOS, 원 하프(One-Half) 바이러스가 기승을 부리고 있다.

-윈도 바이러스

도스 기능을 사용하는 반쪽자리 윈도 바이러스로 94년 처음 등장한 윈도 바이러스는 97년부터는 컴퓨터를 이용하는 최대 바이러스로 부상했다. 현재 가장 문제가 되고 있는 바이러스는 윈도 95/98용 바이러스이다.

이들 바이러스는 `윈도 2000`에서는 동작하지 않거나 오동작 할 가능성이 크다. 하지만 윈도 2000이 널리 사용되기 전까지는 윈도 95/98 사용자들에게 많은 피해를 줄 것으로 예상된다.

또한 바이러스 제작 기법과 전파 기법도 매우 다양해지고 있다. E-mail로 바이러스를 전송하는 기법은 이들 윈도우 바이러스들에서 처음 사용됐다. 대표적인 예로 Win95/CIH, 앵셔티 퍼피(Anxiety_Poppy), Win95/Marburg, Win95/Padania, Win32/Parvo 등이 있다.

-애플리케이션 파생 바이러스

애플리케이션에 내장된 매크로 혹은 스크립트 언어를 사용해서 바이러스를 제작 가능하리라는 예상은 지난 91년부터 시작되었다. 그러나 이를 이용한 실제 바이러스는 지난 94년 12월 최초로 발견됐으며 실제로 문제가 되기 시작한 것은 95년 중반부터였다.

현재 이런 원리를 이용한 매크로 바이러스와 스크립트 바이러스가 사용자를 괴롭히는 최대 바이러스로 부상했다. 매크로 바이러스는 운영체제와 상관없이 응용 프로그램을 플랫폼 삼아 작동한다. 즉 IBM 호환 기종의 운영체제, 매킨토시 기종의 운영체제 등에서 실행되는 워드, 엑셀 등에서만 활동한다.

그러나 매크로 기능이 있는 모든 응용 프로그램에 감염되는 것은 아니다.매크로 바이러스를 만들 수 있게 된 것은 MS 워드, 엑셀이 인터프리터에 의해 해석되는 프로그래밍 언어 수준의 매크로 언어를 지원하기 때문이다.

이들 매크로 언어는 MS의 비주얼 베이직 프로그래밍 언어와 비슷한 문법 체계를 갖고 있다. 그것이 바로 VBA(Visual Basic for Applications, 비주얼 베이직 포 애플리케이션즈) 환경이다.

매크로 바이러스의 경우 세계적으로 워드, 엑셀 바이러스가 기승을 부리고 있지만, 국내에서는 특히 엑셀 바이러스의 피해가 극심하다. 수가 적기는 하지만 파워포인트와 액세스 바이러스도 등장했다.

이들 바이러스는 이메일(E-Mail)을 전파 수단으로 사용하곤 한다. 스크립트 바이러스는 각종 스크립트 언어로 작성된 바이러스를 말한다. 예전에는 도스용 패치파일 스크립트 바이러스 제작에 사용됐으나, 윈도우가 일반적인 운영체제로 자리 잡으면서 mIRC, VBS, HTML 등의 스크립트 언어가 유행을 타고 있다.

-유닉스, 리눅스, 맥, OS/2 바이러스

리눅스와 OS/2용으로도 바이러스가 존재하지만 이들 바이러스는 일반에 퍼지지는 않고 대부분 겹쳐쓰기 정도에 이들 OS에서도 바이러스를 제작할 수 있다는 증명을 한 정도의 수준에 머무르고 있다. 하지만 이들 OS도 사용자가 증가한다면 새로운 바이러스가 등장할 가능성은 매우 높다.

예) 리눅스/블리스(Bliss), 맥(Mac)/오토스타트(Autostart)

-자바 바이러스

꼭 알고 넘어가야 할 바이러스 상식

인터넷과 관련된 개발에 널리 사용되고 있는 현재 발견된 자바 바이러스는 2종 정도 된다. 최초 자바 바이러스는 1998년 여름 발견되었다.

이들 바이러스 역시 자바가 디스크에 접근할 권한이 있어야만 하며 자바 애플릿이 아닌 자바 애플리케이션을 감염시킨다. 대부분의 시스템에서는 자바가 디스크에 접근하지 못하게 설정되어 있는 등 제약이 있으므로 이들 바이러스 역시 일반인에게는 크게 문제가 되지 않는다.

