6-2. 악성 코드 : 바이러스

목표

1. 바이러스에 대해서 이해함

2. 바이러스의 세대별 특징을 이해함

3. 차세대 바이러스를 이해함

 

바이러스

: 악성 코드 중 가장 기본적인 형태

 

- 최초의 악성 코드가 만들어진 1980년대 이후에서 2000년대 초반까지, 악성 코드의 주류를 차지함

 

1세대 (원시형 바이러스)

: 컴퓨터 바이러스가 등장하기 시작할 때쯤 퍼지던 가장 원시적 형태의 바이러스. 자기 복제 기능과 데이터파기 기능만을 보유

 

부트 바이러스

: 플로피 디스크나 하드 디스크의 부트 섹터에 감염디는 바이러스. 컴퓨터가 부팅할 때 자동으로 동작함.

 

- 1단계 : POST (Power On Self Test)

  * POST는 하드웨어 자체가 시스템에 문제가 없는지 기본 사항을 스스로 체크하는 과정.

  * BIOS에 의해서 실행되는데, POST 도중 하드웨어에 문제가 발견되면 사용자에게 여러 방법으로 문제를 알림.

 

- 2단계 : CMOS(Complementary Metal-Oxide Semiconductor)

  * CMOS에서는 기본 장치에 대한 설정과 부팅 순서를 설정할 수 있음.

  * BIOS는 CMOS에서 기본 설정 사항을 읽어서 시스템에 적용함

 

- 3단계 : 마스터 부트 레코드(MBR)

  * CMOS 정보를 읽어 부팅 매체를 확인한 뒤에는 부팅 매체의 MBR(Master Boot Record) 정보를 읽음.

  * MBR은 운영체제가 어디에 어떻게 위치해있는지를 식별하여 컴퓨터의 주 기억장치에 적재될 수 있도록 하기 위한 것으로, 하드 디스크나 디스켓의 첫 번째 섹터에 저장되어 있음.

 

  * MBR은 메모리에 적재될 운영체제가 저장된 파티션의 부트 섹터 레코드를 읽을 수 있는 프로그램을, 부트 섹터 레코드는 운영체제의 나머지 부분을 메모리에 적재시키는 프로그램을 담고 있음.

 

  * 부트 바이러스는 이 단계에서 동작함.

  * 바이러스에 감염된 플로피 디스크로 운영체제를 구동시키면 바이러스가 MBR과 함께 PC 메모리에 저장되고, 부팅 후에 사용되는 모든 프로그램에 자신을 감염시킴.

 

  * 브레인, 몽키, 미켈란젤로 바이러스가 있었음.

 

파일 바이러스

: 파일을 직접 감염시키는 바이러스.

 

- 하드 디스크가 PC에서 일반화되면서 부트 바이러스의 대안으로 나온 형태

- 일반적으로 COM이나 EXE와 같은 실행 파일과 오버레이 파일, 디바이스 드라이버 등에 감염됨.

- 전체 바이러스의 80% 이상을 차지함

 

- 바이러스에 감염된 실행 파일이 실행될 때 바이러스 코드를 실행함.

- 다음 이미지에서처럼 프로그램을 덮어쓰는 경우(a), 프로그램 앞부분에 실행 코드를 붙이는 경우(b), 프로그램의 뒷부분에 실행 코드를 붙이는 경우(c)가 있음.

 

- 바이러스가 프로그램의 뒷부분에 위치한 경우의 실행 루틴

 

- 예루살렘 바이러스가 최초의 파일 바이러스로 알려져있음

- 이외에도 썬데이, 스콜피온, 크로우, FCL 등이 있었고 CIH도 해당됨.

 

2세대 (암호형 바이러스)

: 백신의 진단을 우회하기 위해 자체적으로 코드를 암호화하는 방법을 사용하여 백신 프로그램이 진단하기 어렵게 바이러스를 제작하기 시작함

 

 

- 바이러스가 동작할 때 메모리에 올라오는 과정에서 암호화가 풀리기 때문에 백신 제작자들은 이를 이용하여 암호화하는 방법을 거꾸로 분석하여 감염 파일과 바이러스를 치료함

 

- 슬로우, 캐스케이드, 원더러, 버글러 등의 바이러스가 있었음.

