나. 컴퓨터 바이러스

1) 컴퓨터 바이러스의 정의

컴퓨터 바이러스란 용어는 1983년 11월 캐나다 어느 학회에서 프레드 코헨이라는 학자가 처음 사용하였다고 한다. 초기에는 '쓰레기(Garbage) 프로그램' 또는 '악의적인 코드를 가지고 있는 프로그램' 등으로 불렸으나 생물학적 바이러스인 살아있는 세포 등과의 유사한 특징을 가지고 있어 컴퓨터 바이러스라는 용어로 표준화되었다.

컴퓨터 바이러스는 자기 스스로 증식할 수 있으며(확산기능), 자기 스스로 복제가 가능(감염기능)한 컴퓨터 프로그램을 의미한다. 즉, '프로그래머가 고의적으로 제작한 것으로 컴퓨터 시스템의 부트영역, 메모리, 파일 등에 자기 자신을 포함시키는 컴퓨터 프로그램'이라고 정의 할 수 있다.

※ 컴퓨터 바이러스 · 트로이목마 등의 차이점

☞ 컴퓨터 바이러스와 유사한 이러한 종류들(트로이목마, 웜, Dropper, Hoax)은 바이러스처럼 다른 파일을 감염시키지는 않지만 사용자에게 불편을 주거나 데이터 손상을 가져오는 것으로 바이러스와는 별도로 구분되나 우리나라의 경우 통상 포함해서 바이러스라고 하는 경우가 많다.

⑴ 트로이목마(Trojan)：바이러스 같은 자기 복제 기능이 없고 다른 프로그램에 달라붙지도 않지만 시스템에 문제를 일으키는 악성 프로그램이다. 98년 8월부터 유포되어 전세계적으로 문제를 일으키고 있는 백오리피스(Back Orifice)도 트로이목마의 일종이다.

⑵ 웜(Worm)：네트워크를 통해 자신을 복제 전파할 수 있는 프로그램을 말한다. 실제로 웜(Worm)이 처음으로 알려지게 된 것은 1988년 11월 2일에 발생한 Morris Worm 사건 이후였다고 할 수 있다. Robert T. Morris는 유닉스 시스템의 sendmail과 fingerd의 버그와 rsh/rexec를 이용하여 자기 복제 및 자체적인 네트워크 전파 기능을 갖는 유닉스 웜(Worm)을 개발하여 인터넷을 통해 유포하여 6200대 이상의 서버 시스템을 정지시키는 혼란을 야기시켰으며, 거의 100만 달러의 피해를 입혀 큰 사회적 문제가 되었다.

⑶ Dropper：컴퓨터 사용자가 인지하지 못하는 순간에 바이러스 혹은 트로이 목마 프로그램을 사용자의 컴퓨터에 설치(install)하는 프로그램을 말한다. Dropper는 자기 자신을 복제하는 기능은 없지만 컴퓨터 바이러스를 전파시킬 수 있다는 위험이 있으므로 이를 제거하는 작업도 반드시 필요하다. 작년 말에 출현하여 은행 계좌번호를 빼내는 등의 범죄에 사용되었던 Ecokys의 경우에도 사용자의 Keylog를 하는 프로그램에 Dropper를 추가한 트로이목마였다.

⑷ Hoax：남을 속이거나 장난을 친다는 뜻을 지닌 가짜 바이러스를 의미한다. 이러한 Hoax들은 흔히 공신력 있는 기관을 사칭하거나 복잡한 기술 용어들을 나열해가면서 사용자의 컴퓨터 시스템에 큰 위험이 있음을 경고하곤 한다. Virus Hoax는 인터넷과 전자 우편의 보급화와 함께 사람들에게 널리 퍼질 수 있게 되어 있어 이런 피해도 종종 발생하고 있다.