예) Java/BeanHive, Java/Strangleable

컴퓨터 바이러스 감염 증상

바이러스에 감염되면, 컴퓨터 기동시간이 평소보다 오래 걸리거나 기동 자체가 되지 않거나 프로그램이 실행되지 않거나 프로그램을 실행시키는 시간이 평소보다 오래 걸리거나 파일목록을 확인하는 명령을 하였을 때 목록이 화면에 나타나는 시간이 오래 걸리거나 화면에 이상한 글자가 나타나거나 프로그램의 크기가 달라져 있거나 프로그램의 작성일자 또는 파일의 이름이 바뀌는 등의 증세를 나타낸다.

인터넷 보안

인터넷이 발달 하면서 발생한 컴퓨터 범죄이다 보니 인터넷의 속도가 비약적으로 늘어나고 컴퓨터를 통한 활용에 대한 필요성이 높아지고 있는 상황에서 더욱 높은 기술을 동원해 공격하고 있는 상황이다. 사실 인터넷 보안이 컴퓨터 보안이라고 보는 것도 무리는 아닐 정도로 보안에 가중 중요한 부분이다.

꼭 알고 넘어가야 할 바이러스 상식

가장 일반적인 인터넷 공격은 와이어탭핑(Wiretapping), 스니핑(Sniffing), 스누프(Spoof), 웜(Worm), 트랩 도어(Trap Door) 또는 백 도어(Back Door), 트로전 홀스(Trojan Horse), DoS가 있다.

- DoS· DDS : 오버 플로우를 일으켜 시스템이 서비스를 거부하도록 만드는 공격방식을 말한다. DoS는 한 사용자가 시스템의 리소스를 독점하거나 모두 사용, 또는 파괴함으로써 다른 사용자들이 이 시스템의 서비스를 올바르게 사용할 수 없도록 만드는 것을 말한다.

이런 의미에서 시스템의 정상적인 수행에 문제를 일으키는 모든 행위를 DoS라 할 수 있다. 그런데 이런 공격이 일어나는 방법은 매우 다양하다. 이 공격은 고의적으로 발생할 수 있지만 사용자의 의도와는 무관하게 발생할 수도 있으며 공격자는 서비스 요구를 통해 서비스 중단을 초래할 수 있다.

DDoS 공격은 DoS의 또 다른 형태로 인터넷에 연결된 일련의 시스템들을 이용해 단일 사이트에 대한 플러드 공격을 시도하는 것이다. 해커들이 일단 취약한 인터넷 시스템에 대한 액세스에 성공하면 침입한 시스템에 소프트웨어를 설치하고 이를 실행시켜 원격에서 공격한다.

꼭 알고 넘어가야 할 바이러스 상식

- 스니핑 : 네트워크 주변을 지나다니는 패킷을 엿보면서 계정(ID)과 패스워드를 알아내기 위한 행위다. TCP/IP 프로토콜은 학술적인 용도로 인터넷이 시작되기 이전부터 설계된 프로토콜이기 때문에 보안은 크게 고려하지 않고 시작되면서 패킷에 대한 암호화, 인증 등을 고려하지 않았기 때문에 데이터 통신의 보안의 기본 요소 중 기밀성, 무결성 등을 보장할 수 없었다. 특히 스니핑은 보안의 기본 요소 중 기밀성을 해치는 공격 방법이다.

패킷이 송수신될 때, 패킷은 여러 개의 라우터를 거쳐서 지나가게 되며 중간 ISP 라우터에 접근 권한을 가지는 사람이라면 해당 패킷을 쉽게 잡아낼 수 있다.

그런데 문제는 이렇게 쉽게 얻어낼 수 있는 많은 패킷의 내용은 암호화 되지 않는다는 것이다. 물론 xDSL, 케이블 모뎀 등을 사용하는 일반 가정 사용자가 이러한 패킷을 아주 쉽게 볼 수 있는 것만은 아니다. 그러기 위해서는 패킷이 흘러가는 네트워크의 중간 경로를 얻어내야 한다. 패킷 암호화 등으로 상당 부분 위험이 해소되고는 있다.

- 웜 : 다른 유용한 프로그램들과 달리 자기복제를 하며 컴퓨터 시스템을 파괴하거나 작업을 지연 또는 방해하는 악성프로그램으로 빠른 전파력이 특징이다.

웜 외에도 컴퓨터 바이러스, 트로이목마 등이 있다. 의도적으로 사용자에게 피해를 주고자 만든 프로그램으로 크게 컴퓨터바이러스, 트로이목마, 웜 등으로 분류한다. 웜은 과거 1970년대 대형컴퓨터 등에서 다른 곳에 복사하지는 않고 기억장소에서 자기복제를 하는 프로그램을 말하였다.

