악성 소프트웨어
피해자 시스템의 CIA를 손상시킬 의도로 은밀히 삽입된 프로그램
악성 소프트웨어 분류
| 명칭 |
전파 방식 |
자기 복제 |
특징 |
| 바이러스 |
숙주 프로그램 감염 |
O |
실행파일에 기생, 사용자 실행 필요 |
| 웜 |
네트워크 취약점 이용 |
O |
독립 실행, 숙주 불필요 |
| 트로이 목마 |
사회공학 (유용한 척) |
X |
숨겨진 악성 기능 포함 |
| 루트킷 |
취약점 이용 |
X |
루트 권한 탈취 후 은닉 |
| 스파이웨어 |
번들 설치 |
X |
키스트로크·네트워크 모니터링 |
| 랜섬웨어 |
다양 |
X |
데이터 암호화 후 금전 요구 |
| 봇(좀비) |
웜과 유사 |
O |
다른 기계 공격에 동원 |
| 애드웨어 |
소프트웨어 번들 |
X |
광고 팝업, 사이트 리다이렉트 |
바이러스
구성 요소
감염 메커니즘 (전파 수단)
+ 트리거 (페이로드 활성화 조건 — Logic Bomb)
+ 페이로드 (실제 악성 행동)
수행 4단계
1. 휴지 단계 → 바이러스 비활성 (일부 바이러스만 해당)
2. 전파 단계 → 다른 파일에 자신 복제, 탐지 회피 위해 변형 가능
3. 트리거 단계 → 특정 이벤트(날짜, 파일 생성 등)로 활성화
4. 실행 단계 → 페이로드 실행 (메시지 출력 ~ 파일시스템 파괴)
바이러스 로직 (압축 바이러스)
1. 감염 대상 찾기 (표시 확인)
2. 대상 파일 압축 후 바이러스 코드 앞에 붙임
3. 실행 시: 바이러스 먼저 실행 → 원본 압축 해제 → 원본 실행
웜
특징
- 독립 실행 가능 (숙주 프로그램 불필요)
- 취약점을 통해 능동적으로 타겟 탐색
- 네트워크로 자신의 복사본 전파
전파 메커니즘
| 경로 |
방법 |
| 이메일 |
자신을 첨부파일로 발송 |
| 파일 공유 |
이동식 미디어 감염 |
| 원격 실행 |
소프트웨어 취약점 이용 |
| 원격 파일 전송 |
FTP 등 파일 서비스 이용 |
주요 웜 사례
| 이름 |
시기 |
특징 |
| 모리스 웜 |
1988 |
최초의 심각한 웜, 유닉스 패스워드 크래킹·finger 버그 이용 |
| 코드레드 |
2001.7 |
IIS 버그 이용, 랜덤 IP 탐색, 대량 트래픽 유발 |
| 님다 |
2001.9 |
이메일·파일 공유·웹서버 등 다중 경로 확산 |
| SQL 슬래머 |
2003 |
SQL 서버 버퍼 오버플로우, 빠른 확산 |
| Conficker |
2008 |
윈도우 취약점 이용, SQL 슬래머 이후 최대 확산 |
| 스턱스넷 |
2010 |
산업용 제어 시스템 타겟, 탐지율 최소화 |
트로이 목마
- 유용한 프로그램 속에 숨겨진 악성 기능 포함
- 자기 복제 없음
- 사용자가 직접 실행하도록 유도 (게임, 유틸리티 등)
3가지 공격 형태
1. 원래 기능 수행 + 별도 악성 행동
2. 원래 기능 수행 + 업데이트로 악성 기능 추가
3. 원래 기능 완전 대체하여 악성 기능만 수행
페이로드 (Payload)
악성 소프트웨어가 실제로 수행하는 악성 행동
| 유형 |
예시 |
| 데이터 파괴 |
하드디스크 덮어쓰기 (체르노빌 바이러스) |
| 랜섬웨어 |
데이터 암호화 후 복구키 대가로 금전 요구 |
| 스팸 발송 |
감염 PC를 스팸 엔진으로 활용 (Sobig.F) |
| 백도어 설치 |
원격 접근 채널 생성 (Code Red II, Mydoom) |
APT (Advanced Persistent Threat)
지능형 지속 위협
- 다양한 침입 기술 + 악성 소프트웨어 조합
- 상업적·정치적 목적을 위해 특정 대상에 지속적으로 적용
- 조직의 기밀 정보 획득이 주목적
관련 개념