포스팅 내용

전문가 기고

트로이목마, 그것은 악성코드의 꽃!

이미지 출처 : Hot for Security


'트로이목마'... 하면 무엇이 떠오르시나요? 


누군가는 영화 '트로이'에서 등장하는 브래드피트와 에릭바나의 섹시한 몸매가 생각날 것 입니다. 하지만 저희 같은 보안업계 사람들에겐 '악성코드'가 가장 먼저 연상이 될 거라는 데 500원을 걸겠습니다. (이놈의 때려죽일 트로이목마...;;)


역사에 등장하는 '트로이목마'가 무엇인지는 다들 알고 계실겁니다. 


트로이 전쟁은 그리스군의 아킬레우스와 오디세우스, 트로이군의 헥토르와 아이네아스 등 수많은 영웅과 신이 얽혀 10년 동안 지속된 전쟁입니다. 그리스군은 트로이를 힘으로 이길 수 없을 것 같았고, 오디세우스의 충고에 따라서 계략을 쓰기로 합니다. 

 

커다란 목마를 만들어 30여 명의 군인을 그 안에 숨겨놓은 거죠. 

그리스가 목마를 버리고 퇴각한 척 연기력을 펼치자, 트로이군은 승리의 상징으로 그리스가 버리고 간 목마를 성 안으로 들여놓습니다. 좀 의심하지 않았을까... 바보들. 이라고 생각하실 수도 있는데, 잡혀온 그리스 첩자의 남우주연상 급 연기가 먹혔던 것인지... 트로이군은 '그리스군에 노한 아테나의 분노를 풀기 위해 목마를 바쳤다'라는 말을 믿어버리죠. 여기서 사용된 목마가 바로 '트로이목마'입니다.


그리고는 게임 끝! '트로이목마'에서 30명이 우르르 나와서 난공불락이었던 트로이군을 무찔렀다!!!! 그런 이야기죠. 요약 하자면, "전승의 기념물로 가장한 목마 속에 숨은 병사들이 적진 한가운데 침투해 적을 무찔렀다" 겠지요. 



악성코드 '트로이목마(Trojan Horse)'


오늘날 컴퓨터 악성코드의 대명사이기도 한 '트로이목마(Trojan Horse)'

역사에서의 트로이목마와 같이 '악성코드' 트로이목마도 이와 비슷합니다.

 

트로이목마 악성코드 : 정상 프로그램으로 가장하고, 악의적인 행위를 실행하는 프로그램 또는 코드

트로이목마 : 정상적인 전리품으로 가장하여, 병사들을 안에 숨겨두고 적진에 침투시키는 매개체


둘다 뭔가 겉으로 보이는 것과 다르게, 일정한 목적을 가지고 뒤로는 다른 꿍꿍이(?)를 꾸민다는 큰 공통점이 보이신다면, 왜 이런 성격의 악성코드를 트로이목마로 이름 붙이고 분류하는지 잘 이해되실 겁니다. 

 

자 그렇다면, 최초의 트로이목마는 무엇이었는지 한번 짚고 넘어가 보겠습니다.

사실 이 글을 쓰면서 저도 잘 몰라서 열심히 찾아봤는데요!

 

최초의 트로이목마로 불리는 프로그램은 John Walker라는 사람이 만든 UNIVAC(1951년에 개발된 영업용으로 출시된 최초의 컴퓨터, 미국인구통계나 국세조사에 응용됨)에서 동작하는 게임 'ANIMAL'입니다. 이 트로이목마는 별도의 악성행위를 하진 않았지만, 트로이목마 형태의 동작을 띄고 있었기에 최초의 트로이목마라고 인식되고 있다고 하네요. 더 놀라운 건 알약맨이 태어나기도 한~참 전인 1975년에 만들어졌다는 점.

 

한참 형님뻘이셨군요. 몰라뵈었습니다.


관련하여 자세한 내용은 아래 내용을 참고하시길 부탁 드립니다. 

출처 : 위키피디아  http://en.wikipedia.org/wiki/Timeline_of_computer_viruses_and_worms 



어떤 식으로 활동 하는가? 




