Security/Network

악성코드

westcold 2024. 8. 27. 12:32

악성코드

  • 악성코드(Malware)란 시스템이나 네트워크에 해를 끼치거나 불법적인 접근을 시도하는 소프트웨어를 의미한다.
  • 시스템의 성능을 저하시킬 수 있고, 데이터 손상, 정보 유출, 불법적 접근 등 다양한 피해를 초래할 수 있다.

출처:https://image.zdnet.co.kr/2016/10/04/imc_FeKfHanyjDOjKGpH.jpg

 

정탐과 오탐, 미탐의 의미

  • 정탐 (True Positive)
    정탐은 탐지 시스템이 올바르게 악성 행위를 탐지한 경우를 말한다. 예를 들어, 실제로 악성코드가 존재하는 파일을 악성으로 정확히 탐지한 경우이다.
  • 오탐 (False Positive)
    오탐은 탐지 시스템이 잘못된 탐지를 수행한 경우를 의미한다. 즉, 실제로 악성코드가 없는 정상 파일을 악성코드로 잘못 탐지한 경우이다. 오탐은 사용자에게 불필요한 경고를 발생시키거나 시스템의 신뢰성을 저하시킬 수 있다.
  • 미탐 (False Negative)
    미탐은 탐지 시스템이 악성 행위를 놓치는 경우를 의미한다. 즉, 실제로 악성코드가 존재하는데도 이를 탐지하지 못한 경우이다. 미탐은 심각한 보안 위험을 초래할 수 있다.
  악성코드 있음 악성코드 없음
탐지 시스템: 악성 정탐 (True Positive) 오탐 (False Positive)
탐지 시스템: 정상 미탐 (False Negative) 정탐 (True Negative)
  • 정탐 (True Positive): 악성코드를 정확히 탐지한 경우 (실제 악성코드 있음).
  • 오탐 (False Positive): 정상 파일을 악성코드로 잘못 탐지한 경우 (실제 악성코드 없음).
  • 미탐 (False Negative): 악성코드를 탐지하지 못한 경우 (실제 악성코드 있음).
  • 정탐 (True Negative): 정상 파일을 정확히 정상으로 판단한 경우 (실제 악성코드 없음).

 

악성코드 유형 및 사례

1. 바이러스 (Virus)

  • 특징: 바이러스는 자신을 다른 프로그램이나 파일에 삽입하여 복제하는 악성코드이다. 사용자가 감염된 파일이나 프로그램을 실행하면 바이러스가 활성화되어 시스템 파일을 손상시키거나 데이터를 삭제하며, 네트워크를 통해 다른 시스템으로 전파될 수 있다. 일반적으로 바이러스는 다른 파일에 붙어 돌아다니며, 감염된 파일을 통해 퍼진다.
  • 대표적인 사례:
    • ILOVEYOU 바이러스 (2000년):
      • 설명: "ILOVEYOU"는 이메일을 통해 전파된 바이러스로, 제목이 "I LOVE YOU"인 이메일에 첨부된 스크립트 파일을 열면 자동으로 실행된다. 이 바이러스는 감염된 시스템의 파일을 덮어쓰고, 사용자 데이터를 삭제하거나 이메일 주소록의 모든 연락처에 자신을 전송하여 급속히 확산되었다.
      • 피해: 전 세계적으로 약 5000만 대의 컴퓨터가 감염되었으며, 기업과 정부 기관들이 큰 피해를 입었다. 이메일 시스템의 대규모 마비와 중요한 파일의 손실이 발생하였다.
출처:https://www.itworld.co.kr/files/itworld/2020/02/remove_virus_windows_1600_thumb800.jpg

2. 웜 (Worm)

  • 특징: 웜은 자가 복제 능력을 가진 악성코드로, 네트워크를 통해 독립적으로 전파된다. 웜은 시스템 파일에 직접적으로 영향을 미치지 않더라도, 네트워크 자원을 소모하거나 네트워크 트래픽을 과부하 시켜 시스템의 성능을 저하시킨다.
  • 대표적인 사례:
    • Blaster 웜 (2003년):
      • 설명: "Blaster"는 Windows 시스템의 RPC(Remote Procedure Call) 취약점을 이용하여 전파된 웜이다. 감염된 시스템은 자동으로 재부팅되며, 추가적으로 DDoS(Distributed Denial of Service) 공격을 수행하여 Microsoft의 웹사이트를 공격하기도 했다.
      • 피해: 전 세계적으로 수많은 컴퓨터가 감염되었으며, 네트워크 트래픽의 과부하와 시스템 불안정을 초래했다. 많은 기업과 개인 사용자가 시스템을 복구하기 위해 상당한 시간과 비용을 소모하였다. 
출처:https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&fname=https%3A%2F%2Ft1.daumcdn.net%2Fcfile%2Ftistory%2F2361AB4858F2E72628

3. 트로이 목마 (Trojan Horse)

  • 특징: 트로이 목마는 유용한 소프트웨어처럼 위장하여 사용자가 설치하도록 유도되지만, 실제로는 백그라운드에서 악성 활동을 수행한다. 스파이웨어, 백도어, 원격 제어 기능 등을 포함할 수 있으며, 사용자의 개인정보를 탈취하거나 시스템에 백도어를 열어두는 등의 악성 행동을 한다.
  • 대표적인 사례:
    • Zeus 트로이 목마 (2007년):
      • 설명: "Zeus"는 주로 금융 정보를 탈취하기 위해 설계된 트로이 목마이다. 키로깅(keylogging)과 브라우저 폼 그리핑(form-grabbing) 기능을 통해 사용자들의 온라인 뱅킹 계정 정보를 수집하고 탈취하였다.
      • 피해: 전 세계적으로 수백만 대의 컴퓨터가 감염되었으며, 많은 사용자들의 금융 정보가 유출되었다. 은행 계좌와 크레딧 카드 정보의 도난으로 금전적 손실이 발생했다.
출처:https://www.eset.com/fileadmin/ESET/INT/Pages/Features_pages/trojan-horse.png

