트로이목마, 그것은 악성코드의 꽃!

이미지 출처 : Hot for Security

'트로이목마'... 하면 무엇이 떠오르시나요? 

누군가는 영화 '트로이'에서 등장하는 브래드피트와 에릭바나의 섹시한 몸매가 생각날 것 입니다. 하지만 저희 같은 보안업계 사람들에겐 '악성코드'가 가장 먼저 연상이 될 거라는 데 500원을 걸겠습니다. (이놈의 때려죽일 트로이목마...;;)

역사에 등장하는 '트로이목마'가 무엇인지는 다들 알고 계실겁니다. 

트로이 전쟁은 그리스군의 아킬레우스와 오디세우스, 트로이군의 헥토르와 아이네아스 등 수많은 영웅과 신이 얽혀 10년 동안 지속된 전쟁입니다. 그리스군은 트로이를 힘으로 이길 수 없을 것 같았고, 오디세우스의 충고에 따라서 계략을 쓰기로 합니다. 

 

커다란 목마를 만들어 30여 명의 군인을 그 안에 숨겨놓은 거죠. 

그리스가 목마를 버리고 퇴각한 척 연기력을 펼치자, 트로이군은 승리의 상징으로 그리스가 버리고 간 목마를 성 안으로 들여놓습니다. 좀 의심하지 않았을까... 바보들. 이라고 생각하실 수도 있는데, 잡혀온 그리스 첩자의 남우주연상 급 연기가 먹혔던 것인지... 트로이군은 '그리스군에 노한 아테나의 분노를 풀기 위해 목마를 바쳤다'라는 말을 믿어버리죠. 여기서 사용된 목마가 바로 '트로이목마'입니다.

그리고는 게임 끝! '트로이목마'에서 30명이 우르르 나와서 난공불락이었던 트로이군을 무찔렀다!!!! 그런 이야기죠. 요약 하자면, "전승의 기념물로 가장한 목마 속에 숨은 병사들이 적진 한가운데 침투해 적을 무찔렀다" 겠지요. 

악성코드 '트로이목마(Trojan Horse)'

오늘날 컴퓨터 악성코드의 대명사이기도 한 '트로이목마(Trojan Horse)'

역사에서의 트로이목마와 같이 '악성코드' 트로이목마도 이와 비슷합니다.

 

트로이목마 악성코드 : 정상 프로그램으로 가장하고, 악의적인 행위를 실행하는 프로그램 또는 코드

트로이목마 : 정상적인 전리품으로 가장하여, 병사들을 안에 숨겨두고 적진에 침투시키는 매개체

둘다 뭔가 겉으로 보이는 것과 다르게, 일정한 목적을 가지고 뒤로는 다른 꿍꿍이(?)를 꾸민다는 큰 공통점이 보이신다면, 왜 이런 성격의 악성코드를 트로이목마로 이름 붙이고 분류하는지 잘 이해되실 겁니다. 

 

자 그렇다면, 최초의 트로이목마는 무엇이었는지 한번 짚고 넘어가 보겠습니다.

사실 이 글을 쓰면서 저도 잘 몰라서 열심히 찾아봤는데요!

 

최초의 트로이목마로 불리는 프로그램은 John Walker라는 사람이 만든 UNIVAC(1951년에 개발된 영업용으로 출시된 최초의 컴퓨터, 미국인구통계나 국세조사에 응용됨)에서 동작하는 게임 'ANIMAL'입니다. 이 트로이목마는 별도의 악성행위를 하진 않았지만, 트로이목마 형태의 동작을 띄고 있었기에 최초의 트로이목마라고 인식되고 있다고 하네요. 더 놀라운 건 알약맨이 태어나기도 한~참 전인 1975년에 만들어졌다는 점.

 

한참 형님뻘이셨군요. 몰라뵈었습니다.

관련하여 자세한 내용은 아래 내용을 참고하시길 부탁 드립니다. 

출처 : 위키피디아  http://en.wikipedia.org/wiki/Timeline_of_computer_viruses_and_worms 

어떤 식으로 활동 하는가? 