 

3세대 (은폐형 바이러스)

- 확산되기 전에 바이러스가 활동하기 시작하면 다른 시스템으로 전파되기 힘들기 때문에 일정 기간동안 잠복기를 가지도록 바이러스를 작성함

 

- 백신 프로그램 또는 일반적인 정보 확인 등의 직관적인 방법으로는 감염 여부를 진단하지 못하게 됨.

 

- 브레인, 조시, 512, 4096 바이러스 등이 있었음

 

4세대 (다형성 바이러스)

: 백신 프로그램이 특정 식별자를 이용하여 바이러스를 진단하는 기능을 우회하기 위해 만들어짐.

 

- 코드 조합을 다양하게 할 수 있는 조합 프로그램을 암호형 바이러스에 덧붙여 감염되어, 실행될 때마다 바이러스 코드 자체를 변경시켜서 식별자로 구분하기 어렵게 함.

 

 

- 백신 프로그램의 진단 기능이 발전하면서 다형성 바이러스는 지능화된 형태. 

 

- 정보를 탈취할 수도 있고 좀피 PC로 만들 수도 있을 것이고, 금융 보안을 뚫을 수도 있을 것 

 

5세대 (매크로 바이러스)

: 엑셀 또는 워드와 같은 무서 파일의 매크로 기능을 이용하기 때문에, 워드나 엑셀 파일을 열 때 감염됨

 

- 기존의 실행 파일 감염과는 다름

- 워드 컨셉트, 와쭈, 엑셀-라룩스, 멜리사 바이러스 등이 있음

 

증상

- 문서가 정상적으로 열리지 않거나 암호가 설정되어 있음

- 문서 내용에 깨진 글자나 이상한 문구가 포함되어 있음

- 도구 메뉴 중 매크로 메뉴가 실행할 수 없도록 잠겨 있음

- 엑셀이나 워드 작업 중 Visual Basic 편집기의 디버그 모드가 실행됨

 

차세대 바이러스

: 단순히 데이터를 파괴하고 다른 파일을 감염시키는 형태에서 벗어나서 사용자 정보를 빼내가거나 시스템을 장악하기 위한 백도어 기능을 가진 웜의 형태로 진화하고 있음

 

- 매크로 바이러스에서 나타난 스크립트 형태의 바이러스가 더욱 활성화됨.

- 네트워크과 메일을 이용하여 전파되는 방식이 대부분

 

- 바이러스가 지능화되면서 보안 전문가들을 어렵게 함. 새로운 보안 기법이 나오고 있지만 쉽지 않음

- 다양한 보안 솔루션 장비들을 구축해놓는 것으로 기본적인 보안은 막을 수 있으나 새로운 것은 막기 어려울 수 있음.

 

- 기간망에 큰 문제를 일으킬 수도 있음.

- 그래서 주요 기관에서는 인터넷 망과 기관의 망을 분리하자는 이야기도 나오고 있음

- 네트워크 접속이 불가능하니, 직접 사용자의 정보를 획득하여 개인 컴퓨터를 망가뜨리거나 USB에 악성코드를 심어 시스템을 파괴하거나 정보를 빼가는 등의 공격도 존재하기 때문에 망 분리가 절대적인 답은 아님.

 

- 해커들은 악의적인 방법을 최대한 동원하기 때문에 그에 맞는 대책을 세워야 함.

 

- 중앙에서 관리하는 클라우드 개념의 경우 사용면에서는 편의성이 있고 좋지만, 중요한 정보들이 한 곳에서 유출될 수 있다는 점?

 

- 보안 산업 육성 필요. 정책 필요.

 

- 지능형 자동차. 자동 운전기능

- 소프트웨어 기반으로 개발. 네트워크를 통해 서비스 제공

- 바이러스는 사람에게 직접적인 피해를 주는 것은 아니었으나, 향후에는 사람에게 직접적인 피해를 줄 수도 있음