티스토리 뷰

목차



    컴퓨터 바이러스가 제작된지 올해로 20주년을 맞이 했다. 20년이라는 긴 세월 속에서 컴퓨터 바이러스는 파일 감염을 목적으로 하는 바이러스(Virus)로부터 네트워크를 통한 급속한 확산을 시도하는 웜(Worm), 그리고 데이터 유출을 위한 트로이목마(Trojan Horse)에 이르기까지 다양한 모습으로 발전했다.


    이러한 악성코드의 형태 및 기술적인 변화는 운영체제 및 네트워크의 발전 등 컴퓨터 기술의 발전과 그 맥락을 같이 했다고 볼 수 있을 것이다. 한편, 악성코드는 해가 갈수록 수치적인 면에서는 증가 추세를 이루고 있으며 기술적인 면에서도 더욱 더 위험성을 더해 가고 있어 컴퓨터 사용자들을 불안하게 만들고 있는 것이 사실이다.


    또한 악성코드의 제작 목적 또한 전통적으로 기술력 과시를 위한 성향에서 금전 취득을 위한 것으로 변하고 있는 등 인터넷 공간에서 사이버범죄의 한 형태로 자리잡아가고 있다. 이에 변화무쌍한 그간의 행적과 앞으로의 발걸음을 따라가 보기로 한다.


    최근의 악성코드 동향


    악성코드의 수치적인 증가는 안철수연구소 시큐리티대응센터(ASEC)에서 발간하는 「ASEC Annual Report 2005」를 통해서 살펴보면 최근의 악성코드 동향에 대해서 더 자세히 알 수 있다.

     

         표 1. 1988년부터 2005년까지 국내 발견 악성코드 수치

     연도

    88

    89

    90

    91

    92

    93

    94

    95

    96

     합계

    1

    6

    28

    24

    17

    34

    76

    128

    226

     연도

    97

    98

    99

    00

    01

    02

    03

    04

    05

    합계

    256

    276

    379

    572

    435

    277

    1239

    4622

    2956

                                                                  출처  ASEC Annual Report 2005


    [표 1]을 통해서 보듯이 악성코드의 수치가 해마다 지속적으로 증가하고 있는 것을 잘 알 수가 있다. 그리고 해마다 증가하는 악성코드 중에서도 [표 2]의 2005년 악성코드 유형별 건수를 통해서 2005년은 단연 트로이목마가 가장 많은 확산을 보였던 것도 확인할 수 있다. 그러나 전통적으로 트로이목마는 그 감염 기법과 형태적으로 확산력이 웜에 비해 상대적으로 떨어진다고 알려져 있었으나 그러한 일반적인 통념을 깨고 트로이목마가 가장 많은 확산을 보였었다.

     

         표 2. 2005년 악성코드 유형별 건수

     

     

     트로이

     드롭퍼

     스크립트

     파일

     매크로

     유해가능

     월별합

     1월

    197

    84

    7

    5

    0

    0

    8

    301

     2월

    204

    43

    2

    0

    1

    0

    11

    261

     3월

    106

    87

    2

    0

    1

    0

    20

    216

     4월

    116

    98

    8

    5

    0

    1

    5

    233

     5월

    106

    132

    21

    5

    1

    2

    11

    278

     6월

    81

    142

    41

    16

    3

    0

    21

    304

     7월

    63

    102

    29

    7

    1

    1

    27

    230

     8월

    70

    123

    29

    2

    1

    1

    10

    236

     9월

    58

    116

    30

    7

    0

    1

    13

    225

     10월

    39

    101

    25

    2

    0

    0

    8

    175

     11월

    40

    136

    30

    3

    0

    0

    3

    212

     12월

    53

    189

    34

    1

    1

    0

    7

    285

     유형별합

    1133

    1353

    258

    53

    9

    6

    144

    2956

                                                                   출처  ASEC Annual Report 2005


    이렇게 2005년 한 해 동안 가장 많은 확산을 보여왔던 트로이목마가 어떠한 것이며 전통적인 트로이목마 형태로부터 최근의 트로이목마에 이르기까지 그 시대적인 변화와 기술적인 발전들에 대해서 살펴보고자 한다.


