맬웨어란?
'맬웨어(malware)'는 '악성 소프트웨어(malicious software)'의 줄임말입니다. 맬웨어는 컴퓨터와 컴퓨터 시스템에 손상을 입히도록 의도적으로 설계된 침입형 소프트웨어입니다. 그와 달리 뜻하지 않은 손상을 일으키는 소프트웨어를 일반적으로 소프트웨어 버그라고 합니다.
바이러스와 맬웨어의 차이점에 관한 질문을 때때로 받습니다. 맬웨어는 바이러스, 스파이웨어, 애드웨어, 랜섬웨어, 그 밖의 유해 소프트웨어 종류를 비롯한 각종 온라인 위협을 포괄적으로 지칭하는 용어라는 점에서 다릅니다. 컴퓨터 바이러스는 맬웨어 유형 중 하나일 뿐입니다.
맬웨어는 피싱, 악성 첨부 파일, 악성 다운로드, 사회 공학 기술, 플래시 드라이브 등을 통해 네트워크에 유입될 수 있습니다. 여기서는 대표적인 맬웨어 유형을 개괄적으로 살펴봅니다.
맬웨어의 유형
각종 맬웨어 공격을 이해해야 스스로를 지키고 피해를 입지 않을 수 있습니다. (적어도 이름만큼은) 잘 알려진 맬웨어 범주가 있는가 하면, 그렇지 않은 것도 있습니다.
애드웨어
'광고 지원 소프트웨어(advertising-supported software)'의 줄임말인 애드웨어는 컴퓨터 화면이나 모바일 장치에 원치 않는 광고, 때로는 악성 광고를 표시하고, 검색 결과를 광고 웹사이트로 리디렉션하며, 사용자 동의 없이 광고주에게 판매할 수 있는 사용자 데이터를 수집합니다. 모든 애드웨어가 맬웨어는 아니며, 합법적이고 안전하게 사용할 수 있는 애드웨어도 있습니다.
사용자는 대개 인터넷 브라우저의 팝업 컨트롤과 환경 설정, 또는 광고 차단기를 통해 애드웨어 실행 빈도나 허용하는 다운로드 종류를 지정할 수 있습니다.
애드웨어의 예:
- Fireball - 2017년, 이스라엘의 한 소프트웨어 회사가 전 세계에서 2억 5천만여 대의 컴퓨터, 그리고 기업 네트워크의 1/5이 Fireball에 감염된 것을 발견하면서 Fireball에 세간의 관심이 집중되었습니다. Fireball은 여러분의 컴퓨터에 침투하여 브라우저를 장악합니다. 홈페이지를 가짜 검색 엔진 Trotus로 변경하고 여러분이 방문하는 모든 웹페이지에서 보기 싫은 광고를 표시합니다. 그리고 브라우저 설정을 바꿀 수 없게 만듭니다.
- Appearch - Appearch는 브라우저 하이재커의 역할을 하는 또 하나의 대표적인 애드웨어 프로그램입니다. 대개는 다른 무료 소프트웨어와 함께 번들로 제공되는데, 브라우저에 너무 많은 광고를 삽입하여 웹 브라우징을 매우 불편하게 만듭니다. 여러분이 방문하려는 웹사이트 대신 Appearch.info로 이동합니다. 어떤 웹 페이지를 여는 데 성공하더라도 Appearch는 임의의 텍스트 블록을 링크로 변환합니다. 따라서 텍스트를 선택하면 소프트웨어 업데이트를 다운로드하라는 팝업이 표시됩니다.
스파이웨어
스파이웨어는 장치에 숨어들어 활동을 모니터링하고 금융 데이터, 계정 정보, 로그인 등의 중요 정보를 훔치는 맬웨어 형태입니다. 스파이웨어는 소프트웨어 취약점을 악용하여 확산되거나, 합법적인 소프트웨어와 함께 번들로 제공되거나 트로이목마에 포함될 수 있습니다.
스파이웨어의 예:
- CoolWebSearch - 이 프로그램은 Internet Explorer의 보안 취약점을 이용하여 브라우저를 하이재킹하고, 설정을 변경하고, 개발자에게 브라우징 데이터를 보냅니다.