그러나 최근에는 실행코드 자체로 번식하는 유형을 말하여 주로 PC상에서 실행되는 것을 의미한다. 주로 메일을 통해 이동하며 1990년 이후 메일이 활성화 되면서 그 존재감이 널리 퍼지게됐다.

웜과 바이러스의 큰 차이점은 감염대상을 가지고 있는가에 따라 구분된다. 바이러스는 감염대상을 가지고 있지만 웜은 감염대상을 가지지 않는다. 한국에서 발견된 대표적인 웜에는 Ⅰ-Worm/Happy99, Ⅰ-Worm/ExploreZip, Ⅰ-Worm/PrettyPark 등이 있다.

웜의 번식을 위해서 웜 스스로 다른 사람에게 보내는 e-메일에 자신을 첨부하는데 실제 자신이 작성한 편지보다 더 큰 크기의 편지가 상대방에게 전달된다.

단순히 웜이 첨부된 메일만 보내어 인터넷 등의 속도나 시스템에 무리를 주는 것뿐만이 아니라 특정파일을 0바이트로 만들거나 재부팅하면 하드디스크를 포맷하고 사용자 정보를 빼내가는 등의 특별한 증상도 많다.

- 스푸프 : 어떤 프로그램이 정상적으로 실행되는 것처럼 속임수를 사용하는 행위로 스푸프란 단어는 `속이다, 사기치다`는 의미다.

인터넷 내에서 여러가지 의미를 지닌다. `스푸핑`이란 외부 악의적 네트워크 침입자가 임의로 웹사이트를 구성해 일반 사용자들의 방문을 유도해 인터넷 프로토콜인 TCP/IP의 구조적 결함을 이용해 사용자의 시스템 권한을 획득한 뒤 정보를 빼가는 해킹 수법이다.

특히 `IP스푸핑`이란 로그인하려는 컴퓨터가 신뢰할 수 있는 다른 컴퓨터의 IP를 이용해 해킹하는 것. 즉, 허가받은 IP를 도용해 로그인을 하는 것을 말한다.

또한 유명 업체의 명의로 스팸메일을 발송, 소비자들이 믿을 수 있는 e메일로 생각하게끔 오도해 e메일의 개봉 빈도를 높이려는 행위를 스푸핑이라 하기도 하며 이런 e메일을 통해 `가짜 웹사이트`로 유도하여 사용자가 암호와 기타 정보를 입력하도록 속이는 것을 말한다.

최근에는 보안업체들에서 사이트의 신뢰도를 검증하는 프로그램들을 제공하고 있으며 검증되지 못한 사이트에서 방문하지 않거나 충분히 바이러스 검사를 한 뒤 방문하는 것이 바람직하다.

- 백 도어 : 개발 과정에서 미연에 사태에 대비하기 위해 특정한 시스템에서 보안이 제거되어 있는 비밀통로를 만들어 둔 것이 보안상의 허점으로 문제가 되면서 뒷문이라는 의미의 백도어라 불리게됐다.

악의적인 의미를 갖고 만들어 둔것이 아닌것부터 출발했으나 일부 개발자들이 개발 후 이를 악용하는 경우가 생기면서 위험성이 대두됐다. 몇몇 프로그램들은 유지보수를 위해 사용될 목적으로 제공되기도 한다.

- 트로전 홀스 : 시스템에 불법적인 행위를 수행하기 위하여 다른 프로그램의 코드로 위장하여 특정한 프로그램을 침투시키는 행위를 말하며 트로이의 목마로 잘 알려져 있다.

꼭 알고 넘어가야 할 바이러스 상식

마치 그리스신화의 트로이의 목마처럼 상대편이 눈치채지 못하게 몰래 숨어든다는 의미

에서 붙여져 유용한 프로그램으로 가장하여 사용자가 그 프로그램을 실행하도록 속여의심하지 않고 그 프로그램을 실행하게 되면 실제 기대했던 기능을 수행한다.

실제 목적은 사용자의 합법적인 권한을 사용해 시스템의 방어체제에 침해하여 접근이 허락되지 않는 정보를 획득하는 것이다. 자료삭제·정보탈취 등 사이버테러를 목적으로 사용되는 악성 프로그램으로 해킹 기능까지 가지고 있어 인터넷을 통해 감염된 컴퓨터의 정보를 외부로 유출하는 것이 특징이다.

강력한 보안기능 겸한 DDoS 솔루션

티스토리 접속 장애, 원인은 DDoS 공격

그러나 다행히 바이러스처럼 다른 파일을 전염시키지 않으므로 해당 파일만 삭제하면 치료가 가능하다.