    악성코드와 트로이목마의 유래


    악성코드는 일반적으로 바이러스라고 널리 알려져 있는데 바이러스라는 명칭은 하나의 악성코드 형태일 뿐이다. 일반적으로 악성코드는 “Malicious Code”, “Malware” 또는 “Malicious Program” 으로 표기하고 있다. 그러나 최근에 들어 일부에서는 “Malicious Software” 라는 용어를 사용하기도 하고 있다. 이러한 영문 표기법을 한국어로 표기한 것이 악성코드이며 일반적으로 다음과 같이 정의하고 있다.


    악성코드는 ‘악의적인 목적을 위해 작성된 실행 가능한 코드’로 정의한다. 실행 가능한 코드는 프로그램, 매크로, 스크립트뿐만 아니라 취약점을 이용한 데이터 형태들도 포함하고 있으며 형태에 따라서 바이러스, 웜, 트로이 목마로 분류되고 있다.


    이러한 악성코드의 한 형태인 트로이목마는 일반적으로 자기 자신을 복제하지 않지만 악의적 기능을 포함하는 프로그램 또는 악의적 목적에 적극적으로 활용되는 프로그램이나 데이터를 통칭하고 있다. 그러나 트로이목마는 자기 자신을 복제하지 않는다는 점에서 바이러스나 웜과는 그 성격 자체가 다르다고 볼 수 있다.

     

    <그림3. 영화 트로이 중 거대한 목마>


    트로이목마라는 명칭은 그리스와 트로이의 전쟁을 그린 호메로스(Homeros)의 서사시인 일리야드에서 유래 되었다. 그 서사시를 영화화하여 2004년에 개봉된 ‘트로이’라는 영화를 보았다면 조금 더 이해가 빠를 것이다. 영화 ‘트로이’에서 그리스 군은 트로이를 무너뜨리기 위해 커다란 목마를 제작하였다. 그리고 그리스 군은 목마만을 남겨두고 후퇴하였으며 승리의 기분에 도취된 트로이 군은 그 목마를 성안으로 가져오게 된다.


    그러나 목마안에는 그리스 군사들이 숨어 있었고 야간을 틈타 목마에서 몰래 빠져나와 트로이 성을 함락시켰다. 이 일리야드 서사시에 나오는 목마와 같이 악성코드의 한 형태인 트로이목마 역시 사용자 모르게 컴퓨터에 몰래 설치되어 악의적인 기능을 수행한다는 점에서 유사하다 하여 붙여졌다.


    트로이목마의 시대적인 변화


    호메로스의 서사시인 일리야드에서 그 명칭이 유래된 트로이목마는 시대적인 흐름에 따라 악의적인 기능과 감염기법 등에 따라 변하게 되었다. 시대적인 흐름에 따라 트로이목마의 변화를 구분하면 크게 다음으로 나누어 볼 수 있다.


    1) 1980년대 후반 - 데이터 파괴 형태


    1980년대 후반은 바이러스나 웜이 유행하기 전이며 이 시기의 트로이목마는 주로 감염된 컴퓨터에 존재하는 파일들을 삭제하거나 데이터를 손상시키는 형태가 주를 이루고 있었다. 인터넷이 발달하기 이전인 이 시기에는 대부분의 트로이목마가 BBS(Bulletin Board System)를 통해서 배포되었다. 그리고 유용한 공개 소프트웨어로 가장하는 사회 공학 (social Engineering) 기법을 이용하여 이를 다운로드한 컴퓨터 사용자들이 실행하는 것으로 컴퓨터에 설치 되었다.


