ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 맬웨어 용어정리
    IT 정보/IT, 보안 소식&팁 2016. 6. 9. 10:46
    반응형



    맬웨어

    맬웨어(malware)란 악성소프트웨어(malicious software)의 준말이다. 보통 모든 종류의 유해 소프트웨어를 칭하는 말로 바이러스라는 단어가 사용되지만 사실 바이러스는 맬웨어의 한 종류며 유해 소프트웨어를 총괄하는 단어는 바로 맬웨어다.

     

    바이러스

    바이러스(virus)는 맬웨어의 일종으로 다른 파일을 감염시켜 자신을 복제하는 행동양상을 보인다. 이는 실제세계의 바이러스가 세포를 감염시킴으로써 자가복제하는 원리와 비슷하다. 바이러스는 백그라운드에서 암호탈취, 광고게시, 컴퓨터 작동중단 등 다양한 결과를 야기할 수 있으나 그 본질적인 속성은 전파방식에 있다. 바이러스는 실행되면 해당 컴퓨터의 프로그램 파일을 감염시키며 그 프로그램이 USB 등을 통해 다른 컴퓨터로 전달되면 그 컴퓨터의 프로그램 파일도 감염되는 식으로 번져 나가는 것이다.

     

    (worm)은 감염시킨 컴퓨터에 여러 해로운 결과를 야기할 수 있다는 점에서 바이러스와 비슷하지만 전파방식이 다르다. 바이러스는 파일을 감염시키고 인간 행동에 의해 해당 파일이 이전되어 감염이 퍼지지만 웜은 컴퓨터 네트워크를 통해 인간 행동에 의존하지 않고 자체적으로 전파된다. 예를 들어 Blaster Sasser 웜의 경우 윈도XP가 많이 쓰이던 당시 빠르게 퍼졌는데 이는 윈도XP의 보안대책이 불충분하여 시스템서비스를 인터넷에 노출시켰기 때문이다. Blaster Sasser 웜은 인터넷을 통해 이렇게 노출된 시스템서비스에 접근하여 취약점을 악용함으로써 해당 컴퓨터를 감염시키며 이렇게 감염된 컴퓨터를 이용하여 자가복제를 지속하게 된다. 비록 요즘은 윈도에 방화벽이 기본적으로 설정돼 있어서 위와 같은 위협은 줄었으나 감염된 사용자의 주소록을 이용하여 대량의 이메일을 통해 전파되는 등의 방법이 있기 때문에 웜의 위협은 여전하다.

     

    트로이목마

    트로이목마(Trojan horse; Trojan)는 정상적인 파일로 가장하는 맬웨어를 가리킨다. 사용자가 어떤 프로그램을 다운받아 실행시킬 때 트로이목마가 백그라운드에서 실행되며 이 경우 제3자가 사용자 컴퓨터에 접속할 수 있다. 트로이목마 또한 감염대상 컴퓨터의 활동을 모니터링하거나 해당 컴퓨터를 좀비PC 네트워크인 봇넷에 편입시키는 데 활용되며 또한 감염대상 컴퓨터에 더욱 많은 맬웨어를 유입시키기도 한다. 트로이목마의 특징은 유용한 프로그램임을 가장하는 전파방식에 있다. 트로이목마는 다른 파일에 대해 자신을 복제시키거나 네트워크를 통해 전파되는 행동양상을 보이지는 않으며 이 점에서 바이러스나 웜과 다르다. 유해하지 않은 웹사이트에서 해적판 소프트웨어를 배포할 경우에도 해당 소프트웨어가 트로이목마가 포함돼 있을 수도 있다.


     

    랜섬웨어

    랜섬웨어(ransomware)란 대상컴퓨터의 파일을 인질삼아 돈을 뜯어내는 수법을 사용하는 비교적 신종의 맬웨어다. 맬웨어는 대부분 수익을 목적으로 제작되는데 랜섬웨어는 이를 가장 잘 보여준다. 랜섬웨어 중에는 단순히 컴퓨터를 계속 사용하려면 돈을 내라는 팝업을 띄우는 경우도 있지만 이는 안티바이러스 소프트웨어로 쉽게 방지할 수 있다. 그러나 CryptoLocker와 같은 랜섬웨어는 파일을 모조리 암호화하고 해당 파일에 대한 접근을 복구하는 대가로 돈을 요구하기 때문에 백업 등의 대책이 미리 구비되지 않은 이상 아주 위협적이다.