2) 컴퓨터 바이러스의 분류

가) 감염부위에 따른 분류

(1) 부트 바이러스 (Boot virus)：컴퓨터가 처음 가동되면 하드디스크의 가장 처음 부분인 부트섹터에 위치하는 프로그램이 가장 먼저 실행되는데, 이곳에 자리잡는 컴퓨터 바이러스를 말한다. 예) Brain, Monkey, Anti-CMOS 등

(2) 파일 바이러스(File virus)：일반적으로 파일에 감염되는 컴퓨터 바이러스로 실행 가능한 프로그램에 감염되는 바이러스로 감염되는 대상은 확장자가 COM, EXE인 실행파일이 대부분이다. 국내에서 발견된 바이러스의 80% 정도가 파일 바이러스에 속할 정도로, 파일 바이러스는 가장 일반적인 바이러스라고 할 수 있다.

예) Jerusalem, Sunday, Scorpion, Crow, FCL, Win95/CIH 등

(3)부트/파일 바이러스(Multipartite virus)：부트 섹터 영역과 파일의 양쪽 모두에 감염되는 바이러스로 대부분 크기가 크고 피해 정도가 크다.

예) Invader, Euthanasia, Ebola 등

(4) 매크로 바이러스 (Macro virus)：새로운 파일 바이러스의 일종으로, 매크로 언어로 코드가 기록되어 문서에 첨부. 응용 프로그램에서 사용하는 매크로 사용을 통해 감염되는 형태로 매크로를 사용하는 문서를 읽을 때 감염된다. 감염 대상이 실행 파일이 아니라 마이크로소프트사의 엑셀과 워드 프로그램에서 사용하는 문서 파일 등을 통해 이루어진다. 예) XM/Laroux

나) 운영체계에 따른 분류

(1) 도스 바이러스

(2) 윈도우 바이러스

(3) 애플리케이션 파생 바이러스(매크로 및 크립트 바이러스)

3) 컴퓨터 바이러스 감염여부 확인방법

가) 속도 저하

부팅 시간이 길어지며 디스크를 읽거나 쓰는 속도가 떨어진다.

나) 감염 흔적

사용 가능한 기억장소의 크기가 줄어들거나, 파일의 크기가 커지거나 파일 작성일이 변경되기도 한다.

다) 파괴 증상

기본 메모리보다 크기가 작게 나타나거나, DIR 명령을 실행시킬 때 파일명이 깨어져 나오거나, 파일명이 기록되어 있는 루트 디렉토리를 바이러스가 차지하거나, 시스템 자체의 정지, 파일 시스템의 파괴 등의 증상이 나타날 수 있다.

라) 컴퓨터 바이러스별 특이 증상

화면에 엉뚱한 말을 출력하는 등의 단순한 것부터 깃발, 벌레 등의 그림을 출력하는 것, 화면의 좌우를 완전히 뒤바꿔 놓는 것, 음악을 연주하는 것에 이르기까지 매우 다양하다.

4) 백신 프로그램

• 컴퓨터 바이러스를 예방, 진단, 치료하기 위해서 만든 프로그램을 백신 프로그램이라고 한다. 백신 프로그램은 컴퓨터 바이러스가 처음 발견된 후에 해당 컴퓨터 바이러스를 퇴치하기 위하여 처음 만들어졌으며, 이후에도 새로운 컴퓨터 바이러스가 발견되면 기존의 백신 프로그램에 신종 컴퓨터 바이러스에 대한 퇴치 기능이 추가되는 형태로 제작된다. 백신 프로그램을 사용하기 전에 알아둘 사항은 다음과 같다.
• 가) 컴퓨터 바이러스에 대한 예방법을 올바르게 인지하고 있어야 한다. 백신 프로그램만 믿고 다른 기본적인 예방법을 소홀히 하면 안 된다.
• 나) 최신 버전의 백신 프로그램을 사용한다.
• 다) 백신 프로그램에서 진단하지 못하는 컴퓨터 바이러스가 있을 경우가 많다. 빠른 속도로 많은 신종 컴퓨터 바이러스가 발생함에 따라 개발된 백신 프로그램이 완벽하게 모든 컴퓨터 바이러스를 진단한다고 신뢰를 해서는 안 된다.
• 라) 백신 프로그램이 컴퓨터 바이러스를 제거해도 감염된 자원은 완전히 복구되지 않을 수도 있다.
• 마) ZIP 등의 압축형태의 파일은 실행 옵션에 따라 백신 프로그램이 검색하지 않고 그냥 통과하는 경우가 있는데 이를 간과해서는 안되며 가능한 압축된 파일 내에 컴퓨터 바이러스에 감염된 파일이 존재하는지 확인해 보는 습관을 가져야 한다.

