악성코드

정탐

• True Negative : 정상 패킷을 정상 접근이라고 탐지하여 그냥 통과시킨 것
• True Positive : 악성 코드를 공격 행위라고 탐지한 것으로, 문제가 있는 패킷을 제대로 잡아낸 것
  

오탐

• False Positive : 정상 패킷인데 악성코드로 잘못 탐지
• 대응 행동을 했지만 잘못한 것

미탐

• False Negative : 악성 코드임에도 정상 접근으로 여겨 통과시킨 것
• 대응 행동조차 하지 않은 것

 

---

악성 코드 (Malware)

: 하나의 컴퓨터, 서버 또는 컴퓨터 네트워크에 피해를 입히도록 설계된 모든 소프트웨어

---

바이러스

• 악성코드의 가장 일반적인 형태로, 대부분의 사람들이 악성코드와 혼용하여 사용
• 스스로를 복제하여 컴퓨터를 감염시키는 컴퓨터 프로그램
• 이메일 첨부파일이나 USB 속 감염파일 등을 통해 다른 PC로도 전파될 수 있음
  
  
  • 파리떼 바이러스
    
    
    • 본래는 Win32/Parite 라는 명칭이지만 Parite라는 이름을 파리떼라고 읽은 것이 보편적으로 퍼져 파리떼 바이러스로 불리게 되었습니다. 2000년대 중반대에 엄청나게 퍼졌던 바이러스로 증상 자체는 explorer.exe를 제외한 모든 exe, scr 파일을 감염시켜 컴퓨터가 크게 느려지고, 실행파일 에러를 발생시켰습니다. 또한 그 퍼지는 속도가 정말 빠르기 때문에 그냥 놔두면 드라이브 전체를 이 바이러스가 장악하였습니다. 초기에 발견하면 백신으로 치료할 수도 있지만 말기가 되면 백신 실행 파일도 감염시키는 경우가 있어 그냥 랜선 뽑고 포맷하는 수 밖에 없었습니다.

---

웜

• 매개체 파일이 필요없이 네트워크를 통해 전파되면서 가능한 많은 컴퓨터를 감염시키는 형태의 악성코드
• 바이러스와 달리 웜은 파일 자체에 직접적인 피해를 주기 보다 네트워크 트래픽에 영향을 미치려는 목적
• 네트워크에 연결되있는 PC가 많으면 많을수록 피해가 커짐
• 웜을 치료하기 위해서는 네트워크를 단절시킨 상태에서 웜 숙주가 되는 PC를 찾아야 됨
  
  
  • SQL 슬래머 웜
    
    
    • 윈도우 서버 2000의 SQL 취약점을 악용해 증식하며 네트워크 과부하를 일으키는 컴퓨터 바이러스
      
      
  • 1.25 인터넷 대란
     
    • 슬래머 웜에 감염된 좀비 PC들이 대량의 데이터를 만들어 KT 혜화 전화통신 관문국사의 DNS 서버를 공격하면서 대란이 시작됐습니다. 이 전화국의 DNS 서버 및 다른 서버들까지 마비되자 트래픽이 백본망으로 우회하기 시작했고 결국 다른 지역의 서버들도 줄줄이 마비됐습니다. 대란의 여파로 당시 인터넷을 통한 전자거래, 금융, 예약 서비스가 전면 중지되었습니다.  ISP 업체와 각 인터넷 쇼핑몰 업체에는 고객들의 민원이 빗발치기 시작했고, 인터넷망을 이용해 지점간 결제시스템을 운영하는 외식업체 유통업체들도 큰 불편을 겪었습니다. 전국 PC방들은 이때부터 손님이 10분의 1로 줄어들었고, 온라인 게임 업체들도 업체당 수천만원의 잠재 수익을 놓치기 시작했습니다. SK텔레콤 KTF 등의 무선인터넷망도 영향을 받아 마비상태에 빠져들었습니다. 사태 당시 혜화지사는 국내의 모든 전화국사들 중 유일무이한 통신관문국으로, 국내의 모든 DNS 서버와 인터넷 통신망 중계기가 집중돼 있던 곳이었습니다.
      