트로이목마는 바이러스 등 다른 악성코드와 같이 공격자가 의도한 악성행위를 수행한다는 관점으로 보면 똑같이 나쁜 놈입니다.

그러나 바이러스나 웜과 달리, 트로이목마는 다른 프로그램이나 PC를 통해 전염되거나 자기 자신을 복제하진 않습니다. 앞서 설명 드렸던 것처럼 웹사이트, 이메일의 첨부파일, P2P 사이트(웹하드) 등에서 정상적인 프로그램, 즉 사용자가 인식할 수 있는 '유용한 프로그램'으로 '가장'해 사용자의 선택을 기다립니다. 

최근에 가장 많이 유포되는 형태를 보면 크게 2가지입니다.

1. 보안이 취약한 업데이트 서버 또는 웹사이트를 변조한 후 악성코드를 심어 두고, 보안이 취약한 PC의 사용자가 해당 사이트에 방문하는 경우에 악성코드를 내려받게 하는 방식

2. 포털사이트 블로그에서 특정 제품으로 가장하여 제품 다운로드를 유도하고, 해당 제품과 함꼐 설치되는 수많은 스폰서 프로그램들의 업데이트 서버를 해킹하여 이미 제품이 설치된 PC들에게 악성코드를 추가적으로 내려받게 하는 방식 

위의 형태로 사용자 몰래 공격자가 원하는 고급 정보, 즉 개인정보 및 금융계정정보나 게임계정 비밀번호(흑흑... 쓰라린 분들 몇 분 계실 겁니다)를 빼내가기도 하고, 중요한 파일을 삭제하거나, 사용자가 입력하는 키값을 모조리 수집하기도 합니다. 가장 최근에 발견된 행태로는 비트코인을 사용자 몰래 채굴하는 행위를 하는 경우도 발견되었습니다.

물론, 저런 악성행위 외에도 다양한 악성행위를 동시다발적으로 수행하기도 합니다. 공격자가 순진하게 한가지 목적만 달성하는 경우는 거의 없더라구요. 이왕 힘들게 사용자PC에 침투했으니 이것저것 온갖(?) 나쁜 짓을 다양하게 수행합니다.

최근에 기업환경에서 많이 이슈가 되고 있는 APT공격... 혹시 들어본 적 있으신가요? 

APT는 Advanced Persistent Threat의 약자로 보통 '지능형 지속 위협'이라는 용어를 사용합니다. 표적으로 삼은 기업망에 침투한 후 오랜 시간동안 자기자신을 은폐하고 공격자가 해당 기업망에 자유롭게 드나들 수 있도록 뒷문(Backdoor)을 열어주거나, 정보를 수집해서 빼돌리는 공격을 말하는데요. 이런 APT공격도 루트킷 형태의 트로이목마 악성코드를 활용하는 공격이 대다수라고 할 수 있습니다. 

 

2009년에 있었던 7.7 DDoS 대란과 2011년에 있었던 3.3 DDoS 공격도 워낙 유명해서 잘 알고 계실 겁니다. 보안이 취약한 사용자PC를 좀비PC로 만들어, 공격자가 내린 공격명령을 순순히 수행하는 봇넷 역할을 하게 한 녀석 역시 트로이목마입니다. 

 

2013년 3.20 전산대란(=3.20 사이버테러).. 역시 트로이목마가 피해를 입은 기관의 업데이트 관리서버를 통해 유포되었기 때문입니다.

저것들이 모두 트로이목마로 인한 것들이었다니... 새삼 놀라신 분들도 많으실텐데요. 이제 트로이목마 악성코드가 우리 주변에서 얼마나 빈번하게 자주 활동하는 지 조금 감이 잡히시나요?

 

실제 통계자료로도 보여드리겠습니다.

트로이목마 악성코드로 인한 실제 피해사례

2월 알약 보안동향보고서 중 '악성코드별 비율'

2014년 2월에 발간된 알약 보안동향보고서를 보면 Top15 악성코드 중 트로이목마가 무려 85%의 비율을 차지하고 있는 것을 볼 수 있습니다. 