- Gator - Kazaa와 같은 파일 공유 소프트웨어와 함께 번들로 제공되곤 하는 이 프로그램은 피해자의 웹 서핑 습관을 모니터링하다가 이 정보를 사용하여 특정 광고를 게재합니다.
랜섬웨어 및 암호화 맬웨어
랜섬웨어는 몸값을 지불할 때까지 사용자를 시스템에서 차단하거나 데이터에 대한 액세스를 거부하도록 설계된 맬웨어입니다. 암호화 맬웨어는 사용자 파일을 암호화하고 특정 기한까지 돈을 내도록 요구하는 랜섬웨어 유형입니다. 주로Bitcoin과 같은 디지털 화폐로 지불하게 합니다. 랜섬웨어는 수년 전부터 모든 업종에서 지속적인 위협이 되어 왔습니다. 디지털 트랜스포메이션을 시작하는 기업이 늘어나면서 랜섬웨어 공격의 표적이 될 가능성도 매우 커졌습니다.
랜섬웨어의 예:
- CryptoLocker는 2013년과 2014년에 널리 퍼졌던 맬웨어 형태이며, 사이버 범죄자가 시스템의 파일에 액세스하고 암호화하는 데 쓰였습니다. 사이버 범죄자는 사회 공학 수법으로 직원을 속여 이 랜섬웨어를 컴퓨터에 다운로드하게 하고 네트워크를 감염시켰습니다. 다운로드 완료된 CryptoLocker는 지정된 기한까지 현금 또는 Bitcoin을 지불하면 데이터 암호화를 풀어주겠다는 몸값 요구 메시지를 표시합니다. CryptoLocker 랜섬웨어는 이후 사라졌지만, 그 운영자는 피해 조직들로부터 약 300만 달러를 갈취한 것으로 추정됩니다.
- Phobos 맬웨어 - 2019년에 등장한 랜섬웨어 형태입니다. 이전에 알려진 Dharma(일명 CrySis) 랜섬웨어 계열의 변종 랜섬웨어입니다.
트로이 목마
트로이 목마(Trojan, 또는 Trojan Horse)는 합법적인 소프트웨어로 위장하여 여러분이 컴퓨터에서 악성 소프트웨어를 실행하도록 유도합니다. 신뢰할 수 있는 것처럼 보이기 때문에 무심코 다운로드했다가 장치에 맬웨어를 허용하게 됩니다. 트로이 목마는 문을 열어주는 역할을 합니다. 웜과 달리, 호스트가 있어야 작동할 수 있습니다. 트로이 목마가 장치에 설치되면, 해커는 이를 사용하여 데이터를 삭제, 수정, 수집하거나 해당 장치를 봇넷에 포함시키거나 장치를 염탐하거나 네트워크에 액세스할 수 있습니다.
트로이 목마의 예:
- 'Qakbot' 또는 'Pinkslipbot'으로도 알려진 Qbot 맬웨어는 2007년부터 활동해 온 뱅킹 트로이 목마이며, 주로 사용자 데이터와 은행 인증 정보를 훔칩니다. 이 맬웨어는 새로운 전달 메커니즘, 명령 및 제어 기술, 분석 방지 기능을 포함하도록 진화했습니다.
- 2016년에 처음 발견된 TrickBot 맬웨어는 고도로 지능적인 사이버 범죄자가 개발하고 운영하는 트로이 목마입니다. 원래 금융 데이터를 훔치기 위한 뱅킹 트로이 목마로 설계된 TrickBot은 모듈형 다단계 맬웨어로 진화하여 그 운영자가 온갖 불법 사이버 활동을 하는 데 필요한 각종 도구를 제공합니다.
웜
가장 일반적인 맬웨어 유형 중 하나인 웜은 운영 체제의 취약점을 악용하여 컴퓨터 네트워크를 통해 확산됩니다. 웜은 사람의 개입 없이도 스스로 복제하면서 다른 컴퓨터를 감염시키는 독립 실행형 프로그램입니다. 웜은 빠르게 확산할 수 있기 때문에 페이로드, 즉 시스템 손상을 목적으로 하는 코드 조각을 실행하는 데 자주 쓰입니다. 페이로드는 호스트 시스템의 파일을 삭제하고, 랜섬웨어 공격을 위해 데이터를 암호화하고, 정보를 훔치고, 파일을 삭제하고, 봇넷을 생성할 수 있습니다.