    2) 1990년대 후반  백도어 형태


    1990년대 후반에 이르러 개인용 컴퓨터의 보급과 인터넷의 발달이 이루어지기 시작하였으며 이로 인해 더 많은 개인 사용자들이 인터넷을 접속하게 되었다. 이 시기의 트로이목마는 네트워크를 통해 사용자 모르게 컴퓨터에 불법적인 접근을 가능하도록 하는 백도어 기능이 포함되기 시작하였다. 이로 인해 백도어 역할을 하는 트로이목마가 유행하기 시작하며 본격적으로 개인용 컴퓨터에 있는 데이터 유출과 개인 신상 정보의 노출이 하나의 사회 문제로 인식됐다. 백도어 형태의 대표적인 트로이목마로는 1998년 미국 라스베가스에서 있었던 해커들의 모임인 데프콘(Defcon)을 통해서 널리 알려진 백오리피스(Win-Trojan/Back_Orifice)가 있으며 그 외에도 넷버스 (Win-Trojan/Netbus) 그리고 중국 최초의 백도어라고 알려진 넷스파이(Win-Trojan/NetSpy) 등이 있다


    3) 2000년대 초 - 루트킷 형태


    2000년대에 접어 들면서 악성코드는 보안 프로그램을 우회할 수 있는 기법과 기능이 조금씩 보강되기 시작하였다. 트로이목마 역시 이 시기에 접어들면서 사용자나 백신으로부터 트로이목마 자신을 숨겨 진단을 회피하거나 사용자가 트로이목마 감염을 인지하지 못하도록 하는 목적을 위해 은폐기능을 수행하는 루트킷(Rootkit) 형태가 증가하기 시작한다. 이러한 루트킷 형태는 해당 은폐기능을 트로이목마 내부에 하나의 기능으로 포함하거나 별도의 커널 드라이버를 생성하여 실행하는 것으로 다시 나누어 볼 수 있다. 이러한 루트킷 형태의 대표적인 트로이목마로는 핵데프 (Win-Trojan/HackDef)와 휴피곤 트로이목마(Win-Trojan/Hupigon) 등이 있다.


    4) 현재 - 금전적 이득 형태


    현재에 이르러서 악성코드의 제작목적이 전통적인 기술력 과시를 위한 것에서 금전적 이득을 위한 것으로 바뀌게 되었다. 트로이목마 역시 금전적인 이득을 위해서 제작되고 있으며 형태 면에서도 애드웨어를 다운로드하는 트로이목마로부터 특정 온라인 게임의 사용자 계정과 암호를 탈취하여 게임 아이템을 판매하는 형태까지 다양하게 등장하고 있다. 이러한 금전적인 이득을 위한 목적으로 제작된 대표적인 트로이목마로는 리니지핵(Win-Trojan/LineageHack)과 항핵 (Win-Trojan/HangHack) 등이 있다.


    트로이목마의 기술적인 진화


    시대적인 흐름에 따른 트로이목마의 변화들을 살펴보았다. 트로이목마는 시대적인 흐름에 따라 제작 형태 뿐 만 아니라 제작 목적까지 변화되고 있는 것을 알 수 있었다. 이와 함께 트로이목마의 형태에 따른 감염 기법과 공격 기법 등 기술적으로도 많은 변화가 있었다. 이러한 기술적인 변화에 따라 트로이목마들이 어떻게 발전하고 있는지도 살펴볼 필요가 있다.


    1) 백도어를 통한 시스템 침입

     

    <그림4. 임의의 TCP 포트를 사용하는 트로이목마>


    네트워크가 가능해진 시기부터 트로이목마는 백도어 형태가 대표적인 형태로 자리잡게 되었다. 이러한 전통적인 백도어 형태의 트로이목마는 일반적으로 서버(Server)와 클라이언트(Client) 구조를 가지게 된다. 여기에서 말하는 서버는 서비스를 제공해주는 주체로써 트로이목마 본체를 말하는 것이고 클라이언트는 서비스를 수행하는 주체로 트로이목마를 조정하게 되는 프로그램을 말하게 된다. 이 서버와 클라이언트 프로그램을 네트워크를 통해서 서로 통신을 하기 위해서는 TCP 또는 UDP 프로토콜(Protocol)을 이용하여 네트워크 세션을 맺게 되는데 이 과정에서 임의의 TCP 또는 UDP 포트(Port)를 사용하게 된다.

    그러므로 트로이목마 본체는 임의의 TCP 또는 UDP 포트를 열어놓고 악의적인 해커가 접속을 할 수 있도록 대기(Listening) 상태가 된다.

