악성코드(Malicious Code 혹은 Malware) 이해

악성코드 (Malicious Code 혹은 Malware)

- 의도적으로 또는 비의도적으로 실행되면서 기밀성, 가용성, 무결성 등의 컴퓨터의 보안 속성을 침해할 목적으로 작성된 프로그램

 

악성코드 분류

- 독립형, 기생형

 

기생형

- 다른 응용프로그램이나 유틸리티 같은 호스트 프로그램을 필요로 함

- 바이러스, 논리폭탄, 백도어

 

독립형

- 자체적으로 구동될 수 있는 프로그램으로 스케줄되어 구동될 수 있음

- 웜, 좀비 프로그램

 

바이러스성 악성코드

- 자기 복제 가능

- 웜, 바이러스

 

비-바이러스성 악성코드

- 자기 복제 불가능

- 트로이목마, 백도어

 

악성코드 종류

바이러스

- 다른 프로그램을 감염시킨느 프로그램 단편이며, 자기 복제 기능이 있음

- 네트워크를 통해 전파되지 않음

 

바이러스 세대별 분류

1세대 원시형 바이러스 (Primitive Virus)

- 초기 형태의 바이러스, 주로 단순한 형태의 복제 코드만 포함

- 플로피 디스크나 실행 파일 등을 통해 확산

  
2세대 암호화 바이러스 (Encrypted Virus)

- 암호화 기술을 사용하여 자신의 코드를 숨기는 바이러스

- 바이러스의 복제 코드를 복호화하는 루틴을 포함하고 있으며, 이를 통해 실행

 

3세대 은폐형 바이러스 (Stealth Virus)

- 자신을 숨기기 위해 시스템의 파일, 디렉토리, 부트 섹터 등을 변경하는 바이러스

- 파일 크기를 변경하지 않거나 변경된 파일 크기를원래 크기로 되돌려 탐지를 피함 

 

4세대 갑옷형 바이러스 (Armored Virus)

- 자신의 탐지를 방해하기 위해 복잡한 코드와 다양한 은폐 기술 사용하는 바이러스

- 디버깅과 분석을 어렵게 하기 위해 다중 암호화, 가상 머신 탐지 회피 기술 사용

 

5세대 매크로 바이러스 (Macro Virus)

 - 매크로 기능이 있는 MS사 오피스 제품군과 VBS(Visual Basic Script)를 지원하는 다양한 프로그램에서 활동
 - Adobe사의 PDF도 매크로 바이러스의 한 형태인데 PDF문서는 자바스크립트를 포함할 수 있음
 - 실행 파일을 다룰 때보다 주의를 덜하기 때문에 피해가 큼

 

웜 (Worm)

- 자기 복제가 가능하며, 네트워크 연결을 통해 컴퓨터에서 컴퓨터로 복제본 전송

 

트로이목마 (Trojan Horse)

- 자기의 실체를 드러내지 않으면서 마치 정상 프로그램인 것처럼 가장하여 활동하는 프로그램

- 자기 복제를 하지 않으며, 다른 파일을 감염시키거나 변경시키지 않음

- 트로이목마가 포함된 프로그램이 실행되면 시스템은 공격자에게 시스템을 통제할 수 있는 권한을 부여함

 

키로거 (Keylogger)

- 컴퓨터가 받아들이는 입력 정보 (키보드 입력 데이터)를 중간에 가로채어 기록을 만들고 전송하는악성코드

 

바이러스 (Virus)

- 자기복제 : O

- 형태 : 감염대상 필요

- 전파 경로 : 사용자가 감염 파일 옮김

- 주요 증상 : 시스템 및 파일 손상

 

웜

- 자기복제 : O

- 형태 : 독자적으로 존재

- 전파 경로 : 네트워크를 통해 스스로 전파

- 주요 증상 : 네트워크 성능 저하

 

트로이목마

- 자기복제 : X

- 형태 : 정상 프로그램으로 위장, 코드 형태로 삽입

- 전파 경로 : 사용자가 내려 받음

- 주요 증상 : PC 성능 저하, 좀비 PC

 

페이로드

- 공격자가 의도한 목표를 달성하기 위해 사용하는 코드

 

페이로드 종류 (공격 유형)

- 애드웨어 : 원치 않는 광고 표시

- 암호 화폐 채굴 : 컴퓨팅 성능으로 암호 화폐를 채굴하는 데 사용

- 랜섬웨어 : 대가를 지불하도록 요구

- 스파이웨어 : 키로거 또는 다른 수단을 통해 데이터를 은밀히 수집

- 기타 피해 : 데이터 손상, 파괴 등

 

 

결론

- 바이러스는 보안 관련해서는 필수로 알고 있어야 하는 부분이다. 세대 별 바이러스도 중요하지만 웜, 랜섬웨어, 트로이목마 등 코드 그 자체로 피해를 주거나 파일을 감염 시킨다. 보안기사뿐만 아니라 처리기사에서도 바이러스 관련하여 나왔던 것으로 기억한다. 자격증 공부를 위해 하시는 분들도 자기복제 같은 부분이나 파일 감염은 어떤 바이러스가 하는지 구분을 할 줄 알아야 할 것 같다.