5) 백신 제작업체

6) 컴퓨터 바이러스 예방법

• 가) 중요한 데이터는 정기적으로 백업한다.
• 나) 백신 프로그램 사용시 항상 최신 버전으로 업데이트 하여 사용한다.
• 다) 메일에 첨부된 파일은 반드시 백신 프로그램으로 검사한 후 사용하고, 출처 및 내용이 분명하지 않은 소프트웨어나 파일, 낯선 사람에게서 온 메일의 첨부 파일 등은 실행시키지 말아야 한다.
• 라) 불법 복제 소프트웨어의 사용을 금한다.
• 마) 정품 이외의 프로그램은 개발자(사)가 확실한 프로그램을 사용한다.
• 바) 백신 프로그램의 자동감시기능을 사용하여 시스템을 보호한다.
• 사) 컴퓨터 바이러스 활동에 대한 달력 및 신종 컴퓨터 바이러스에 대한 정보를 통하여 감염을 예방한다.
• 아) 비상시를 대비하여 복구 디스켓 등을 준비한다.

7) 악성코드

악성코드(malware)는 'malicious software(악의적인 소프트웨어)'의 약자로, 사용자의 의사와 이익에 반해 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 의도적으로 제작된 소프트웨어를 말하며, 자기 복제와 파일 감염이 특징인 바이러스를 포함하는 더 넓은 개념이라고 할 수 있다. 이른바 비(非)바이러스 악성 코드(non-viral malware)라고 불리는 악성코드들 중에는 바이러스 못지 않은 파괴력과 위험성을 가진 것들도 많은데, 키보드 입력 유출 프로그램(key logger) 등과 원격관리 프로그램과 각종 스파이웨어 등을 꼽을 수 있다.

가) 악성코드의 근황

2004 년 국내에서 새로 발견된 악성코드가 전년 대비 2.6배 증가했고 피해 신고 건수는 약 40% 증가했다. 특히 2003년까지 지난 16년 간 누적된 악성코드는 3,389개였는데 올해는 이보다 1000개 이상 초과한 4406개로 집계됐다.

◇ 2004년 국내 발견 신종 악성코드 통계 (12월10일 현재) 제공：안철수 연구소

구 분	웜	트로이	드롭퍼	스크립트	파일	매크로	리눅스	합계
발견수	3,327	932	84	48	6	2	2	4,406
비율(%)	75.5	21.2	1.9	1.1	0.1	0.05	0.05	100(%)

나) 신종 악성코드의 추세

(1) 취약점을 이용한 악성코드 급증과 시간 단축

(2) 악성 IRCBot 웜의 폭증

(3) 대량 이메일을 발송하는 악성코드(Mass Mailer) 급증

(4) 스팸, 피싱, 스파이웨어 증가와 검은 돈의 유착

(5) 모바일 기기, 64비트용 악성코드 첫 등장

8) 컴퓨터 바이러스 사고대응 관련기관

• ① 한국정보보호진흥원(http：//www.kisa.or.kr)
• ② 한국정보보호진흥원 해킹바이러스상담지원센터(http：//www.cyber118.or.kr)
• ③ 한국정보보호진흥 침해사고 대응팀(http：//www.certcc.or.kr)
• ④ 국정원 정보보호 119 (www.nis.go.kr)
• ⑤ 대검찰청 인터넷범죄수사센터(http：//icic.sppo.go.kr)
• ⑥ 서울지방검찰청 컴퓨터수사부(http：//icic.sppo.go.kr/c_1.htm)
• ⑦ 경찰청 사이버테러대응센터(http：//www.police.go.kr)