    트로이목마를 배포한 악의적인 해커는 스캐너(Scanner)라는 프로그램을 이용하여 자신이 배포한 트로이목마에 감염된 컴퓨터를 자동으로 검색할 수도 있으며 일부 트로이목마의 경우에는 감염된 컴퓨터로부터 악의적인 해커에게 ICQ와 같은 온라인 메신저 또는 전자메일을 이용하여 감염된 시스템의 IP 주소와 사용된 임의의 포트 번호를 기록하여 보내어 불법적인 접근을 더욱 쉽게 유도하게 된다. 이러한 트로이목마가 열어놓은 네트워크 포트를 통하여 악의적인 해커는 접속을 시도하게 되며 접속이 성공하게 될 경우에는 컴퓨터를 완전히 장악함으로써 컴퓨터를 사용하는 사용자의 일거수일투족을 모두 감시할 수 있다. 그리고 트로이목마에 감염된 컴퓨터를 원격제어도 할 수 있게 되어 다른 제 3의 컴퓨터를 공격하거나 해당 컴퓨터에 있는 개인 정보와 데이터를 외부로 유출할 수도 있다.

    감염 기법 또한 인터넷 웹사이트에 유용한 공개용 소프트웨어라고 가장하여 배포되며, 사용자가 이를 다운로드하여 설치한 후에 감염되는 것이 대부분이다. 그리고 바인더(Binder)라는 프로그램을 이용하여 정상 프로그램과 트로이목마를 합쳐서 하나의 파일로 생성 한 후 파일명을 일반적인 컴퓨터 사용자가 관심을 가질 만한 유명한 소프트웨어 크랙(Crack) 버전 또는 성인용 동영상 등으로 바꾼다. 이렇게 생성한 파일을 실행하게 될 경우 사용자의 컴퓨터에는 정상 소프트웨어가 설치되고 실행되지만 그 뒷면으로는 트로이목마가 몰래 설치된다. 이러한 웹사이트를 통한 배포 외에 특정 사용자의 컴퓨터를 감염시키기 위한 목적으로 전자메일의 첨부파일로 트로이목마를 보내는 형태도 있다.

    그러나 이러한 전통적인 트로이목마 감염기법을 통한 악의적인 해커들의 불법적인 접근 방식은 방화벽(Firewall)과 같은 네트워크 보안 프로그램이 설치되면서 더 이상 트로이목마가 설치된 컴퓨터에 직접적인 접근을 할 수가 없게 되었다. 이러한 네트워크 보안 프로그램을 우회하기 위해서 제작되기 시작한 트로이목마가 바로 리버스 커넥션(Reverse Connection) 형태다.

     

    <그림 5. 전통적인 트로이목마 형태에 대한 침입 차단>


    2) 능동적인 공격으로의 발전


    네트워크 보안 제품이 발달하면서 많은 기업들이 방화벽(Firwewall), 침입 탐지 시스템(IDS, Intrusion Detection System) 또는 침입 차단 시스템(IPS, Intrusion Prevention System)과 같은 네트워크 보안 제품들을 사용하게 되었다. 이러한 네트워크 보안 제품들은 안전을 보장할 수 없는 외부 인터넷으로부터 기업 내부의 컴퓨터들을 보호하기 위해서 개발되었으며, 실제 인터넷이라는 공간에 존재하는 얼굴없는 해커들의 악의적인 공격을 막아주는 효과를 보여주었다. 또, 네트워크 보안 제품들은 악의적인 해커들의 공격은 항상 외부 인터넷에서 기업 내부 네트워크로 이루어진다는 가정하에 만들어진다. 그러나 이러한 네트워크 보안 제품의 사용이 활성화되고 난 이후 등장한 트로이목마의 유형이 바로 리버스 커넥션(Reverse Connection) 형태다.