웜의 예:
- SQL Slammer는 잘 알려진 컴퓨터 웜인데, 일반적인 배포 방법을 사용하지 않는 이었습니다. 대신 임의의 IP 주소를 생성한 다음 안티바이러스 소프트웨어로 보호되지 않는 IP 주소를 찾아서 보냈습니다. 2003년 공격 직후 감염된 컴퓨터가 75,000대를 넘어섰고, 어느새 여러 주요 웹사이트에 대한 DDoS 공격에 동원되었습니다. 관련 보안 패치가 나오고 수년이 지났지만, 2016년과 2017년에는 SQL Slammer가 다시 기승을 부렸습니다.
바이러스
바이러스는 애플리케이션에 삽입되어 앱 실행 시 함께 실행되는 코드 조각입니다. 네트워크에 침투한 바이러스는 중요 데이터를 훔치거나 DDoS 공격을 개시하거나 랜섬웨어 공격을 수행하는 데 사용될 수 있습니다. 일반적으로 감염된 웹사이트, 파일 공유 또는 이메일 첨부 파일 다운로드를 통해 확산되는 바이러스는 감염된 호스트 파일이나 프로그램이 활성화될 때까지 휴면 상태로 기다립니다. 이윽고 바이러스가 스스로 복제하면서 여러 시스템을 통해 확산할 수 있습니다.
바이러스의 예:
- Stuxnet - 2010년에 등장한 Stuxnet은 미국과 이스라엘 정부가 이란의 핵 프로그램을 방해하기 위해 개발한 것으로 널리 알려져 있습니다. USB 썸 드라이브를 통해 확산된 이 랜섬웨어는 Siemens 산업용 제어 시스템을 노렸는데, 결국 기록적인 속도로 원심분리기가 고장나고 자폭하는 사태가 벌어졌습니다. Stuxnet은 2만 대 이상의 컴퓨터를 감염시키고 이란의 핵 원심분리기 중 1/5를 파괴하여 이란의 핵 프로그램을 수년 후퇴시켰다고 알려졌습니다.
키로거
키로거는 사용자 활동을 모니터링하는 스파이웨어의 일종입니다. 키로거는 합법적인 목적으로 사용할 수 있습니다. 이를테면 가정에서 자녀의 온라인 활동을 추적하거나, 기업에서 직원의 활동을 모니터링하는 데 사용합니다. 그러나 악의적인 목적으로 설치된 키로거는 암호 데이터, 금융 정보, 기타 중요 정보를 훔치는 데 쓰일 수 있습니다. 키로거는 피싱, 사회 공학 수법, 악성 다운로드를 통해 시스템에 삽입될 수 있습니다.
키로거의 예:
- 2017년, 아이오와대학교의 한 학생이 교직원 컴퓨터에 키로거를 설치하고 로그인 인증 정보를 도용하여 성적을 고친 혐의로 체포되었습니다. 이 학생은 유죄 판결과 함께 4개월의 징역형을 선고받았습니다.
봇과 봇넷
봇은 맬웨어에 감염되어 해커가 원격으로 제어할 수 있는 컴퓨터를 말합니다. 좀비 컴퓨터라고도 하는 이 봇은 더 많은 공격을 개시하는 데 사용되거나, 봇넷이라는 봇 집단의 일부가 될 수 있습니다. 봇넷은 들키지 않고 확산하면서 수백만 대의 규모로 커지기도 합니다. 봇넷은 DDoS 공격, 스팸 및 피싱 메시지 전송, 기타 맬웨어 유형 확산 등 해커의 온갖 악의적 활동을 뒷받침합니다.
봇넷의 예:
- Andromeda 맬웨어 -Andromeda 봇넷은 80여 가지의 맬웨어 계열과 연관되어 있습니다. 한때는 한 달에 백만 대의 컴퓨터를 새로 감염시킬 정도로 규모가 커졌습니다. 소셜 미디어, 인스턴트 메시징, 스팸 이메일, 익스플로잇 키트 등을 통해 자동으로 배포되었습니다. 이 공격은 2017년에 FBI, Europol'의 유럽 사이버 범죄 센터 등의 노력으로 사라졌지만, 다수의 PC가 계속 감염된 상태였습니다.