트로이목마는 바이러스 등 다른 악성코드와 같이 공격자가 의도한 악성행위를 수행한다는 관점으로 보면 똑같이 나쁜 놈입니다.


그러나 바이러스나 웜과 달리, 트로이목마는 다른 프로그램이나 PC를 통해 전염되거나 자기 자신을 복제하진 않습니다. 앞서 설명 드렸던 것처럼 웹사이트, 이메일의 첨부파일, P2P 사이트(웹하드) 등에서 정상적인 프로그램, 즉 사용자가 인식할 수 있는 '유용한 프로그램'으로 '가장'해 사용자의 선택을 기다립니다. 


최근에 가장 많이 유포되는 형태를 보면 크게 2가지입니다.


1. 보안이 취약한 업데이트 서버 또는 웹사이트를 변조한 후 악성코드를 심어 두고, 보안이 취약한 PC의 사용자가 해당 사이트에 방문하는 경우에 악성코드를 내려받게 하는 방식


2. 포털사이트 블로그에서 특정 제품으로 가장하여 제품 다운로드를 유도하고, 해당 제품과 함꼐 설치되는 수많은 스폰서 프로그램들의 업데이트 서버를 해킹하여 이미 제품이 설치된 PC들에게 악성코드를 추가적으로 내려받게 하는 방식 


위의 형태로 사용자 몰래 공격자가 원하는 고급 정보, 즉 개인정보 및 금융계정정보나 게임계정 비밀번호(흑흑... 쓰라린 분들 몇 분 계실 겁니다)를 빼내가기도 하고, 중요한 파일을 삭제하거나, 사용자가 입력하는 키값을 모조리 수집하기도 합니다. 가장 최근에 발견된 행태로는 비트코인을 사용자 몰래 채굴하는 행위를 하는 경우도 발견되었습니다.


물론, 저런 악성행위 외에도 다양한 악성행위를 동시다발적으로 수행하기도 합니다. 공격자가 순진하게 한가지 목적만 달성하는 경우는 거의 없더라구요. 이왕 힘들게 사용자PC에 침투했으니 이것저것 온갖(?) 나쁜 짓을 다양하게 수행합니다.


최근에 기업환경에서 많이 이슈가 되고 있는 APT공격... 혹시 들어본 적 있으신가요? 

APT는 Advanced Persistent Threat의 약자로 보통 '지능형 지속 위협'이라는 용어를 사용합니다. 표적으로 삼은 기업망에 침투한 후 오랜 시간동안 자기자신을 은폐하고 공격자가 해당 기업망에 자유롭게 드나들 수 있도록 뒷문(Backdoor) 열어주거나, 정보를 수집해서 빼돌리는 공격을 말하는데요. 이런 APT공격도 루트킷 형태의 트로이목마 악성코드를 활용하는 공격이 대다수라고 할 수 있습니다. 

 

2009년에 있었던 7.7 DDoS 대란과 2011년에 있었던 3.3 DDoS 공격도 워낙 유명해서 잘 알고 계실 겁니다. 보안이 취약한 사용자PC를 좀비PC로 만들어, 공격자가 내린 공격명령을 순순히 수행하는 봇넷 역할을 하게 한 녀석 역시 트로이목마입니다. 

 

2013년 3.20 전산대란(=3.20 사이버테러).. 역시 트로이목마가 피해를 입은 기관의 업데이트 관리서버를 통해 유포되었기 때문입니다.


저것들이 모두 트로이목마로 인한 것들이었다니... 새삼 놀라신 분들도 많으실텐데요. 이제 트로이목마 악성코드가 우리 주변에서 얼마나 빈번하게 자주 활동하는 지 조금 감이 잡히시나요?

 

실제 통계자료로도 보여드리겠습니다.



트로이목마 악성코드로 인한 실제 피해사례


2월 알약 보안동향보고서 중 '악성코드별 비율'


2014년 2월에 발간된 알약 보안동향보고서를 보면 Top15 악성코드 중 트로이목마가 무려 85%의 비율을 차지하고 있는 것을 볼 수 있습니다. 