    리버스 커넥션 형태의 트로이목마 감염 기법은 전통적인 트로이목마 형태가 사용하는 감염 기법 중 하나인 전자메일의 첨부파일을 이용하는 것과 동일하다. 그러나 트로이목마가 컴퓨터에 감염되고 난 이후의 행동은 백도어 형태의 전통적인 트로이목마와는 완전히 다른 모습을 보인다. 리버스 커넥션 형태는 감염된 시스템에서 네트워크 세션을 맺기 위해서 외부 인터넷에 대기하고 있는 악의적인 해커의 컴퓨터로 역으로 접속을 시도한다는 것이다. 이렇게 감염된 컴퓨터에서 역으로 접속을 시도하게 되는 경우 네트워크 보안 제품들 대부분이 내부 네트워크에서 외부 인터넷으로 접속을 시도하는 형태 모두를 정상으로 판단하게 된다. 그러므로 리버스 커넥션 형태의 트로이목마에 감염된 시스템이 요청하는 TCP 또는 UDP 포트를 네트워크 보안 제품들이 열어주게 됨으로 악의적인 해커는 아무런 방해 없이 트로이목마에 감염된 시스템에 성공적으로 접속 할 수 있다. 이러한 리버스 커넥션 형태의 대표적인 트로이목마로는 2004년 6월 초여름, 관공서와 국가연구기관의 컴퓨터들이 감염되어 언론의 주목을 받았던 핍뷰어(Win-Trojan/PeepViewer)를 들 수 있다.

    이후 네트워크 보안 제품들의 개인용 버전인 개인용 방화벽이 개인 사용자의 컴퓨터에 설치되기 시작하였다. 개인용 방화벽은 기존 네트워크 보안 제품들과는 달리 외부 접속 시도(InBound) 뿐만 아니라 내부 접속 시도(OutBound)까지 모두 감지하여 특정 프로세스가 외부 네트워크로의 접속을 시도하게 될 경우 컴퓨터 사용자에게 경고창을 생성해 알려주고 있다. 게다가 윈도우 XP 서비스팩 2에서부터는 보안 센터(Security Center)에서 기본적으로 윈도우 부팅시 ICF(Internet Connection Firewall)라는 방화벽을 활성화 해주고 있다.

    이로 인해 리버스 커넥션 형태의 트로이목마는 개인용 방화벽에 의해서 차단되기 시작하였으며 이로 인해 보안 프로그램의 탐지를 회피하기 위해 또 한번 기술적인 발전을 거듭하게 된다.

     

    <그림 6. 리버스 커넥션 형태의 트로이목마>


    3) 보안 프로그램을 우회하기 위한 진화


    네트워크 접속을 차단해주는 개인용 방화벽과 악성코드를 진단 할 수 있는 안티 바이러스(Anti-virus) 소프트웨어와 같은 보안 프로그램들이 많은 컴퓨터에 설치되면서부터 트로이목마는 이러한 보안 프로그램을 무력화 시키거나 우회하기 위한 기법들을 보여주게 되었다. 보안 프로그램을 무력화 시키거나 우회하기 위한 기법들의 형태는 크게 두 가지로 나누어 볼 수 있는데 첫 번째가 보안 프로그램 자체에 대한 적극적인 공격 형태이며 아래와 같은 기법들을 들 수가 있다.

    ㆍ보안 프로그램의 프로세스 강제종료

    보안 프로그램의 프로세스(Process) 자체를 강제 종료하는 것이다. 보안 프로그램의 프로세스를 강제 종료하게 되면 일반적인 윈도우 프로그램이 종료되는 것과 동일한 효과가 발생하게 되어 해당 보안 프로그램은 더 이상 정상적인 기능을 수행할 수 없게 되는 것이다.


    ㆍ보안 프로그램의 윈도우 서비스(Service) 비활성화

    보안 프로그램이 사용하고 있는 윈도우 서비스를 비활성화하게 시키는 경우다. 보안 프로그램의 윈도우 서비스를 비활성화하기 위해서 트로이목마는 윈도우 레지스트리(Registry)에 등록되어 있는 보안 프로그램의 윈도우 서비스 키 값을 찾아서 그 밸류(Value) 값을 비활성화로 변경시키게 된다. 이로 인해 윈도우 서비스로 등록되어 실행되는 보안 프로그램은 사용자가 정상적인 방법으로 서비스를 중지시키는 것과 동일한 효과가 발생하게 되며 그 기능 또한 중지되어 정상적인 기능을 수행할 수가 없다.


