악성코드의 분류[정보보안]

 

악성코드

악성 코드는 컴퓨터 시스템을 손상하거나 사용 불능 상태로 만들도록 설계된 악성 소프트웨어 유형으로, 바이러스, 웜, 트로이 목마, 애드웨어, 스파이웨어, 랜섬웨어 등 다양한 형태가 존재한다

 

 

 

 

 

 

 

동작에 의한 분류

 

 

바이러스

• 사용자 컴퓨터 내에서 사용자 몰래 프로그램이나 실행 가능한 부분을 변형하여 자신 또는 자신의 변형을 복사하는 프로그램이다.

• 가장 큰 특성은 복제와 감염이, 다른 네트워크의 컴퓨터로 스스로 전파되지는 않는다.

 

 

 

웜

•인터넷 또는 네트워크를 통해서 컴퓨터에서 컴퓨터로 전파되는 악성 프로그램이다.

• 윈도우의 취약점 또는 응용 프로그램의 취약점을 이용하거나 이메일이나 공유 폴더를 통해 전파되며, 최근에는 공유 프로그램(P2P)을 이용하여 전파되기도 한다.

•바이러스와 달리 스스로 전파되는 특성이 있다.

 

 

 

트로이 목마

• 바이러스나 웜처럼 컴퓨터에 직접적인 피해를 주지는 않지만, 악의적인 공격자가 컴퓨터에 침투하여 사용자의 컴퓨터를 조종할 수 있는 프로그램이다.

• 고의적으로 만들어졌다는 점에서 프로그래머의 실수인 버그와는 다르다.

• 자기 자신을 다른 파일에 복사하지 않는다는 점에서 컴퓨터 바이러스와 구별된다.

 

 

 

인터넷 악성코드

• 인가되지 않은 성인 사이트나 크랙 사이트 등에 접속할 때 감염된다.

• 예전에는 인터넷 악성코드로 끝나는 경우가 많았으나 최근에는 웜의 형태로 전이되고 있다.

 

 

 

스파이웨어

• 자신이 설치된 시스템의 정보를 원격지의 특정한 서버에 주기적으로 보내는 프로그램이다.

• 사용자가 주로 방문하는 사이트, 검색어 등 취향을 파악하기 위한 것도 있지만 패스워드 등과 같은특정 정보를 원격지에 보내는 스파이웨어도 존재한다.

 

 

 

목적에 의한 분류

 

악성 코드	설명
다운로더(downloader)	- 네트워크를 통해 어떤 데이터나 프로그램 등을 내려받는 것이 목적으로, 내려받은 데이터나 프로그램이 추가 공격을 위한 악성 코드이거나 악성 코드 작성자의 명령 집합인 경우. - 무언가를 내려받는 것 자체는 흔한 동작이라 백신 모니터링 시 간과하기 쉽다.
드로퍼(dropper)	- 외부에서 파일을 내려받는 다운로더와 달리 드로퍼는 자신 안에 존재하는 데이터로부터 새로운 파일을 생성하여 공격을 수행하는 것이 목적이다. - 드로퍼가 생성하는 파일은 압축되어 있어 실행해보지 않고서는 확인하기 어렵다.
런처(launcher)	- 다운로더나 드로퍼 등으로 생성된 파일을 실행하기 위해 관련 기능을 포함하고 있다.
애드웨어(adware)	- 광고가 포함된 소프트웨어로, 자체에 광고를 포함하거나 같이 묶어서 배포한다. - 압축 또는 동영상 재생 프로그램과 같은 프리웨어 설치 시에 동의 항목에 포함되어 설치 및 실행되는 경우가 많다. - 사용자의 인식 없이 설치된 애드웨어는 인터넷 시작 페이지 변경하기, 광고와 관련된 알림 창 띄우기, 바탕화면에 광고 페이지의 바로가기 지속 생성하기 등을 목적으로 한다.
스파이웨어(spyware)	- 개인이나 기업의 정보를 몰래 수집하여 동의 없이 다른 곳에 보내는 것이 목적이다. - 자신의 존재를 숨긴 채 사용자의 컴퓨터 조작 방해하기, 사용자의 컴퓨터 지켜보기, 사용자의 정보(인터넷 검색 흔적, 사용자 로그인 정보, 은행이나 신용 계좌 정보 등) 수집하기 등을 한다. - 스파이웨어는 패스워드 스틸러, 키로거 등으로 세분화될 수 있다.
랜섬웨어(ransomware)	- 인질의 몸값을 나타내는 'ransom'과 'software'의 합성어로, 최근 급격히 퍼지고 있는 악성 코드. - 사용자에 의해 랜섬웨어가 실행되면 파일 암호화가 진행되어 사용자가 실행하거나 읽을 수 없게 한다. 자료를 인질로 잡고 돈을 요구한다. - 한 번 암호화된 파일은 복구가 거의 불가능하므로 백업과 같은 사전 대비가 가장 중요하다.
백도어(backdoor)	- 원래 시스템의 유지보수나 유사시 문제 해결을 위해 시스템 관리자가 보안 설정을 우회한 다음 시스템에 접근할 수 있도록 만든 도구인 백도어를 악의적인 목적을 지닌 공격자가 시스템에 쉽게 재침입하는데 이용하는 경우를 의미한다. - 백도어의 기능은 비인가된 접근을 허용하는 것으로, 공격자가 사용자 인증 등의 절차를 거치지 않고 프로그램이나 시스템에 접근할 수 있도록 지원한다. 시스템에 칩입한 공격자는 재접속을 위해 백도어를 설치학도 하지만 프로그래머가 관리 목적으로 만들었다가 제거하지 않은 백도어를 찾아 악용하기도 한다.
익스플로잇(exploit)	- 운영체제나 특정 프로그램의 취약점을 이용하여 공격하는 악성 코드. - 기존의 익스플로잇 코드는 공격자가 직접 공격을 수행했으나 최근에는 악성 코드로 제작 및 배포하여 자동으로 공격 확산을 수행하는 경우가 많다.
봇(bot)	- DDoS 공격 시 지정된 공격을 수행하도록 하는 악성 코드다. - 수많은 봇이 모여 대규모 DDoS 공격을 수행하는 봇넷을 구성한다.
스캐어웨어(scareware)	- 'scare(겁주다)'와 'software'의 합성어로, 사용자를 놀라게 하거나 겁을 주어 원하는 목적을 달성한다. - 악성 코드에 감염되지 않았는데도 악성 코드를 탐지했다고 겁을 주어 자사의 안티바이러스 제품으로 제거해야 한다는 식으로 구매를 유도한다.

 

 

 

 

 

 

 

 

사진: Unsplash의AltumCode