      이에 다른 DNS 서버와 기간망에 물려있던 서버들이 정지하는 사태가 발생해 결국 도메인을 입력하여 접속할 수밖에 없는 인터넷의 특성상 웹 사이트 접속이 불가능하게 됐습니다.

---

트로이목마

• 정상적인 프로그램으로 위장한 악성코드이며 대 부분의 악성코드가 가지는 특징
• 시스템 내부 정보를 공격자의 컴퓨터로 빼돌리는 프로그램
• 대다수 악성코드가 트로이 목마를 전제로 웜과 바이러스 기능을 같이 가지고 있기에 이들을 칼같이 구분하지는 않음
  

---

랜섬웨어

• 컴퓨터에 저장된 파일에 락을 걸고 몸값을 요구하는 악성코드
• 랜섬웨어에 감염된 파일은 해커만이 풀 수 있도록 암호화되며, 비트코인 등을 대가로 지불해야만 잠금을 푸는 키를 받을 수 있음
• 가장 유행하고 있는 악성코드지만 예방과 치료, 복구가 모두 쉽지 않아 최악의 악성코드라 불리기도 함
• 랜섬웨어에 대비하기 위해선 주기적으로 주요 문서를 백업하고, 주백신과 충돌하지 않으면서도 랜섬웨어 감지에 특화된 보조백신을 사용
  
  
  • 크립토락커
    
    
    • 2015년 4월 19일을 기준으로 국내에서 한글로 된 크립토 락커가 발생하였습니다. 특히 4월 21일 새벽 유명 인터넷 커뮤니티 사이트를 통해 퍼지면서, 감염 컴퓨터가 대규모로 발생하였습니다. 이번 감염은 가짜 승인절차 창 같은것도 없이 접속만 하면 감염되는 종류로 Internet Explorer와 Flash의 보안 취약점을 이용했습니다.
      
      
  • 갠드크랩
    
    
    • 갠드크랩은 서비스형 랜섬웨어(RaaS)의 일종으로 2018년을 대표하는 랜섬웨어이면서 가장 빈번하게 진화과정을 거쳐온 랜섬웨어
    • 이메일의 첨부파일 클릭 또는 플래시 광고를 통해 감염시키며, 저작권 위반, 이력서, 전자상거래 위반 등의 제목으로 이메일을 보내고 자연스럽게 첨부파일을 열도록 유인합니다.

---

애드웨어

• 기술적으로 악성코드의 범주에 들지 않지만 PUP(Potentially Unwanted Program)로 분류되어 PC 보안에 부정적인 영향을 미침
• 사용자의 동의를 구하면서 설치를 유도하게 끔 하는 특징
• 궁극적으로 광고가 목적

---

스파이웨어

• 사용자의 정보를 비밀리에 수집하여 제3자에게 전송하는 악성코드
• 애드웨어와 달리 사용자의 동의를 구하지 않고 몰래 설치됨
• 수집하는 정보는 주로 방문한 웹사이트, 브라우저, 시스템 정보 및 IP 주소 등, 마케팅 수단으로 거래될만한 내용이 많지만, 악의적인 것들은 로그인 정보나 신용정보 같은 민감한 개인정보를 빼내 해킹에 사용하기도 함

---

스파이웨어

• 사용자의 정보를 비밀리에 수집하여 제3자에게 전송하는 악성코드
• 애드웨어와 달리 사용자의 동의를 구하지 않고 몰래 설치됨

---

봇넷

• 특정대상한테 ddos공격을 하기 위해 사용되어지는 악성코드 유형
• 악성코드인 봇에 감염된 PC 네트워크
• 봇에 감염된 PC는 해커에 의해 원격 조종될 수 있어 흔히 말하는 좀비 PC 상태
• 해커는 주로 수십에서 수십만 대의 PC를 봇에 감염시킨 뒤, 이들에게 명령을 내려 동시에 특정 호스트에 네트워크 요청을 보내도록 하여 DDoS 공격을 시도
  
  
  • 제우스
    
    
    • 금융서비스 영역에서 큰 피해를 입힌 악성코드
    • 비인증 온라인 거래 범죄에 주로 이용