최근 해킹 동향이 대부분 금전적인 이득을 노리고 수행되는 공격이 많고 또한 사용자 모르게 이뤄지는 형태가 많기 때문에, 더더욱 트로이목마 악성코드가 기승을 부리고 있는 상황입니다. 이러한 경향은 한동안 크게 변하지 않을 것으로 보여집니다.

 

트로이목마는 비단 PC뿐만아니라, 모바일에서도 만날 수 있습니다. 2010년 8월에 실제로 안드로이드폰 사용자를 노리는 트로이목마가 최초로 발견되었죠. 우리가 자주 다루었던 '스미싱' 또한 트로이목마의 형태를 띄는 것이 많습니다. 발생한 지 정말 오래된 형태의 악성코드임에도 불구하고, 실제 피해사례는 지금까지도 계속해서.. 빈번히 발생하고 있는 것이지요.



백신에서는 어떻게 탐지 및 치료? 


백신을 PC에 설치하고 사용한다면 익숙한 단어 트로이목마 … 뭔가 백신 프로그램으로 검사를 돌리거나, 인터넷서핑 또는 파일 다운로드를 할 때 백신의 실시간 감시창에서 가장 많이 접하셨던 단어일 겁니다. 

 

알약이 실시간감시를 이용하여 트로이목마를 탐지한 화면


대부분 위에서 설명했지만, 트로이목마 악성코드들은 보안이 취약한 PC를 주로 노리고 있으며 다양한 형태로 사용자PC로의 접근을 시도합니다. 따라서 알약에서도 다양한 통로로 유포되는 악성코드 샘플들을 수집하고 사전에 차단할 수 있는 방안을 연구하는 것은 물론 변종 발생건에 대비하여 유사행위 탐지로직 등의 연구도 계속 진행 중에 있습니다.


알약이 실시간감시를 이용하여 트로이목마를 치료한 화면



결론은...


트로이목마는 오래된 개념이지만, 현재 가장 왕성하게 활동하고 있는 악성코드 중 하나입니다. 

식상한 나머지, 이거 말고 또 다른 엄청나게 강력한 게 나오지 않을까? 라고 예상해보는 분들도 계시겠지만... 아주 오래전부터 공격기법으로 사용되어 왔으나, 지금까지도 그 기법이 제대로 먹히고 있다면? 굳이 시간과 노력 등 리소스를 투입해 신종을 만들 이유가 없겠죠. 트로이목마 하나로도 충분히 강력한 공격을 할 수 있기 때문입니다. 


최근에는 '사회공학적 기법'을 이용하여 악성코드를 응용하는 경우가 많습니다. 기술적으로 신종을 만들기보다는, 어떻게 하면 사람들을 좀 더 쉽게 악성코드에 감염되도록 속일 수 있을까에 대한 고민이 점점 깊어지고 있는 것이죠. 이는 금전적인 이득을 공격의 목표로 잡으면서 더욱 치밀해지고 있습니다. 앞으로도 공격자들은 트로이목마와 함께 사람들이 아차! 하고 낚일만한 스미싱 문구 등, 사회공학적 기법을 활용하여 한층 더 강력한 해킹을 하기 위해 노력할 것입니다.


예방하는 방법은 역시나 특별한 게 없죠. 


알약과 같은 백신을 설치하여, 주기적인 업데이트와 검사를 해주시기 바랍니다. 또한, 스마트폰을 통해 보안이 취약한 wifi(와이파이)에 접속하여 검증되지 않은 인터넷 사이트를 서핑하실 땐 주의하셔야 합니다. PC에서 exe프로그램을 설치할 때 주의해야 하는 것처럼, 악성앱 다운로드를 주의하시고 모르는사람 이메일 주의하시고...  

 

요즘은 IoT(사물인터넷) 시대라고 하죠. 트로이목마를 비롯한 각종 악성코드가 기승을 부릴 통로가 점점 많아지고 있습니다. 이에 따라 사용자 또한 보안 의식을 고취시키고, 강하게 대처해야 할 것입니다. 



