악성코드 – 웜과 바이러스 역사와 분류

1. 악성코드의 역사와 분류

   

    

   웹 사이트를 방문 할 때 원치 않았는데도 인터넷 익스플로러의 시작 주소가 바뀐다든지, 바탕화면에 이상한 사이트에 접속하는 아이콘이 만들어지거나, 컴퓨터가 이상하게 느려지거나 부팅 과정이 이상해지는 경험을 해봤을 것이다.

    

   그런 상황의 원인은 다양하지만 상당 부분이 악성 프로그램으로부터 공격을 당했기 때문이다.

    

   악성코드의 역사

    

   악성코드란 제작자가 의도적으로 사용자에게 피해를 주고자 만든 모든 악의적 목적을 가진 프로그램 및 매크로, 스크립트 등 컴퓨터상에서 작동하는 모든 실행 가능한 형태를 말한다.

    

    

    

   

   1972년

   컴퓨터 바이러스의 개념이 처음 등장한 시기다.

   소설가인 데이비드 제럴드의 공상과학소설 "When Harlie was One (Nelson Doubledy, 1972)"에는 다른 컴퓨터에 계속 자신을 복제, 감염된 컴퓨터의 시스템을 마비시키는 장치를 한과학자가 제작해 배포한다는 내용이 소개됐다.

    

    

    

   1984년

   컴퓨터 바이러스라는 용어는 1984년 프레드 코헨(Fred Cohen)에 의해 '컴퓨터 바이러스란 자기 자신을 복제하여 대상 프로그램에 포함시키는 것을 통해 대상 프로그램을 감염시키는 프로그램'이라고 말한다.

    

    

   1986년

   이전에도 바이러스와 유사한 프로그램이 발견된 적 있으나 일반적으로 1986년에 발견된 브레인 바이러스(Brain Virus)를 최초의 바이러스로 칭한다.

   이 바이러스는 파키스탄에서 만들어져 프로그래머로 일하던 알비 형제가 자신들의 소프트웨어가 불법 복제되는 것을 참다 못해 바이러스를 만들어 뿌렸다고 한다.

    

    

   1987년

   1987년 예루살렘 대학에서 13일의 금요일 바이러스가 발견되었다.

   예루살렘 바이러스라고도 불리는데, 13일의 금요일에 시스템내의 파일을 삭제하게 되어 있는 바이러스로 이탈리아에서 제작한 것으로 알려지고 있다.

    

    

   1989년

   최초의 웜으로 알려지고 있는 모리스 웜이 발생하여, 미국의 네트워크를 마비시키는 사건이 일어났다.

    

    

   1991년

   1991년 11월에는 그간의 바이러스와 전혀 다른 특징의 바이러스가 출현하였다.

발견된 DIRⅡ 는 MS도의 FAT(File Allocation Table) 파일시스템의 연결 구조를 이용해 감염시 프로그램의 크기를 증가시키지 않고 기생하는 특징을 가진다.

 

 

1997년

매크로 바이러스가 출현하였다. 매크로(Macro)란 엑셀이나 워드에서 특정한 기능을 자동화 시켜놓은 일종의 프로그램인데, 이 바이러스는 시스템 프로그램과 같은 고난이도의 기술만이 웜/바이러스 제작에 이용될 수 있다는 인식을 바꾸어 놓았다.

 

1999년

1999년 4월 컴퓨터 메인보드의 바이오스(BIOS)를 손상시키고 각종 파일을 삭제하는 CIH바이러스로 인해 컴퓨터를 들고 보안 업체와 수리 업체를 찾는 사람들이 줄을 이었다.

 

2001년

코드 레드 웜에 의해 8시간 만에 25만대 이상의 컴퓨터 감염되었다.

이 웜은 윈도우 2000과 윈도우NT 서버를 경유지로 이용해 미국 백악관을 공격하였는데, 국내도 최소 3만대 이상의 시스템이 피해를 입은 것으로 추정된다.

 

2003년

2003년 1월 25일 인터넷 대란을 일으킨 SQL_Overflow(슬래머) 웜이 등장했다.

