248 읽음
악성코드와 바이러스 웜 트로이목마 작동 방식 차이
IT조선
0
사이버 보안 관련 뉴스를 보면 이처럼 비슷한 표현이 반복되지만, 실제로는 의미가 조금씩 다르다. 각각 작동 방식과 피해 양상이 다르기 때문이다. 이 차이를 이해하는 것은 사고 대응과 보안 전략의 출발점이다. 하지만 잘 안다는 이들도 가끔 부주의하게 섞어 써버리고 마는 개념이기도 하다.
악성코드(Malware)는 ‘악의적 목적을 가진 모든 소프트웨어’를 포괄하는 개념이다. 컴퓨터 바이러스(Computer Virus), 웜(Worm), 트로이목마(Trojan Horse), 랜섬웨어(Ransomware) 등은 모두 이 범주에 포함된다. 쉽게 말해 ‘악성코드’는 큰 우산이고, 그 아래 다양한 공격 방식이 존재한다고 보면 된다. 그 중 대표적인 유형이 바이러스, 웜, 트로이목마다.
바이러스는 ‘파일에 기생하는 형태’다. 생물학적 바이러스처럼 정상 파일에 붙어 있다가 사용자가 실행해야 활동을 시작한다. 예를 들어 감염된 프로그램을 실행하면 다른 파일로 확산하며 데이터를 훼손하거나 시스템을 망가뜨린다. 즉 사용자의 행동이 있어야 확산된다는 점이 핵심이다.
반면 웜은 훨씬 적극적이다. 숙주 없이도 스스로 실행되며, 네트워크를 통해 자동으로 퍼진다. 이메일, 취약한 서버, 공유 폴더 등을 타고 확산되며 단시간에 대규모 감염을 일으킨다. 개별 파일을 망가뜨리기보다는 트래픽을 폭증시켜 서비스 장애를 유발하는 경우가 많다. 1988년 등장한 ‘모리스 웜(Morris worm)’은 인터넷 전체를 마비시켜 언론의 주목을 처음으로 받은 대표 사례로 꼽힌다. 최근에는 전 세계 노드닷제이에스(Node.js) 패키지 저장소인 npm 생태계를 뒤흔든 ‘샤이-훌루드’ 사례가 등장하며 웜 계열 공격의 확산 속도와 파급력을 다시 한번 보여줬다.
트로이목마는 바이러스처럼 파일에 기생해 퍼지는 것이 아니라, 정상 프로그램으로 위장해 사용자가 직접 실행하게 만든다는 점에서 차이가 있다. 즉 바이러스가 ‘감염’에 초점이 있다면, 트로이목마는 ‘속임’에 초점이 있다. 설치 이후에는 정보 탈취, 원격 제어, 백도어 설치 등 다양한 악성 행위를 수행한다. 다만 스스로 복제하지는 않기 때문에, 발견 시 해당 프로그램만 제거하면 대응이 가능하다.
정리하면 바이러스는 ‘정상 파일에 붙어서 퍼지고’, 웜은 ‘스스로 돌아다니면서 퍼지며’, 트로이목마는 ‘정상 프로그램으로 위장해 실행하게 만든다’고 할 수 있다.
악성코드는 여기서 그치지 않고 계속 진화하고 있다. 대표적인 것이 최근 기승인 랜섬웨어다. 파일을 암호화한 뒤 복구 대가로 금전을 요구하는 방식으로, 한 번 감염되면 복구가 매우 어렵다. 실제로 ‘워너크라이’ 사태에서는 전 세계 수십만 대의 시스템이 동시에 마비되기도 했다. 랜섬웨어는 퍼지는 방식이나 실행하는 방식이 아닌, 감염된 후 공격자들의 행동 방식에 초점이 맞춰진 이름이다.
이 외에도 사용자 정보를 몰래 수집하는 스파이웨어(Spyware), 시스템 깊숙이 숨어 탐지를 회피하는 루트킷(Rootkit), 여러 감염 기기를 네트워크를 통해 하나로 묶어 공격에 활용하는 봇넷(Botnet) 등 다양한 형태가 존재한다. 특히 최근에는 파일을 남기지 않고 메모리에서만 동작하는 ‘파일리스 악성코드’도 등장하는 등 기존 보안 체계를 우회하는 사례가 늘고 있다.
이런 악성코드가 유입되는 경로는 이미 잘 알려졌듯 이메일 첨부파일, 악성 링크, 보안 패치가 적용되지 않은 소프트웨어, 감염된 웹사이트 등이다. 즉 기술적 취약점과 사용자 실수가 결합되는 지점에서 침투가 이뤄진다.
악성코드 대응 방법은 역시 기본에 있다. 소프트웨어를 최신 상태로 유지하고, 출처가 불분명한 파일은 실행하지 않으며, 중요한 데이터는 별도로 백업하는 것이다. 여기에 최근에는 행위 기반 탐지 솔루션인 ‘EDR(엔드포인트 탐지·대응)’ 같은 보안 기술을 도입해, 기존 방식으로 탐지하기 어려운 공격까지 대응하는 흐름도 확산하고 있다.
정종길 기자
jk2@chosunbiz.com