 

활용 이미지 출처 :

Hot for Security

http://www.hotforsecurity.com/

* 해당 블로그 콘텐츠는 공식적으로 인용 허가를 받았습니다.

  1. 레이튼 2014.03.21 09:28 신고  수정/삭제  댓글쓰기

    엥간한 악성코드는 다 트로이목마라 봐도 되는군요 흠

    • 알약(Alyac) 2014.03.21 15:54 신고  수정/삭제

      네! 최근 활동이 가장 활발한 악성코드는 단연 트로이목마라고 할 수 있습니다. 각별히 주의 부탁드려요!

  2. 태태 2014.03.21 10:59 신고  수정/삭제  댓글쓰기

    오!

  3. Kero 2014.07.06 15:49 신고  수정/삭제  댓글쓰기

    트로이목마! 죽어버렷!
    으아~ 살려주세요~
    (방금 4마리의 트로이목마가 사망했습니다..)

  4. 김승 2015.10.08 21:28 신고  수정/삭제  댓글쓰기

    근데 트로이목마랑 APT공격이랑 뭐가 다른 거죠? 둘 다 잠복해있다가 공격하는 거 아닌가요??차이점이 궁금합니다!!ㅎㅎㅎㅎ

    • 알약(Alyac) 2015.10.16 15:45 신고  수정/삭제

      김승님 안녕하세요~ 트로이목마는 악성코드의 한 종류이고, APT공격은 Advanced Persistent Threat의 약자로 공격 방식 중 하나입니다. 감사합니다.

  5. 2016.02.25 12:34  수정/삭제  댓글쓰기

    비밀댓글입니다

    • 알약(Alyac) 2016.02.26 10:57 신고  수정/삭제

      똥꼬님 안녕하세요. 알약이 악성코드를 차단해 드렸다니 다행입니다^^ 안전한 컴퓨터 사용환경을 위하여 최신버전의 알약을 사용하시길 권장드립니다^^ 좋은하루보내세요~

  6. 거부 2016.09.20 14:39 신고  수정/삭제  댓글쓰기

    지워도똑같아!깔지마

    • 알약(Alyac) 2016.09.20 15:49 신고  수정/삭제

      안녕하세요. 어떤 부분에서 문제나 불편함을 느끼셨는지 좀 더 자세히 설명해주시면, 저희가 신속히 상세한 안내를 드리도록 하겠습니다. ^^ 혹은 비밀댓글이나 help@alyac.co.kr를 통해 연락처와 함께 불편을 느끼신 부분에 대해 말씀해 주시면, 원격지원 등을 통해 사용자분의 문제 해결을 위해 노력하겠습니다. 감사합니다.

  7. 2017.01.20 17:05 신고  수정/삭제  댓글쓰기

    감사합니다, 프로그램 덕택에 숨어있던 2개 감지되여 삭제할 수 있었어요.

    • 알약(Alyac) 2017.01.20 17:32 신고  수정/삭제

      알약으로 잘 치료하셨다니 다행입니다. ^^ 앞으로도 꾸준한 애용 부탁 드리겠습니다! 감사합니다.

  8. 알왁 2017.01.23 21:58 신고  수정/삭제  댓글쓰기

    블로그 운영정책에 따라 포스트 주제와 맞지 않는 댓글(트랙백) 등은 삭제될 수 있습니다.

  9. 알약 2017.01.23 21:58 신고  수정/삭제  댓글쓰기

    저도 트로이걸렸는데...

    • 알약(Alyac) 2017.01.24 09:00 신고  수정/삭제

      안녕하세요. 알약 정밀검사로 치료하셨나요? ㅠㅠ 관련하여 궁금한 사항이 있으시면 댓글로 추가 부탁 드리겠습니다. 더불어 트로이목마 등 악성코드에 감염되지 않도록, 주요 SW의 최신 버전 업데이트 유지 및 주기적인 백신 사용 등 PC와 모바일 보안 수칙을 꼭 준수해주시길 부탁 드릴게요. 감사합니다.