 

4. 랜섬웨어 (Ransomware)

  • 특징: 랜섬웨어는 시스템의 파일을 암호화하여 사용자가 파일에 접근할 수 없게 만든 후, 이를 복구하기 위해 금전을 요구하는 악성코드이다. 암호화된 파일을 복구하기 위해 요구되는 금액은 비트코인 등 암호화폐로 지불하게 되며, 지불 후에도 데이터가 복구되지 않을 수 있다.
  • 대표적인 사례:
    • WannaCry (2017년):
      • 설명: "WannaCry"는 Windows의 SMB 취약점을 이용하여 빠르게 확산된 랜섬웨어이다. 감염된 시스템의 파일을 암호화하고, 이를 복구하기 위해 비트코인으로 몸값을 요구하였다.
      • 피해: 전 세계적으로 약 150개국 이상에서 20만 대 이상의 컴퓨터가 감염되었으며, 많은 병원, 기업, 기관들이 피해를 입었다. 중요한 데이터와 파일에 대한 접근이 차단되었고, 시스템 복구를 위한 몸값 요구로 인해 큰 혼란이 발생했다.
    • Petya (2016년):
      • 설명: "Petya"는 시스템의 마스터 부트 레코드(MBR)를 덮어쓰는 랜섬웨어로, 시스템 부팅을 방지하며, 사용자는 암호화된 파일을 복구하기 위해 금전을 지불해야 한다.
      • 피해: 감염된 컴퓨터는 부팅이 불가능해지며, 데이터의 암호화로 인해 시스템 운영에 심각한 지장이 생겼다. 피해를 복구하기 위한 비용과 시간 소모가 컸으며, 특히 유럽과 우크라이나에서 큰 피해를 입었다.
출처:https://seed.kisa.or.kr/resources/kisa/img/icon/icon_Lansomware_icon.png

5. 스파이웨어 (Spyware)

  • 특징: 스파이웨어는 사용자 모르게 시스템에 설치되어 사용자의 활동을 모니터링하고 민감한 정보를 수집하는 악성코드이다. 사용자의 동의 없이 설치되며, 시스템에 대한 통제권을 갖고 있는 경우가 많다.
  • 대표적인 사례:
    • CoolWebSearch (2003년):
      • 설명: "CoolWebSearch"는 사용자의 브라우저 설정을 변경하고, 특정 웹사이트로 리디렉션하며, 검색 엔진 결과를 변조하는 스파이웨어이다. 이를 통해 광고 수익을 얻고 사용자 정보를 수집하였다.
      • 피해: 사용자의 브라우징 경험을 방해하고, 의도치 않은 광고와 웹사이트로의 리디렉션으로 인해 시스템 성능이 저하되었으며, 개인정보 수집과 사용자의 온라인 행동 감시에 피해를 입었다.
출처:https://nordvpn.com/wp-content/uploads/blog-featured-line-stalker-cybersecurity.svg

6. 애드웨어 (Adware)

  • 특징: 애드웨어는 주로 사용자에게 불필요한 광고를 지속적으로 표시하는 소프트웨어이다. 사용자의 동의 없이 광고를 표시하거나, 브라우저 설정을 변경하여 특정 사이트로 리디렉션한다. 사용자의 동의 하에 설치되기도 하지만, 광고를 강제로 표시하는 경우가 많다.
  • 대표적인 사례:
    • Gator (2000년대 초):
      • 설명: "Gator"는 웹 브라우저에 광고 배너를 삽입하고, 사용자의 브라우징 습관을 추적하여 맞춤형 광고를 제공하는 애드웨어이다. 사용자는 웹 페이지에서 많은 광고 팝업을 경험하게 된다.
      • 피해: 웹 브라우징 경험을 방해하고, 시스템 성능을 저하시켰으며, 사용자의 개인정보와 브라우징 데이터를 수집하여 광고주에게 제공하였다.
    • Fireball (2017년):
      • 설명: "Fireball"은 브라우저 하이재커로, 사용자의 검색 엔진과 홈 페이지를 변경하여 광고를 표시하고, 사용자의 데이터를 수집하는 애드웨어이다.
      • 피해: 사용자의 브라우저 설정을 무단으로 변경하고, 광고 수익을 창출하기 위해 사용자의 행동 데이터를 수집하였다. 이는 브라우징 경험을 방해하고, 개인 정보 유출의 위험을 증가시켰다.
출처:https://miro.medium.com/v2/resize:fit:828/format:webp/1*7c2sJt2GZiXR177hg2Do4g.png

 

 

악성코드 유형 특징 대표적인 사례
바이러스 (Virus) 파일이나 부팅 섹터를 감염시키며, 자기 복제하여 확산하는 악성코드이다. ILOVEYOU
웜 (Worm) 네트워크를 통해 스스로 복제하고 전파되는 악성코드이다. Blaster Worm
트로이 목마 (Trojan Horse) 유용한 소프트웨어로 위장해 설치되지만, 백그라운드에서 악성 활동을 수행하는 악성코드이다. Zeus
랜섬웨어 (Ransomware) 시스템의 파일을 암호화한 후, 금전을 요구하는 악성코드이다. WannaCry
스파이웨어 (Spyware) 사용자의 활동을 모니터링하고 정보를 수집하는 악성코드이다. CoolWebSearch
애드웨어 (Adware) 불필요한 광고를 지속적으로 표시하는 소프트웨어이다. Gator, Fireball

 

*PPT

[9주차]악성코드.pptx
3.34MB