    <참고: 랜섬웨어 차단 AVG 유료안티바이러스>


     

    스파이웨어

    스파이웨어(spyware)는 사용자 몰래 사용자를 감시하는 악성 소프트웨어로 종류에 따라 다양한 유형의 데이터를 수집한다. 스파이웨어는 트로이목마에 포함되어 키입력을 감시함으로써 금융데이터를 탈취하는 등 다양한 형태로 존재할 수 있다. 한편 합법적인 스파이웨어의 경우 무료 소프트웨어에 포함되어 웹브라우징 패턴을 모니터링하고 이 데이터를 광고서버에 전송함으로써 소프트웨어 제작자가 사용자 브라우징에 대한 정보를 판매하여 수익을 올리는 수단으로 쓰일 수도 있다.

     

    애드웨어

    애드웨어(adware)는 컴퓨터에 광고를 띄우는 모든 종류의 소프트웨어를 의미하며 대체로 스파이웨어와 함께 발견된다. 대체로 프로그램 내에 광고를 게시하는 프로그램은 그 자체만 가지고는 맬웨어라고 하지 않으며 어느 정도 용인될 수 있다. 실제로 정상적인 프로그램과 함께 애드웨어가 설치되는 일도 많으며 그 예로 오라클 자바 소프트웨어에 Ask 툴바가 포함된 경우를 꼽을 수 있다. 한편 허용되지 않는 경우에까지 시스템에 대한 접근을 악용하여 광고를 게시하는 애드웨어는 악성으로 보아야 하며 사용자가 아무런 활동도 안 하는데 광고가 뜬다든지 웹브라우징을 할 때 웹페이지에 추가 광고를 주입한다든지 하는 경우를 예로 들 수 있다. 애드웨어는 사용자 브라우징을 추적하는 스파이웨어를 동반하는 경우가 많다.

     

    키로거

    키로거(kelogger)는 백그라운드에서 구동되면서 사용자의 모든 키입력을 기록하는 맬웨어를 의미한다. 이러한 키입력을 통해 사용자 아이디, 비밀번호, 카드번호 등 각종 비밀정보를 알아낼 수 있다. 키로거는 이러한 키입력 기록을 악성서버로 전송하게 되며 그 서버에서 데이터를 분석함으로써 비밀번호와 카드번호 등의 정보를 탈취할 수 있게 된다. 바이러스, , 트로이목마 등도 키로거 기능을 가지고 작동할 수 있으며 키로거를 업무 모니터링 목적으로 의도적으로 설치하는 경우도 있을 수 있다.


     

    , 봇넷

    (bot)이란 특수한 맬웨어에 감염되어 외부로부터 중앙 제어를 받는 컴퓨터를 의미하며 봇넷(botnet)이란 이러한 봇이 대규모로 모여서 이루어진 컴퓨터 네트워크를 가리킨다. 봇 소프트웨어가 컴퓨터를 감염시키고 나면 중앙 제어서버에 접속하여 봇넷 생성자의 지시를 기다리게 되며 이를 통해 봇넷은 각종 악의적 용도로 활용될 수 있게 된다. 봇넷은 예를 들어 분산서비스거부(distributed denial of service, DDoS) 공격에 활용될 수도 있다. 봇넷의 각 컴퓨터가 특정 웹사이트나 서버에 한 차례씩 요청을 보내도록 하여 수백만 건에 달하는 요청으로 인해 목표 서버를 마비시키거나 응답불가 상태로 만드는 식이다. 봇넷 생성자는 봇넷에 대한 제어권한을 다른 악의적 주체에게 판매하여 수익을 올릴 수도 있다.

     

    룻킷

    룻킷(rootkit)은 말 그대로 컴퓨터의 핵심영역인 루트(root) 영역까지 깊숙이 침투하여 사용자와 보안프로그램에 의한 탐지를 피하는 맬웨어를 가리킨다.

    룻킷은 윈도가 부팅되기 전에 실행되어 시스템에 침투하여 시스템 설정을 변경함으로써 보안프로그램에 의한 피해를 피할 수 있다.

     


    이상의 내용에서 알 수 있듯 모든 종류의 맬웨어를 바이러스라고 부르는 게 보편화되긴 했지만 이는 기술적으로는 정확하지 않다. 마찬가지로 안티바이러스(antivirus) 소프트웨어라는 단어 또한 바이러스를 맬웨어 전체와의 동의어로 사용하기 때문에 나온 말이다. 안티바이러스 소프트웨어는 바이러스에 한정되지 않고 모든 종류의 맬웨어를 방지하므로 이를 보다 정확히 표기하려면 안티맬웨어(antimalware) 또는 보안(security) 소프트웨어라는 표현이 맞다.

     

     


    Chris Hoffman, Not All “Viruses” Are Viruses: 10 Malware Terms Explained, 11. 4. 2013.

    http://www.howtogeek.com/174985/not-all-viruses-are-viruses-10-malware-terms-explained/

     

    번역요약: madfox




    참고링크 


    <유료안티바이러스 제품소개>

    반응형

    댓글

Designed by Tistory.