[생각해봅시다]

[사례 1]

서울시 공무원에 '메신저 금지령'
시 "내부정보 유출 우려"..'유해 사이트' 접속 전면차단
서울시 공무원들에게 메신저 금지령이 내려졌다.
22 일 서울시에 따르면 시는 내부 정보보호를 위해 전 직원의 근무시간내 메신저를 이용한 채팅을 비롯, '유해' 인터넷 사이트 이용을 전면 금지했다. 시는 이를 위해 전날인 21일부터 시청과 산하본부와 사업소 네트워크를 통한 채팅 · 메신저 사이트 등 '유해' 인터넷 사이트의 접속을 전면 차단했다. 시 관계자는 "내부정보보호를 위해 대용량 정보가 자유자재로 새 나갈 수 있는 메신저를 비롯, 유해사이트 접속을 차단했다."며 "업무생산성 향상과 네트워크 과부하 방지의 효과도 기대하고 있다"고 말했다.
시가 유해사이트로 분류한 것은 정보통신윤리위에서 정한 음란 · 폭력 · 도박 사이트, 업무효율을 저해한다고 시의회에서 지적받은 게임 · 영화 · 만화 사이트, 증권사이트와 증권프로그램, 내부정보 유출우려가 있는 채팅 · 메신저 사이트 등이다.
서울시 공무원노조는 이에 대해 "근무시간 중 유해사이트 차단이라는 명목으로 직원들이 업무상 유용하게 이용하는 통신도구인 메신저 이용을 금지하는 데 대해 직원들의 불만이 이어지고 있다"며 "지나친 통제가 아닌가 우려된다."고 말했다.
시관계자는 "지난 3개월간 직원들의 메신저 사용현황을 분석한 결과 대량의 첨부파일을 내보내거나, 바이러스가 가득한 파일을 받아 네트워크에 해를 끼치는 경우가 많았다."며 "메신저가 업무에 반드시 필요한 부서는 부서장의 요청을 받아 차단을 해제 해주는 한편, 보다 안전한 내부메신저 도입을 검토할 방침"이라고 말했다.
(국제신문 2004.10.22)

[사례 2]

악성 애드웨어(adware) 유포자 처음으로 구속
수시로 음란사이트 팝업창을 띄우는 식으로 성인사이트 가입을 유도한 악성 애드웨어(adware) 유포자를 경찰이 바이러스나 트로이안 등 악성 프로그램 유포행위로 간주해 처음으로 구속했다. 경찰청 사이버테러대응센터는 21일 1천300만대의 PC에 악성 애드웨어를 유포해 성인사이트 가입을 유도한 혐의(정보통신망이용촉진 및 정보보호 등에 관한 법률 위반 등)로 애드웨어 유포업체인 A사 대표 정모(33)씨 등 4명을 구속하고 직원 김모(27)씨를 불구속 입건했다. 그동안 이용자의 사전 동의를 받지 않거나 삭제방법을 알려주지 않고 애드웨어등을 유포할 경우에만 3천만원 이하의 과태료가 부과됐다.
단순히 애드웨어를 유포했다는 이유로 형사처벌을 받은 적은 이번이 처음이다.
경찰에 따르면 정씨 등은 지난해 8월부터 최근까지 52개 성인사이트 운영자와 결탁, 다음커뮤니케이션이나 NHN 등 인터넷 포털사이트의 카페 게시판에 하루 2만차례씩 악성 애드웨어가 숨겨진 글 사진 동영상 등을 올렸다. 글이나 사진 등을 보던 사람들이 악성 애드웨어 가입을 권유하는 줄도 모르고 프로그램 설치에 동의하면 악성 애드웨어를 유포하는 수법으로 박모(34.건축업)씨 등의 PC 1천300만대를 감염시킨 혐의가 적용됐다.
(부산일보 2004.04.22)