'보안동향/컴퓨터 바이러스 '에 해당되는 글 2건

이번시간엔 웜바이러스에 대해서 포스팅해보려고한다. 사실 웜바이러스는 현존하는 바이러스 중 정말 무서운 바이러스다. 컴퓨터바이러스 대부분은 자기 자신을 복제하지 못하는데 웜바이러스는 그게 가능하다. 웜바이러스 하나만 퍼뜨려도 무한증식이 가능해서 네트워크 전체로 자기자신을 복제하며 퍼져 나간다는 것이다. 

⊙ 웜바이러스 창시자 모리스 웜

지금으로부터 26년전 그는 당시 매사츄세츠 공과대학(MIT) 인공지능 연구실에 있던 'VAX서버'에 침투하려고 했다. 자신의 존재가 노출되지 않도록 MIT 내의 PC를 사용했다. MIT 시스템에 침투한 모리스웜은 해당 프로그램을 차단하지 못하도록 막는 기능을 가졌다. 해당 프로그램이 작동되지 못하도록 할 때 마다 7번씩 자신을 복제해 전파되는 구조였다.​ 모리스는 이 웜이 유포되는 것을 통제할 수 있다고 믿었으나 해당 웜이 가진 자체 버그 때문에 썬 OS 시스템 등을 포함해 많은 시스템을 마비시켰다. 그당시 모리스웜은 박사과정중인 대학원생이었다. 이러한 모리스웜의 웜바이러스는 사회적으로도 큰 파장이 일었다. 위에서 말했듯 자기증식이 가능하기 때문에 네트워크나 인터넷으로 퍼지는것이 순식간이었기 때문에 미국의 많은 네트워크와 인터넷을 마비시켰다. 결국 모리스웜은 컴퓨터 보안법위반으로 구속되서 징역 3년형을 살았다. 하지만 지금은  현재 자신이 공격했던 MIT 내 인공지능연구소(CSAIL) 소속 병렬 및 분산 운영체제(PDOS) 그룹 담당 교수로 근무 중이다. 사회적으로 파란이 많았던 사람이지만 아마 바이러스를 만드는 방법을 알기때문에 어떻게 보안을 해야하는지도 잘 알기 때문에 그런 여러가지 공로를 인정받아 지금의 교수가 되지 않았나 생각이든다. 그리고 웜의 또하나의 중요한 특징은 정상파일을 감염시키지는 않는다는 것이다. 웜은 그냥 자신을 복제해서 퍼뜨리는 역할만 한다는 것이다. 웜의 경우는 그냥 삭제만 잘해주면 큰 문제는 없다. 치료프로그램에서 웜이라고 감지된파일을 삭제를 잘해주기만 하면 큰 문제는 없을 것이다.

대표적인 웜
- Win32/Blaster.worm 
- Win32/IRCBot.worm 
- Win32/Bagle.worm

이번 포스팅은 트로이목마바이러스에 대해 써보려고 한다. 현재 전 세계는 컴퓨터,IT가 너무나도 많이 발달해서 이것들이 없는 삶은 생각지도 못하게 되었다. 문명의 발달이 너무 빠르다고 해야할까? 산업혁명 이후 현재시대는 대부분이 IT하고 연관이 깊다. 이번에 이세돌이 알파고하고 바둑세기의 대결을 했을때도 마찬가지고 이제 로봇의 시대가 오는 길도 그렇게 크게 멀어보이지만은 않다. 이렇게 살기가 편해지고 발달한 세대여도 골칫거리들이 생기기 마련이다. 컴퓨터 하면 또하나가 뭐가 떠오르는가? 바로 컴퓨터 바이러스다. 모든게 컴퓨터로 통한다고 말해도 과언이 아닐정도로 많이 이용하고 있기때문에 그만큼 정보도 많다. 그러기때문에 호시탐탐 해커들은 바이러스를 침투시켜 정보를 빼내기 위해 안간힘을 쓴다. 제일 많이 이슈화가 되고 있는것도 바로 컴퓨터보안이다. 컴퓨터 보안이 더 발달해야 하는 이유도 다 앞서 말한 점에 있다. 그럼 트로이목마바이러스는 뭘까?

1. 트로이 목마 바이러스

그리스 트로이목마를 보면 무엇이 떠오르는가? 그리스가 트로이를 무너뜨릴때 썼었다. 그리스가 항복의 표시로 트로이에게 목마를 선물을 했고 트로이는 그를 받아들여 술에 완전히 취해서 놀던중 갑자기 목마에서 그리스 병사들이 덮쳐서 트로이를 크게 무찔렀다. 겉으로 보기에는 그냥 나무로 만든 목마처럼 보였으나 그 안엔 그리스 병사들이 숨어있었던 것이다. 컴퓨터바이러스도 마찬가지다. 트로이목마 바이러스는 아무렇지도 않게 정상인 파일인 척하면서 이메일, 다운로딩 파일등에 숨어있는다. 하지만 그 파일들은 모두 바이러스가 숨어져있다. 바로 이런 점이 유사했기 때문에 트로이목마 바이러스라고 이름이 붙여졌다. 이메일이나 이런곳에서 함부로 모르는 파일 열어보지 말라는 것도 모두 트로이목마 바이러스가 숨어져있기 때문이다. 정상파일인척하면서 몰래 사용자 컴퓨터에 들어와 모든 걸 감염시키고 망가뜨려놓는다. 이런점이 트로이목마의 무서운 점이다. 처음 80년대에는 백도어방식으로 네트워크에 접근했었다. 그 당시엔 기술도 없어 네트워크로 트로이목마 바이러스 침투 시키는건 어렵지 않은 일이었다. 하지만 90년대, 2000년대에 들어와서는 방화벽이라고 하는 프로그램도 만들어지고 여러가지 보안프로그램이 만들어지면서 점점 네트워크로 침입하기는 힘들어졌다. 그래서 해커들은 리버스커넥션 방법으로 트로이목마 바이러스를 심기 시작했다. 리버스 커넥션 방법이란 방화벽을 우회해서 공격하는 기법을 말한다. 그 전에 만들어진 보안프로그램들은(최근에 만들어진것도 좀  포함되는듯) 내부에서 외부로 인터넷접속을 시도하는 방법을 모두 통과시켜 놓게 만들어놨다고 한다. 이래서 해커들은 주로 우회해서 공격하는 기법을 많이 사용한다고 한다. 보안 프로그램을 우회하기 위한 방법도 5가지 이상이 있다. 프로세스를 강제종료시키는 방법, 보안프로그램 윈도우 비활성화 등등.. 진짜 많다. 이렇게 우회해서 공격을 하니 정말 공격대응 방법은 수도 없이 많아질 수 밖에 없는 구조이다. 그래도 요즘은 이러한 점을 알기때문에 우회하지 못하도록 하는 프로그램도 개발되고 있다는데 앞으로도 트로이목마 바이러스는 웜바이러스 같이 자기 복제가 가능한 바이러스로 진화가 될 수 있다고도 한다.  그렇게 되지 않도록 트로이목마바이러스를 막기위한 연구 활동은 계속 되어야 할 것이다.