   

같은 해 8월에는 1~2분 간격으로 컴퓨터를 강제 재부팅 시킴으로써 국내외적으로 큰 피해를 준 블래스터 웜(Blaster Worm)을 시작으로, 웰치아 웜(Welchia Worm), 그리고 엄청난 양의 스팸 메일을 집중 발송해 전 세계를 깜짝 놀라게 한 소빅.F 웜(sobig.F Worm) 등이 발생했다.

거의 일주일 사이에 세계적인 영향력을 가진 세 종류의 웜이 한꺼번에 등장한 이른바 웜들의 대공습이였다.

 

이러한 웜들 때문에 PC를 재설치해도 웜에서 자유롭지 못한 경우가 많았다.

컴퓨터를 잘 모르는 이들은 PC에 랜선을 꼽아둔 채로 시스템을 재설치하여, 재설치를 하자마자 다시 웜들에 감염되어 버렸다.

 

 

2004년

마이둠 웜(Mydoom Worm)이 1월 26일에 처음 등장해 역대 최고의 전파 속도로 세계적으로 100만대 이상의 PC를 감염시켰다. 이 외에도 넷스카이(Netsky), 베이글(bagle), 새서(Sasser) 웜 등의 변종이 지속적으로 등장했다.

6월에는 자기 복제가 가능하고 네트워크를 통해 전파되는, 최초의 웜의 형태를 지닌 휴대폰 악성코드인 카비르(Cavir) 웜이 등장하여 휴대폰도 악성코드로부터 자유로울 수 없게 되었다.

 

 

2005년

3월에는 블루투스 외에 멀티미디어 메시징 서비스(MMS)를 이용해, 감염된 휴대폰에 저장된 전화번호를 통해 악성 코드를 퍼뜨리는 휴대폰 악성코드 컴워리어(CommWarrior)가 등장하여 전파방법상에서의 지역적 한계를 넘었다.

 

 

악성코드의 분류

 

정의에 따른 악성코드의 분류

이름(코드)	설명
바이러스(virus)	사용자 컴퓨터내에서 사용자 몰래 프로그램이나 실행 가능한 부분을 변형해 자신 또는 자신의 변형을 복사하는 프로그램이다. 가장 큰 특성은 복제와 감염이다. 다른 네트워크의 컴퓨터로 스스로 전파되지는 않는다.
웜(Worm)	인터넷 또는 네트워크를 통해서 컴퓨터에서 컴퓨터로 전파되는 악성 프로그램 윈도우의 취약점등을 이용하거나 이메일이나 공유폴더를 통해 전파되며, 최근에는 공유프로그램(P2P)을 이용하여 전파되기도 한다. 바이러스와 달리 스스로 전파되는 특성이 있다.
트로이 목마 (Trojan Horse)	직접적인 피해는 주지 않지만, 악의적인 공격자가 컴퓨터에 침투하여 사용자의 컴퓨터를 조종할 수 있는 프로그램이다. 고의적으로 만들어졌다는 점에서 버그와는 다르다. 또 자기 자신을 다른 파일에 복사하지 않는다는 점에서 바이러스와 구별된다.
혹스(Hoax)	인터넷 메신저나 이메일 또는 게시판, 문자 메시지 등에 거짓 정보나 괴담 등을 실어 사용자를 속이는 가짜 컴퓨터 바이러스다. 우리나라는 만우절을 전후로 많이 나타난다. 한 예로, 2004년 3월에 나타난 혹스에는 '누군가 munrol@hotmail.com이라는 사람의 추가를 요구하면 추가하지 말고 취소하십시오 바이러스입니다. 지금 MSN 창에 있는 사람들에게도 이 메시지를 돌려 주십시오.' 라는 내용이 담겨 있었지만 확인 결과 가짜 바이러스인 혹스로 판명되었다.
악성 자바 코드	웹 사이트에서 동적인 기능을 구현하기 위해 자바 스크립트나 자바 애플릿을 많이 사용하는데, 이것을 이용해 악의적인 기능을 하는 코드를 말한다.
악성 ActiveX	ActiveX는 마이크로소프트에서 만든 객체지향 프로그래밍을 위한 도구 모음이다. 이를 이용해 악의적인 기능을 수행하게 하는 코드를 악성ActiveX라 한다.