- Mirai - 2016년에 대규모 DDoS 공격이 일어나 미국 동부 해안 지역 대부분에서 인터넷 접속이 불가능했습니다. 처음에 당국은 적대 관계에 있는 국가의 소행으로 의심했으나, Mirai 봇넷이 주범으로 밝혀졌습니다. Mirai는사물 인터넷(IoT) 장치를 자동으로 찾아 감염시켜 봇넷에 동원하는 맬웨어 유형입니다. 이 IoT 부대가 DDoS 공격의 선발대가 될 수 있는데, 마치 소방 호스처럼 정크 트래픽, 즉 악성 트래픽을 공격 대상 서버에 쏟아냅니다. Mirai는 지금도 문제를 일으키고 있습니다.
PUP 맬웨어
'잠재적으로 원치 않는 프로그램(potentially unwanted programs)'의 줄임말인 PUP는 여러분이 다운로드한 소프트웨어와 관련 없는 광고, 도구 모음, 팝업 등을 포괄합니다. 엄밀히 말하면, PUP가 꼭 맬웨어는 아닙니다. 맬웨어와 달리 사용자가 동의한 후에 프로그램 다운로드가 이루어진다는 점을 PUP 개발자들은 강조합니다. 그러나 사람들이 대개는 자신이 동의했다는 사실을 깨닫지 못하고 PUP를 다운로드한다는 것이 일반적인 인식입니다.
PUP는 다른 합법적인 소프트웨어와 함께 번들로 제공되는 경우가 많습니다. 사람들 대부분은 새로운 프로그램을 다운로드하고 설치할 때 작은 글씨의 안내를 읽지 않아 실제 목적과 상관없는 추가 프로그램 설치에 동의하고 있다는 사실을 모른 채로 PUP를 설치하게 됩니다.
PUP 맬웨어의 예:
- Mindspark 맬웨어 - 쉽게 설치되는 PUP이며, 사용자가 다운로드한다는 사실을 인지하지 못한 상태에서 사용자의 컴퓨터에 설치됩니다. Mindspark는 사용자 모르게 장치의 설정을 변경하고 동작을 실행시킵니다. 제거하기 어려운 것으로 악명이 높습니다.
하이브리드
오늘날 맬웨어 대부분은 다양한 악성 소프트웨어 유형의 조합입니다. 대개는 트로이 목마와 웜의 일부가, 때로는 바이러스까지 결합한 형태입니다. 이런 맬웨어 프로그램은 일반적으로 최종 사용자에게는 트로이 목마로 보이지만, 일단 실행되면 웜처럼 네트워크를 통해 다른 피해자를 공격합니다.
하이브리드 맬웨어의 예:
- 2001년, 자신을 'Lion'이라고 칭하는 맬웨어 개발자가 웜과 루트킷을 결합한 하이브리드 맬웨어를 내놓았습니다. 루트킷은 해커가 운영 체제 파일을 조작할 수 있게 하고, 웜은 코드 조각을 빠르게 확산하는 강력한 공격 경로입니다. 이 악성 코드의 조합은 10,000대 이상의 Linux 시스템에 피해를 입히는 등 엄청난 혼란을 일으켰습니다. 웜/루트킷 조합 맬웨어는 노골적으로 Linux 시스템의 취약점을 노렸습니다.
파일리스 맬웨어
파일리스 맬웨어는 합법적인 프로그램을 사용하여 컴퓨터를 감염시키는 악성 소프트웨어의 일종입니다. 파일에 의존하지 않고 설치 흔적을 남기지 않아 탐지 및 제거가 어렵습니다. 파일리스 맬웨어는 2017년에 주요 공격 유형으로 부상했지만, 이러한 공격 방식의 상당수는 오래전부터 있었습니다.
파일리스 감염은 파일에 저장되거나 컴퓨터에 직접 설치되지 않고 바로 메모리로 이동합니다. 즉, 하드 드라이브에 도달할 일이 없습니다. 사이버 범죄자들은 점점 더 파일리스 맬웨어를 효과적인 대체 공격 형태로 사용하고 있습니다. 설치 흔적이 적고 검사할 파일도 없기 때문에 기존 안티바이러스 프로그램에서 찾아내기가 더 어려워집니다.