    ㆍ보안 프로그램의 레지스트리(Registry) 또는 파일 삭제

    보안 프로그램 역시 윈도우라는 운영체제에 설치되어 실행되는 윈도우 프로그램의 하나이다. 그러므로 윈도우의 프로그램 폴더에 보안 프로그램 자신의 폴더를 생성하고 보안 프로그램이 실행되기 위해 관련 파일들을 생성하게 되며 레지스트리에도 자신의 키 값을 생성하여 등록하게 된다. 이를 트로이목마에서 악용하여 윈도우 프로그램 폴더에 생성되어 있는 보안 프로그램의 파일들 전부 삭제하거나 레지스트리 키 값 전체를 삭제하여 보안 프로그램 자체를 복구 할 수 없을 정도의 손상을 가져다 준다.


    ㆍ보안 프로그램의 설정 변경

    레지스트리 조작을 통하여 보안 프로그램의 설정을 변경하게 되는 경우다. 이 경우는 주로 윈도우에 포함되어 있는 방화벽을 무력화하는데 많이 사용되고 있는데 윈도 레지스트리에 등록되어 있는 윈도우 방화벽이 사용하는 키 값을 찾아서 밸류 값을 변경하여 트로이목마가 사용하는 TCP 또는 UDP 포트를 미리 사용자 룰(Rule)로 등록하는 것이다. 이렇게 되면 사용자가 정상적인 절차로 윈도우 방화벽에 특정 포트를 사용자 룰로 등록하는 것과 같은 효과가 발생하게 되어 해당 포트를 사용하는 트로이목마는 윈도우 방화벽의 탐지 없이 네트워크 접속을 시도할 수가 있게 된다.


    그리고 두 번째는 보안 프로그램의 탐지로부터 자신을 은닉시키는 형태이며 주로 아래와 같은 기법들이 있다.


    ㆍDLL 또는 코드(Code) 인젝션(Injection)

    DLL과 코드(Code) 인젝션(Injection)은 최근 들어 트로이목마에서 방화벽을 회피하기 위해서 가장 많이 사용하는 기법 중 하나이다. 인젝션 기법은 트로이목마가 정상 프로세스의 스레드(Thread)로 실행시키거나 핸들(Handle)로 자신을 등록하여 실행하는 방법들을 말한다. 이렇게 인젝션 기법을 이용하여 트로이목마가 정상 프로세스에 인젝션 된 상태로 외부 네트워크로 접속을 시도하게 될 경우에는 방화벽에서는 외부 접속을 시도하는 프로세스 자체가 정상 프로세스임으로 외부 네트워크 접속 시도를 허용해주게 된다.


    ㆍ은폐기능을 이용한 탐지의 회피

    윈도우 NT 계열(Windows 2000, XP)의 컴퓨터에서는 윈도우 네이티브 함수(Natice API)라는 공개되지 않은 윈도우 커널(Kernel) 레벨의 함수들이 존재한다. 이러한 커널 레벨의 함수들 중 파일, 레지스트리 그리고 윈도우 서비스와 관련된 함수들을 트로이목마가 가로채어 윈도우 탐색기 등을 통해서 트로이목마 자체를 찾지 못하게 한다. 그리고 네트워크 접속을 시도하는 경우에는 포트 자체를 은폐시켜 방화벽에서도 탐지할 수 없다.


    4) 감염과 확산의 자동화로 한계의 극복

     

    <그림 7. iFrame이 삽입된 웹 페이지>


    전통적으로 트로이목마는 자기 복제와 확산이 되지 않는 특성으로 인해 국지적인 도발성이 강한 것으로 인식되었다. 그러나 인터넷이 생활 필수품으로 자리잡게 된 이 후인 2005년에 이르러서는 트로이목마 역시 전통적인 사회공학적인 감염기법에서 탈피하여 소수의 컴퓨터만이 감염 대상이 아니라는 것을 보여주게 되었다. 그 새로운 감염기법은 제 3의 매개체를 이용한다면 트로이목마 역시 악의적인 해커의 개입 없이도 수많은 컴퓨터에 자동으로 확산되고 자동으로 감염이 가능하다는 것을 보여주고 있다.