  10. 알약★ 2017.01.28 00:12 신고  수정/삭제  댓글쓰기

    저 어떤 프로그램을 다운받았는데 트로이목마에 걸렸어요ㅠㅠㅠ 지금 알약정밀검사 하고있는데 이거하면 트로이 목마 없어지나요?...

    • 알약(Alyac) 2017.01.31 08:51 신고  수정/삭제

      안녕하세요. 알약 정밀검사로 탐지 및 치료하셨다면 안심하셔도 좋습니다. ^^ 관련하여 더 자세한 사항이 궁금하시면 감염 관련 상세 내용을 알약 [신고하기]를 통해 신고 부탁 드리겠습니다. 감사합니다.

  11. ㅠㅠ 2017.02.11 18:42 신고  수정/삭제  댓글쓰기

    저 바이러스 첨 걸린건데 그게 트로이목마네요ㅠㅠ
    저나 엄마나 아빠나 이런걸 잘몰라서 그런데
    어떡하죠? 어떻게 하면 지울수있죠?

    • 알약(Alyac) 2017.02.13 09:01 신고  수정/삭제

      안녕하세요. 먼저 트로이목마 감염 피해를 입으신 점 안타깝게 생각합니다. ㅠㅠ 알약 등 사용하시는 백신을 최신 버전으로 업데이트하신 후 정밀검사를 진행해주세요! 이후 문제상황이 발생하시는 경우, 알약 [신고하기]를 통해 신고해주시면 기재해주신 연락처로 연락을 드려 원격지원 등으로 신속한 조치를 취해드리겠습니다. 감사합니다.

  12. 벽돌됨 2017.02.28 20:27 신고  수정/삭제  댓글쓰기

    알약으로 감지는 되지만 제거는 안 되네요...
    공장초기화를 해도 제거가 안 되요,.
    데이터를 접속시키면 갑자기 홈화면으로 돌아가면서 막 다양한 어플을 자동 다운받더군요....
    걍 벽돌되서 버려야될듯해요

    • 알약(Alyac) 2017.03.02 09:02 신고  수정/삭제

      안녕하세요. 모바일 트로이목마를 말씀하시는 것인지요? 죄송하지만 말씀하신 내용만으로는 정확한 증상 구현이 어려워 도움을 드리기가 어렵습니다. ㅠㅠ 관련하여 감지 스샷이나 사용하시는 안드로이드 OS 버전, 휴대기기 정보 등을 m_alyac@estsecurity.com으로 보내주세요. 저희가 확인 후 좀 더 상세한 안내를 회신 드리겠습니다. 감사합니다.

  13. 2017.06.11 19:32  수정/삭제  댓글쓰기

    비밀댓글입니다

  14. 궁금궁금 2017.06.11 19:35 신고  수정/삭제  댓글쓰기

    안녕하세요! 조금 전에 댓글 남겼는데 비밀글 설정이 되어버려서 확인이 안되네요..ㅠㅠ왜지..
    여튼.. 핸드폰 알약 어플로 검사 돌려봤더니 트로이의 목마가 하나 있다고 해서 삭제했는데요.. 몇 번 다시 돌려봐도 또 나오지는 않더라구요.. 한 번 삭제하면 자가복제는 없다고 하셨으니 괜찮은건가요? 모바일뱅킹같은거 이용해도 될까요? 무서워서 몇일 째 공장 초기화해야하나 고민중이거든요..ㅠㅠ 답변주시면 참고할게요 감사합니다~

    • 알약(Alyac) 2017.06.12 08:46 신고  수정/삭제

      안녕하세요. 알약 안드로이드로 치료하셨다면 안심하셔도 좋습니다. ^^ 정 불안하시다면, 사용하고 계시는 계정의 비밀번호를 일괄 변경하시는 것을 권해 드립니다. 더불어 스마트폰을 안전하게 사용하시려면, 알약 블로그 포스팅(http://blog.alyac.co.kr/883)을 참고하셔서 보안 수칙을 준수해주시길 부탁 드리겠습니다. 감사합니다.

티스토리 방명록 작성
name password homepage