파일리스 맬웨어의 예:
- Frodo, Number of the Beast, The Dark Avenger 모두 이러한 맬웨어 유형의 초기 사례입니다.
로직 밤
로직 밤(Logic bomb)은 트리거될 때만 작동하는 맬웨어 유형입니다. 이를테면 특정 날짜와 시간에, 또는 어떤 계정에 20번째 로그온할 때 트리거됩니다. 바이러스와 웜에는 미리 정의된 시간에, 또는 다른 조건이 충족될 때 페이로드(즉, 악성 코드)를 전달하는 로직 밤이 포함된 경우가 많습니다. 로직 밤은 데이터 바이트를 바꾸고 하드 드라이브를 읽을 수 없게 만드는 등 온갖 피해를 일으킵니다.
로직 밤의 예:
- 2016년에 한 Siemens 지사에서 어떤 프로그래머가 몇 년 단위로 스프레드시트 오작동이 발생하게 했습니다. 이 문제를 해결하려면 그를 다시 고용해야 했습니다. 우연히 악성 코드가 들통나기 전까지는 아무도 의심하지 않았습니다.
맬웨어는 어떻게 확산되나요?
특히 다음과 같은 방법으로 맬웨어 위협이 확산될 수 있습니다.
- 이메일: 여러분의 이메일이 해킹되면, 맬웨어가 감염된 첨부 파일이나 악성 웹사이트 링크가 포함된 이메일을 여러분의 컴퓨터에서 강제로 전송할 수 있습니다. 수신자가 첨부 파일을 열거나 링크를 클릭하면 악성코드가 컴퓨터에 설치되는 과정이 반복됩니다.
- 물리적 미디어: 해커는 USB 플래시 드라이브에 맬웨어를 넣어 두고, 의심하지 않는 피해자가 그 드라이브를 컴퓨터에 연결할 때까지 기다릴 수 있습니다. 이 수법은 기업 스파이 활동에 자주 쓰입니다.
- 팝업 알림: 여기에는 가짜 보안 소프트웨어를 다운로드하도록 속이는 가짜 보안 알림이 포함됩니다. 경우에 따라 또 다른 맬웨어가 다운로드됩니다.
- 취약점: 소프트웨어의 보안 결함을 틈타 맬웨어가 컴퓨터, 하드웨어 또는 네트워크에 무단으로 액세스할 수 있습니다.
- 백도어: 소프트웨어, 하드웨어, 네트워크 또는 시스템 보안에 의도적으로, 또는 뜻하지 않게 구멍이 생기는 것입니다.
- 드라이브 바이 다운로드: 최종 사용자가 알든 모르든 간에 뜻하지 않게 소프트웨어가 다운로드되는 것입니다.
- 권한 에스컬레이션: 공격자가 컴퓨터나 네트워크에 대해 격상된 액세스 권한을 취득하고 이를 통해 공격을 시작하는 것입니다.
- 동질성: 모든 시스템이 같은 운영 체제를 실행하고 같은 네트워크에 연결되어 있으면 웜이 다른 컴퓨터로 성공적으로 확산할 위험성이 커집니다.
- 혼합 위협: 여러 맬웨어 유형의 특성을 조합한 맬웨어 패키지이며, 다양한 취약점을 노릴 수 있어 탐지 및 차단이 더 어렵습니다.
맬웨어 감염의 징후
다음 중 하나라도 해당하면 장치에 맬웨어가 있을 수도 있습니다.
- 컴퓨터가 느려지거나 충돌하거나 멈춤
- 악명 높은 '죽음의 블루스크린' 표시
- 프로그램이 자동으로 열리고 닫히거나 스스로 변경됨
- 저장 공간 부족
- 팝업, 도구 모음 및 기타 원치 않는 프로그램 증가
- 사용자가 시작하지 않은 상태에서 이메일 및 메시지 전송
안티바이러스를 사용하여 맬웨어 위협으로부터 스스로를 지키세요.
맬웨어 공격과 PUP로부터 나 자신을 지키는 가장 좋은 방법은 종합 안티바이러스를 사용하는 것입니다. Kaspersky Total Security는 휴일 없이 24시간 언제나 해커, 바이러스, 맬웨어를 차단하면서 데이터와 장치를 안전하게 보호하게 합니다.
추천 제품: