1974년 미 공군 취약점 분석 리포트에서 처음 개념 제시... ‘스파이셰리프’, ‘분도’ 등
최근엔 암호화폐 탈취에 활용되기도... SW 출처 확인 등으로 대부분 예방 가능
[보안뉴스 양원모 기자] 약 3200년 전, 그리스는 전쟁의 혼돈에 휩싸여 있었다. 그리스 아가멤논 왕이 연합군을 조직해 아나톨리아(소아시아) 반도의 트로이를 공격한 것이다. 아가멤논의 친동생 메넬라오스가 트로이 왕자 파리스에게 아내를 빼앗긴 게 빌미가 됐다.
[이미지=iclickart]
트로이는 그리스에 비해 작은 도시국가였다. 수세에 몰린 프리아모스 왕과 헥토르 왕자는 일당백으로 맞섰다. 연합군의 칼에 살이 찢기고, 아물며 10년을 버텼다. 트로이는 여전히 난공불락이었다. 그때 연합군 오디세우스 왕이 긴 싸움에 종지부를 찍을 묘수를 내놨다. 요즘으로 치면 특수부대원 30명을 목마에 숨겨 트로이에 잠입시키자는 것. 아이디어는 대성공이었다. 침투에 성공한 병사들은 몰래 목마를 빠져나와 10년간 굳게 닫혀있던 트로이성의 빗장을 걷어냈다. 그 유명한 ‘트로이목마’ 작전이다.
악성 프로그램인 트로이목마는 사용자 컴퓨터에 침입해 △시스템 충돌 △포맷 △데이터 오염 등 여러 기능을 수행한다. 멀쩡한 프로그램으로 위장해 시스템 취약점을 노린다는 점에서 이런 이름이 붙었다. ‘양의 탈을 쓴 늑대’ 같은 모습이 마치 트로이목마 작전을 연상시킨다는 것이다.
지워도, 지워도... 끈질기게 살아남는
트로이목마는 1974년 미 공군의 취약점 분석 리포터에서 처음 개념이 제시됐다. 최초로 구현된 것은 이듬해 1월 프로그래머 존 워커에 의해서다. 세계 최초의 시판용 컴퓨터인 유니박(UNIVAC)용 게임 ‘애니멀(Animal)’이다. 게임은 스무고개를 통해 사용자가 머릿 속에 떠올린 동물을 맞히는 게 목적이었지만, 실제론 자기복제 기능을 수행했다. 하지만 공격 기능이 없어 트로이목마의 개념적 형태가 실현된 것에 가까웠다.
현대적 모습의 트로이목마가 등장한 건 1980년대부터다. 최초의 랜섬웨어로도 알려진 에이즈(AIDS) 바이러스, 스파이셰리프, 분도(Vundo) 등이다. △스파이다운 △스파이웨어 봇 △페스트 트랩 등 여러 별명을 지닌 스파이셰리프는 백신 프로그램을 가장해 허위 경고 메시지를 띄운 뒤 결제를 유도하는 ‘팝업 낚시’의 원조 격으로 평가된다. 지우고, 지워도 시스템 어딘가 숨겨진 감염 파일을 통해 다시 설치되는 끈질긴 생명력을 자랑해 사용자들의 골치를 아프게 만들었다.
‘시스템에 중요한 파일이 누락됐다’는 팝업 메시지와 함께 윈도우 메모리를 광범위하게 잡아먹는 분도도 대표적인 트로이목마 중 하나다. 제거를 어렵게 만들기 위해 PC의 보안 수준을 낮추거나, 특정 프로그램에 대한 비활성화를 시도하는 게 특징이다. 일부 변종 바이러스는 백신 프로그램을 무력화하기도 한다. 스파이셰리프와 마찬가지로 △비르투 문도 △MS 후앙 등 별명이 많은 분도는 스팸 메일이나 웹 브라우저 취약성을 악용한 드라이브 바이 다운로드로 사용자 PC에 침투한다.
트로이목마는 진화하고 있다. 최근 몇 년 새 사이버 보안 업계의 주적으로 떠오른 지능형 지속공격(APT)과 결합해 다시 확산 중이다. 2009년 7·7 디도스(DDoS·분산 서비스 공격) 대란, 2011년 3·3 DDoS 사태 때 전국의 수많은 PC를 ‘좀비PC’로 만들어버린 존재도 다름 아닌 트로이목마다. 지난 4월엔 북한 해커들이 트로이목마를 사이버 공격에 활용하고 있다는 소식이 미국 국토안보부와 연방수사국(FBI)를 통해 전해지기도 했다.
[이미지=iclickart]
최근엔 암호화폐 탈취 수단 활용도
트로이목마는 침투 및 공격 형태에 따라 △드롭퍼 △다운로더 △클리커 △프록시 △패스워드 스틸러 △스파이 △익스플로잇 등으로 나뉜다.
드롭퍼는 악성코드 안에 포함된 추가적인 악성코드를 설치하는 것이다. 다운로더는 인터넷이나 네트워크를 통해 악성코드를 내려 받는 것이다. 클리커는 스파이셰리프처럼 사용자의 클릭을 유도하는 형태다. 앞선 팝업 낚시가 여기 해당된다. 프록시는 프록시 기능을 활용해 악의적 기능을 수행하는 형태다. 스파이는 감염 PC에서 다양한 정보를 빼돌리는 것이다. 패스워드 스틸러는 사용자 계정 및 비밀번호를 외부로 유출하는 프로그램이다.
2014년 전 세계 1,000여개 은행과 기업을 위협하며 맹위를 떨친 ‘다이어(Dyre)’ 트로이목마는 이메일 첨부파일을 내려 받으면 악성코드가 설치되는 방식이었다. 파일을 실행하면 컴퓨터 보안 프로그램을 무력화하는 프로그램이 설치된다. 이후 사용자가 은행, 쇼핑몰 사이트 등 공격 대상 사이트에 방문하면 가짜 웹사이트로 연결시켜 사용자의 로그인 정보 및 계좌 정보 등을 탈취한다.
트로이목마는 최근 암호화폐 탈취에도 활용되고 있다. 얼마 전 외신은 지난해 1월 5,800억 규모의 암호화폐를 해킹당한 일본 암호화폐 거래소 코인체크의 한 직원 컴퓨터에서 트로이목마가 발견됐다고 보도했다. 지난달엔 공짜 비트코인 생성기를 위장해 암호화폐를 훔치는 신종 트로이목마가 발견돼 주의보가 내려졌다. 거래 과정에서 원래 계좌를 해커의 계좌로 바꿔치기하는 ‘크립토셔플러’도 트로이목마의 일종이다.
감염을 막는 방법
트로이목마는 몇 가지 수칙만 잘 준수해도 대부분 예방 가능하다고 전문가들은 조언한다.
먼저 ‘모르는 사람에게 온 이메일 첨부파일 내려 받지 않기’다. 스팸 이메일은 트로이목마의 주요 공격 경로 중 하나다. 둘째는 ‘프로그램 출처 확인하기’다. 트로이목마는 자신을 멀쩡한 프로그램으로 위장해 악성 기능을 수행한다. 출처가 모호한 소프트웨어는 내려 받지 않거나, 제조사가 어딘지 반드시 확인해야 한다.
셋째는 ‘수상한 배너 클릭하지 않기’다. 트로이목마는 웹 사이트 배너 클릭만으로도 감염될 수 있다. 마지막은 ‘무료 소프트웨어 리뷰 확인하기’다. 트로이목마는 종종 공짜, 무료 등을 미끼로 프로그램 설치를 유도한다. 실제 프로그램 사용자들의 리뷰를 참고해 트로이목마가 아닌지 살펴봐야 한다.
[양원모 기자(boan@boannews.com)]
최근엔 암호화폐 탈취에 활용되기도... SW 출처 확인 등으로 대부분 예방 가능
[보안뉴스 양원모 기자] 약 3200년 전, 그리스는 전쟁의 혼돈에 휩싸여 있었다. 그리스 아가멤논 왕이 연합군을 조직해 아나톨리아(소아시아) 반도의 트로이를 공격한 것이다. 아가멤논의 친동생 메넬라오스가 트로이 왕자 파리스에게 아내를 빼앗긴 게 빌미가 됐다.
[이미지=iclickart]
트로이는 그리스에 비해 작은 도시국가였다. 수세에 몰린 프리아모스 왕과 헥토르 왕자는 일당백으로 맞섰다. 연합군의 칼에 살이 찢기고, 아물며 10년을 버텼다. 트로이는 여전히 난공불락이었다. 그때 연합군 오디세우스 왕이 긴 싸움에 종지부를 찍을 묘수를 내놨다. 요즘으로 치면 특수부대원 30명을 목마에 숨겨 트로이에 잠입시키자는 것. 아이디어는 대성공이었다. 침투에 성공한 병사들은 몰래 목마를 빠져나와 10년간 굳게 닫혀있던 트로이성의 빗장을 걷어냈다. 그 유명한 ‘트로이목마’ 작전이다.
악성 프로그램인 트로이목마는 사용자 컴퓨터에 침입해 △시스템 충돌 △포맷 △데이터 오염 등 여러 기능을 수행한다. 멀쩡한 프로그램으로 위장해 시스템 취약점을 노린다는 점에서 이런 이름이 붙었다. ‘양의 탈을 쓴 늑대’ 같은 모습이 마치 트로이목마 작전을 연상시킨다는 것이다.
지워도, 지워도... 끈질기게 살아남는
트로이목마는 1974년 미 공군의 취약점 분석 리포터에서 처음 개념이 제시됐다. 최초로 구현된 것은 이듬해 1월 프로그래머 존 워커에 의해서다. 세계 최초의 시판용 컴퓨터인 유니박(UNIVAC)용 게임 ‘애니멀(Animal)’이다. 게임은 스무고개를 통해 사용자가 머릿 속에 떠올린 동물을 맞히는 게 목적이었지만, 실제론 자기복제 기능을 수행했다. 하지만 공격 기능이 없어 트로이목마의 개념적 형태가 실현된 것에 가까웠다.
현대적 모습의 트로이목마가 등장한 건 1980년대부터다. 최초의 랜섬웨어로도 알려진 에이즈(AIDS) 바이러스, 스파이셰리프, 분도(Vundo) 등이다. △스파이다운 △스파이웨어 봇 △페스트 트랩 등 여러 별명을 지닌 스파이셰리프는 백신 프로그램을 가장해 허위 경고 메시지를 띄운 뒤 결제를 유도하는 ‘팝업 낚시’의 원조 격으로 평가된다. 지우고, 지워도 시스템 어딘가 숨겨진 감염 파일을 통해 다시 설치되는 끈질긴 생명력을 자랑해 사용자들의 골치를 아프게 만들었다.
‘시스템에 중요한 파일이 누락됐다’는 팝업 메시지와 함께 윈도우 메모리를 광범위하게 잡아먹는 분도도 대표적인 트로이목마 중 하나다. 제거를 어렵게 만들기 위해 PC의 보안 수준을 낮추거나, 특정 프로그램에 대한 비활성화를 시도하는 게 특징이다. 일부 변종 바이러스는 백신 프로그램을 무력화하기도 한다. 스파이셰리프와 마찬가지로 △비르투 문도 △MS 후앙 등 별명이 많은 분도는 스팸 메일이나 웹 브라우저 취약성을 악용한 드라이브 바이 다운로드로 사용자 PC에 침투한다.
트로이목마는 진화하고 있다. 최근 몇 년 새 사이버 보안 업계의 주적으로 떠오른 지능형 지속공격(APT)과 결합해 다시 확산 중이다. 2009년 7·7 디도스(DDoS·분산 서비스 공격) 대란, 2011년 3·3 DDoS 사태 때 전국의 수많은 PC를 ‘좀비PC’로 만들어버린 존재도 다름 아닌 트로이목마다. 지난 4월엔 북한 해커들이 트로이목마를 사이버 공격에 활용하고 있다는 소식이 미국 국토안보부와 연방수사국(FBI)를 통해 전해지기도 했다.
[이미지=iclickart]
최근엔 암호화폐 탈취 수단 활용도
트로이목마는 침투 및 공격 형태에 따라 △드롭퍼 △다운로더 △클리커 △프록시 △패스워드 스틸러 △스파이 △익스플로잇 등으로 나뉜다.
드롭퍼는 악성코드 안에 포함된 추가적인 악성코드를 설치하는 것이다. 다운로더는 인터넷이나 네트워크를 통해 악성코드를 내려 받는 것이다. 클리커는 스파이셰리프처럼 사용자의 클릭을 유도하는 형태다. 앞선 팝업 낚시가 여기 해당된다. 프록시는 프록시 기능을 활용해 악의적 기능을 수행하는 형태다. 스파이는 감염 PC에서 다양한 정보를 빼돌리는 것이다. 패스워드 스틸러는 사용자 계정 및 비밀번호를 외부로 유출하는 프로그램이다.
2014년 전 세계 1,000여개 은행과 기업을 위협하며 맹위를 떨친 ‘다이어(Dyre)’ 트로이목마는 이메일 첨부파일을 내려 받으면 악성코드가 설치되는 방식이었다. 파일을 실행하면 컴퓨터 보안 프로그램을 무력화하는 프로그램이 설치된다. 이후 사용자가 은행, 쇼핑몰 사이트 등 공격 대상 사이트에 방문하면 가짜 웹사이트로 연결시켜 사용자의 로그인 정보 및 계좌 정보 등을 탈취한다.
트로이목마는 최근 암호화폐 탈취에도 활용되고 있다. 얼마 전 외신은 지난해 1월 5,800억 규모의 암호화폐를 해킹당한 일본 암호화폐 거래소 코인체크의 한 직원 컴퓨터에서 트로이목마가 발견됐다고 보도했다. 지난달엔 공짜 비트코인 생성기를 위장해 암호화폐를 훔치는 신종 트로이목마가 발견돼 주의보가 내려졌다. 거래 과정에서 원래 계좌를 해커의 계좌로 바꿔치기하는 ‘크립토셔플러’도 트로이목마의 일종이다.
감염을 막는 방법
트로이목마는 몇 가지 수칙만 잘 준수해도 대부분 예방 가능하다고 전문가들은 조언한다.
먼저 ‘모르는 사람에게 온 이메일 첨부파일 내려 받지 않기’다. 스팸 이메일은 트로이목마의 주요 공격 경로 중 하나다. 둘째는 ‘프로그램 출처 확인하기’다. 트로이목마는 자신을 멀쩡한 프로그램으로 위장해 악성 기능을 수행한다. 출처가 모호한 소프트웨어는 내려 받지 않거나, 제조사가 어딘지 반드시 확인해야 한다.
셋째는 ‘수상한 배너 클릭하지 않기’다. 트로이목마는 웹 사이트 배너 클릭만으로도 감염될 수 있다. 마지막은 ‘무료 소프트웨어 리뷰 확인하기’다. 트로이목마는 종종 공짜, 무료 등을 미끼로 프로그램 설치를 유도한다. 실제 프로그램 사용자들의 리뷰를 참고해 트로이목마가 아닌지 살펴봐야 한다.
[양원모 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