최근 해킹 동향이 대부분 금전적인 이득을 노리고 수행되는 공격이 많고 또한 사용자 모르게 이뤄지는 형태가 많기 때문에, 더더욱 트로이목마 악성코드가 기승을 부리고 있는 상황입니다. 이러한 경향은 한동안 크게 변하지 않을 것으로 보여집니다.

 

트로이목마는 비단 PC뿐만아니라, 모바일에서도 만날 수 있습니다. 2010년 8월에 실제로 안드로이드폰 사용자를 노리는 트로이목마가 최초로 발견되었죠. 우리가 자주 다루었던 '스미싱' 또한 트로이목마의 형태를 띄는 것이 많습니다. 발생한 지 정말 오래된 형태의 악성코드임에도 불구하고, 실제 피해사례는 지금까지도 계속해서.. 빈번히 발생하고 있는 것이지요.

백신에서는 어떻게 탐지 및 치료? 

백신을 PC에 설치하고 사용한다면 익숙한 단어 트로이목마 … 뭔가 백신 프로그램으로 검사를 돌리거나, 인터넷서핑 또는 파일 다운로드를 할 때 백신의 실시간 감시창에서 가장 많이 접하셨던 단어일 겁니다. 

 

알약이 실시간감시를 이용하여 트로이목마를 탐지한 화면

대부분 위에서 설명했지만, 트로이목마 악성코드들은 보안이 취약한 PC를 주로 노리고 있으며 다양한 형태로 사용자PC로의 접근을 시도합니다. 따라서 알약에서도 다양한 통로로 유포되는 악성코드 샘플들을 수집하고 사전에 차단할 수 있는 방안을 연구하는 것은 물론 변종 발생건에 대비하여 유사행위 탐지로직 등의 연구도 계속 진행 중에 있습니다.

알약이 실시간감시를 이용하여 트로이목마를 치료한 화면

결론은...

트로이목마는 오래된 개념이지만, 현재 가장 왕성하게 활동하고 있는 악성코드 중 하나입니다. 

식상한 나머지, 이거 말고 또 다른 엄청나게 강력한 게 나오지 않을까? 라고 예상해보는 분들도 계시겠지만... 아주 오래전부터 공격기법으로 사용되어 왔으나, 지금까지도 그 기법이 제대로 먹히고 있다면? 굳이 시간과 노력 등 리소스를 투입해 신종을 만들 이유가 없겠죠. 트로이목마 하나로도 충분히 강력한 공격을 할 수 있기 때문입니다. 

최근에는 '사회공학적 기법'을 이용하여 악성코드를 응용하는 경우가 많습니다. 기술적으로 신종을 만들기보다는, 어떻게 하면 사람들을 좀 더 쉽게 악성코드에 감염되도록 속일 수 있을까에 대한 고민이 점점 깊어지고 있는 것이죠. 이는 금전적인 이득을 공격의 목표로 잡으면서 더욱 치밀해지고 있습니다. 앞으로도 공격자들은 트로이목마와 함께 사람들이 아차! 하고 낚일만한 스미싱 문구 등, 사회공학적 기법을 활용하여 한층 더 강력한 해킹을 하기 위해 노력할 것입니다.

예방하는 방법은 역시나 특별한 게 없죠. 

알약과 같은 백신을 설치하여, 주기적인 업데이트와 검사를 해주시기 바랍니다. 또한, 스마트폰을 통해 보안이 취약한 wifi(와이파이)에 접속하여 검증되지 않은 인터넷 사이트를 서핑하실 땐 주의하셔야 합니다. PC에서 exe프로그램을 설치할 때 주의해야 하는 것처럼, 악성앱 다운로드를 주의하시고 모르는사람 이메일 주의하시고...  

 

요즘은 IoT(사물인터넷) 시대라고 하죠. 트로이목마를 비롯한 각종 악성코드가 기승을 부릴 통로가 점점 많아지고 있습니다. 이에 따라 사용자 또한 보안 의식을 고취시키고, 강하게 대처해야 할 것입니다. 

 

활용 이미지 출처 :

Hot for Security

http://www.hotforsecurity.com/

* 해당 블로그 콘텐츠는 공식적으로 인용 허가를 받았습니다.