트로이의 목마의 가장 위험한 점은 인터넷에서 다운로드 파일을 통해 전파되는데 사용자가 누른 자판정보를 외부에 알려주기 때문에 신용카드번호나 비밀번호 등이 유출될 수 있다는 것이다.

이 프로그램은 운영체계 또는 실행환경에 따라 도스 트로이목마와 윈도 트로이목마로 분류한다.

MS-DOS에서 수행하는 트로이목마는 유틸리티로 위장하여 특정일자나 특정 조건에 사용자의 컴퓨터 속도를 저하시키거나 파일을 삭제한다. 윈도에서 실행되는 프로그램은 인터넷에 올려진 상대편의 정보를 불법적으로 취득하는 등의 악의적 해킹을 주목적으로 한다. Trojan.Win32.Bymer, Win-Trojan/Quz, Win-Trojan/Wscanreg, Hot Keys Hook, Ecokys 등이 대표적인 프로그램이다.

꼭 알고 넘어가야 할 바이러스 상식

■ 시스템 보안 형태

인증(Authentication)

사용자 혹은 프로세스에 대한 확신을 말하며 통신시스템에서 서명이나 편지의 내용이 실제로 정확한 곳에서 전송되어 오는지 확인

접근제어(Access Control)

허가 받지 않는 사람의 시스템에 대한 접근을 제어하는 것으로 허가되지 않는 동작들의 위협으로부터 시스템 자원을 보호

비밀보장(Confidentiality)

특정한 보안 체계를 통해 데이터의 비밀성을 유지

부인봉쇄(Non-Repudiation)

데이터를 송수신한 자가 송수신 사실을 허위로 부이하는 것을 방지하기 위해 송수신 증거를 제공

보안감사

컴퓨터 시스템에 대한 접근시도나 사용기록과 행동에 대해 독립적으로 조사, 관찰함으로서 보안 침해 사실을 발견하고자 하는 보안 활동

꼭 알고 넘어가야 할 바이러스 상식

무결성(Intergity)

권한이 없는 접근으로부터 데이터의 고유한 내용이 변질되지 않도록 하여 언제나 정상적인 데이터를 유지

컴퓨터 보안의 시작 방화벽

기업이나 조직 내부의 네트워크와 인터넷 간에 전송되는 정보를 선별하여 수용, 거부, 수정하는 능력을 가진 보안 시스템으로 외부로부터 허가 받지 않은 불법적인 접근이나 해커의 공격으로부터 내부의 네트워크를 효과적으로 방지해 주는 역할을 한다.

꼭 알고 넘어가야 할 바이러스 상식

전용통신망에 불법 사용자들이 접근하여 컴퓨터 자원을 사용 또는 교란하거나 중요한 정보들을 불법으로 외부에 유출하는 행위를 방지하는 것이 목적이다. 모든 정보가 컴퓨터에 저장되고 컴퓨팅 환경 또한 다양하고 복잡해지면서 정보를 보호하는 일이 급선무로 떠오르자 이에 대한 대책으로 개발하였다.

허가된 사용자 외에는 접근자체를 차단하는 것으로 현재까지 정보통신망의 불법접근을 차단할 수 있는 가장 효과적인 대책중 하나다.

그것은 다양한 컴퓨터 시스템들이 각기 다른 운영체제에서 움직이며 각 시스템이 안고 있는 보안의 문제점도 서로 다르기 때문에 호스트 컴퓨터마다 일정한 수준의 보안 능력을 부여하기는 어렵기 때문이다.

그러나 방화벽 시스템을 이용해도 보안에 완벽한 것은 아니며 내부로부터의 불법적인 해킹은 막지 못한다. 인트라넷 열풍과 함께 등장한 방화벽은 수행하는 시스템으로 패킷 필터링 방화벽(packet filtering firewall), 이중 홈 게이트웨이 방화벽(dual-homed gateway firewall), 차폐 호스트 방화벽(screened host firewall) 등이 있다.

© 2019 nextdaily.co.kr 무단전재 및 재배포금지

(주)넥스트데일리 | 등록번호 : 서울 아 01185 | 등록일 : 2010년 03월 26일 | 제호 : 넥스트데일리 | 발행·편집인 : 구원모
서울시 금천구 가산디지털2로 123, 701호ㅣ발행일자 : 2005년 08월 17일 | 대표전화 : 02-6925-6318 | 청소년보호책임자 : 나성률

Copyright © Nextdaily. All Rights Reserved