    악의적인 해커는 취약한 웹 사이트를 선택한 후 MS-SQL 데이터베이스(Database)의 SQL 인젝션(Injection) 취약점을 이용하여 웹 사이트를 해킹하게 된다. 해킹한 웹 사이트의 메인 페이지에 width와 height가 모두 ‘0’ 값을 가지는 아이프레임(iFrame) 태그를 삽입하게 된다.

    취약점(MS4-013  MHTML URL 처리 취약점, MS05-001  HTML의 도움말 취약점, MS05-002  커서 및 아이콘 형식 처리 취약점)이 존재하는 윈도우를 사용중인 사용자가 해당 웹 사이트의 메인 페이지에 접속하게 될 경우 해당 사용자의 컴퓨터에는 트로이목마가 자동으로 다운로드 한 후 실행되게 된다.

    이로 인해 웹 사이트 해킹과 취약점이 존재하는 윈도우라는 두 가지 제 3의 매개체를 이용하여 트로이목마는 웹 사이트를 접속하는 수 백, 수 천의 컴퓨터에는 트로이목마가 자동으로 감염되게 되었다. 이로서 트로이목마는 확산과 감염을 도와줄 수 있는 촉매제가 포함된 새로운 감염기법이 개발되면 웜보다 더 폭발적인 감염이 가능하다는 것을 보여주고 있다.

     

    <그림 8. 웹 사이트 해킹을 통한 트로이목마의 대량 확산>


    진화론에 충실한 변화를 이루어 온 트로이목마


    최근 마이크로소프트에서는 향후 출시될 윈도우 비스타(Vista)에서는 컴퓨터 보안을 최우선으로 고려하고 있다고 이야기한 바가 있다. 이는 모든 컴퓨터 및 네트워크 환경이 사용자와 컴퓨터 보호에 초점을 맞추어 구축이 될 것이라고 생각해 볼 수 있다.


    다윈의 진화론에 의하면 모든 생물의 진화는 자연의 선택에 따라 이루어지고 환경에 적응하는 개체가 그렇지 못한 개체보다 살아남을 수 있는 가능성이 크고, 훨씬 더 많은 자손을 남긴다고 한다. 이 다윈의 진화론처럼 보안이 중심이 된 새로운 컴퓨터 환경하에서도 역시 트로이목마는 환경에 적응하며 새로운 발전을 거듭할 것이라고 전망하고 있다.


    이렇게 다가올 새로운 환경하에서의 트로이목마는 악성코드의 다른 종류인 웜 또는 바이러스와 유사한 기질을 복합적으로 가지는 하이브리드(Hybrid)적인 형태가 등장 할 것이라고 보인다.


    이러한 하이브리드적인 트로목마는 웜처럼 다른 시스템으로 전파되면서 감염된 시스템을 원격제어 할 수 있게 되거나 바이러스처럼 파일을 감염시킨 후 해당 파일을 통해서 외부 네트워크로 감염된 컴퓨터에 존재하는 개인 정보들을 유출하는 형태가 될 수도 있을 것이다.


    또한 보안 프로그램에 대한 공격도 더욱더 적극성을 가지게 될 것으로 보이며 더욱더 컴퓨터 깊이 숨어들어 보안 프로그램으로 하여금 트로이목마 자신의 존재를 밝혀내기가 더욱 어렵게 만들어 나갈 것으로 여겨진다.


    앞서 이야기한 형태와 유사한 악성코드가 벌써 조금씩 등장하고 있어 보안 업체에서는 이러한 새로운 위협으로부터 안전한 컴퓨터 환경을 구현하기 위해서 다양한 방어 기법들이 활발하게 연구되고 있다. 이러한 끝없는 창과 방패의 싸움은 컴퓨터 과학의 발달과 함께 현재에도 계속 진행되고 있으며 미래에도 계속 이어지리라 보여진다.

    <글: 장영준 안철수연구소 연구원>

     

    [월간 정보보호21c(info@boannews.com)]

               

                 <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

    반응형