제3세대 컴퓨터 바이러스 신출귀몰
  • 안은주 기자 (anjoo@e-sisa.co.kr)
  • 승인 2001.04.12 00:00
이 기사를 공유합니다

복제·위장술 탁월, 색출 어려워…웜과 결합하면 큰 피해


지난 2월 말, 시만텍 바이러스 방지연구소(SARC)에 컴퓨터 바이러스에 감염된 듯한 파일이 접수되었다. 하지만 아무리 분석해도 바이러스에 감염되지 않은 '멀쩡한' 파일로 보였다. 연구원이 3주 동안 씨름한 끝에 간신히 바이러스의 실체를 파악할수 있었다. 이 바이러스가 바로 제트미스트(Zmist). 안티 바이러스 역사상 바이러스를 찾아내는 데 3주나 걸린 경우는 거의 없다. 대개 하루 안에 백신까지 개발해 낸다.


컴퓨터 바이러스가 진화를 거듭하고 있다. 스스로를 복제하고 돌연변이를 일으키면서 점점 더 '똑똑'해진다. 1세대 컴퓨터 바이러스는 파일이나 프로그램의 앞 또는 뒤에 붙기 때문에 쉽게 찾아냈다. 파일 용량이 불어나 컴퓨터 바이러스 감염 여부를 쉽게 판단할 수 있었던 것이다. CIH를 비롯한 2세대 컴퓨터 바이러스는 파일이나 프로그램 틈새에 숨는 쪽으로 진화했다. 그러나 대부분 바이러스부터 실행하기 때문에 일찍 발견할 수 있다.


제트미스트와 같은 3세대 바이러스가 문제다. 최근에 등장한 제트미스트는 바이러스가 스스로 복제해 '분신'을 만드는 것은 물론 숙주인 컴퓨터 프로그램도 조각조각 나눈다. 그런 다음 조각 난 프로그램 코드 속으로 들어간다. 프로그램과 바이러스를 하나로 맞추어 마치 바이러스가 삽입됨으로써 완성된 프로그램이 된 것처럼 '위장'하는 것이다. 이 바이러스는 언제 실행될지 알 수가 없다(오른쪽 그림 참조).


제트미스트는 2세대 컴퓨터 바이러스에서 곧바로 '점프'하지 않았다. 현재 유행하는 상당수의 바이러스, 즉 2.5세대 바이러스에서 진화한 것이다. 2.5세대 바이러스의 가장 큰 특징은 스스로 돌연변이를 일으키는 다형성(바이러스 기본 유형은 같지만 파일 이름과 성격이 끊임없이 바뀌는 성질)과 바이러스 실행 지점이 명확하지 않다는 점이다.


2000년 컴퓨터 바이러스 피해액 21조원




올 초, 스스로 기능을 업그레이드해 모니터 중앙에 회오리 모양의 그림을 그리고 응용 프로그램을 방해했던 '하이브리드 바이러스'는 감염될 때마다 파일명이 바뀐다. 감염될 때마다 돌연변이를 일으키는 것이다. '엠티엑스' '매지스트르' 등은 한 컴퓨터 안에서조차 바이러스 실행 지점이 수시로 바뀐다. 즉 어느 때에는 앞부분에서 바이러스가 나타났다가 또 다른 때에는 프로그램 실행이 끝날 무렵에 나타나 프로그램을 샅샅이 뒤지지 않는 한 바이러스를 찾아내기 쉽지 않다.


이처럼 점점 교묘하게 숨는 컴퓨터 바이러스가 웜과 결합하면 더 큰 피해를 일으킨다. 웜은 특정 파일이나 프로그램을 감염시키는 것이 아니라 시스템 자체를 감염시키는 형태를 말한다. 파일이나 프로그램을 감염시키는 바이러스 성격과 시스템을 파괴하는 웜의 성격이 결합해 컴퓨터를 산산조각 낼 위력을 갖게 되는 것이다. '러브레터' '매지스트르' 등이 대표적인 예이다.


컴퓨터를 괴롭히는 또 하나의 괴물은 '트로이 목마'다. 트로이목마란 해킹 또는 특정한 목적을 위해 만들어진 툴이다. '백오리피스' '에코키스'와 같은 트로이목마는 컴퓨터 정보를 유출하는 것은 물론 바이러스나 웜처럼 시스템을 공격하고, 불법으로 자료를 수집하기도 한다.


컴퓨터 바이러스·웜·트로이목마 '컴퓨터 3적'에 결정적인 날개를 달아준 것은 전자 우편이다. 매크로 바이러스인 '멜리사'에 감염되면 작업 중인 워드 문서를 자동으로 첨부해 MS아웃룩에 등록된 전자 우편 주소로 배달된다. 사용자의 의도와 상관없이 작업 중이던 워드 문서가 바이러스와 함께 전송된다. 트로이목마 중 에코키스는 인터넷을 통해 컴퓨터 사용자가 키보드로 입력하는 모든 정보를 지정한 곳으로 전송하는 기능을 가지고 있다. 실제로 PC뱅킹 사용자가 키보드로 입력한 아이디와 비밀 번호를 에코키스를 이용하여 알아내 도용하려다 구속된 사례도 있다.


특히 최근 발견된 매지스트르는 전자 우편뿐 아니라 근거리 통신망·디스켓 등 다양한 경로로 확산될 수 있다. 컴퓨터 운용 체제는 물론 부팅에 필요한 파일을 해체하고 PC에 저장된 데이터를 모두 지워 버린다. 안철수연구소 황규범 팀장은 "매지스트르는 확산 경로가 다양하지만 쉽게 감염되지 않는 특성을 갖고 있다. 그러나 파괴력이 강하기 때문에 주의해야 한다"라고 말했다.


안철수연구소에 따르면, 2000년 한 해에 새로 발견된 바이러스는 5백72개로, 1999년 3백79개에 비해 51%나 급증했다. 또 미국 조사기관인 컴퓨터 이코노믹스 조사에 따르면, 지난해 컴퓨터 바이러스로 인해 전세계가 본 피해는 1백71억 달러(약 21조원)에 달한다.

이 기사에 댓글쓰기펼치기