리팩토링

리팩토링 9주차 악성코드

idea5021 2024. 9. 19. 10:31
목차

1. 정탐과 오탐, 미탐의 의미


2. 악성코드의 유형과 유형별 특징(대표적인 사례)

 

 

 

정탐과 오탐, 미탐의 의미

 

1. 정탐

  • 정상적으로 탐지를 한 것
  • True Positive : 긍정적 사실, 정상적인 것을 정상으로 탐지한 것
  • True Negative : 부정적 사실, 비정상인 것을 비정상이라고 탐지한 것, 문제가 있는 파일을 문제가 있다고 판단을 해서 격리 조치 등을 취한 것으로 문제가 없다.

2. 오탐

  • False Positive : 긍정적 틀림, 정상인 것을 비정상으로 탐지한 것, 문제가 없는 파일을 문제가 있다고 판단한 것으로 큰 문제로 이어질 가능성은 낮지만 큰 문제로 이어질 수도 있는 만큼 주의를 요함

3. 미탐

  • False Negative : 부정적 틀림, 부정적인걸 잡아내지 못하고 탐지조차 하지 않는 것을 의미한다. 문제가 있는 파일을 문제가 없다고 판단을 해서 악성 코드가 호스트 내부를 활보할 수 있는 상태이므로 최악의 상황
  • False Negative를 줄이는 것이 가장 중요함

 

악성코드의 유형과 유형별 특징(대표적인 사례)

 

악성코드 : 사용자에게 해악을 끼치는 악의적인 목적으로 만들어진 모든 코드의 총칭

 

1. 바이러스(Virus)

  • 악성 코드의 가장 기본적인 형태로 정상 파일을 감염 시키는 형태의 악성 코드
  • 감염 파일에서 다른 정상 파일로 자기 복제 능력을 가짐
    ex) 2000년대 필리핀에서 제작된 러브 바이러스
    메일을 통해 감염되었으며, 해당 소프트웨어를 실행하는 순간 모든 파일을 'I Love You' 라는 내용이 적힌 스크립트 파일로 만든 바이러스
    출처 : 나무위키

2. 웜 (Worm)

  • 스스로를 복제하는 악성 코드
  • 바이러스의 경우 다른 실행 파일에 기생하는 반면 웜의 경우 독자적으로 실행됨
  • 감염된 호스트 네트워크를 통해 자신의 복사본을 전송해 감염시킴
  • 웜을 치료하기 위해서는 숙주 호스트의 웜을 치료해야 함
    ex) 스턱스넷 : 2010년 발견된 웜, 윈도우를 통해 감염되어 지멘스 산업의 소프트웨어 및 장비를 공격하는 악성코드
    ex) 2010년 이란 나탄즈 원자력 발전소는 이 스턱스넷으로 인해 원심 분리기 1천여 대가 파괴된 사례가 있음

 

3. 트로이 목마(Trojan Horse)

  • 정상적인 프로그램으로 위장한 악성 코드
  • 바이러스나 웜처럼 컴퓨터에 직접적인 영향을 주지는 않지만, 악의적인 공격자가 침투해 통제할 수 있는 권한을 부여하게 됨
  • 거의 모든 악성 코드에 포함된 경우가 많음
    ex) 제우스 : 2007~2009년 금융 서비스 영역에서 큰 피해를 입힌 악성코드
    인증서를 훔치거나 자동 결제 시스템 급여 시스템에 대한 비 인증 온라인 거래 등 범죄에 활용


 4. 백도어(Backdoor)

  • 영어로 후문이라는 뜻인 백도어는 누군가가 정상적인 보안 조치를 우회화여 시스템에 액세스할 수 있는 모든 경로를 의미 
  • 원래는 악성코드로 분류 되지 않았으나 해커가 시스템의 사용자가 모르게 내부로 진입하여 정보를 빼가는 등의 작업을 할 수 있기에 악성코드로 분류됨

 

5. 랜섬웨어(Ransomware)

  • Ransom(몸값) + Ware(제품)의 합성어로 컴퓨터에 저장된 파일을 암호화 시키고 몸값을 요구하는 악성코드
  • 현재 가장 유행하고 있는 악성코드 중 하나이다.
  • 치료, 복구가 모두 쉽지 않아 예방 및 데이터 백업 등이 중요하다.
  • 오래전 제작된 랜섬웨어의 경우 복호화키가 만들어져 복구가 가능한 경우도 있으나 랜섬웨어에 감염되어 암호화된 순간 해당 파일의 무결성은 깨진다.
    ex) 워너크라이 : 2017년 5월 등장한 랜섬웨어, 전세계 99개국 23만대 컴퓨터를 감염시켜 피해를 입힘   
    출처 : 위키백과

6. 스파이웨어(Spyware)

  • 사용자의 활동을 감시하는 악성 코드
  • 무료 소프트웨어를 설치할 때 같이 설치되는 경우도 있으며, 설치 동의를 구하지 않고 무단으로 설치가 된다.
    ex) 페가수스 : 이스라엘 NSO 그룹이 개발한 스파이웨어로 GPS를 활용한 위치, 어플리케이션 사용 내역, 사진 컨텐츠 등 휴대기기 내 모든 개인정보를 탈취할 수 있는 악성코드

 

7. 애드웨어(Adware)

  • 사용자의 컴퓨터에 광고를 표시하는 악성코드
  • 일반적으로 무료 소프트웨어 등을 다운로드 할 때 같이 설치되는 경우가 많음
  • 스파이웨어와 다른점은 애드웨어의 경우 사용자의 동의를 받고 설치를 한다는 것이다.
    ex) 제휴 프로그램

 

8. 루트킷(Rootkit)

  • 컴퓨터에 접속하거나 제어하도록 설계된 정보를 탈취하는 악성코드
  • 루트 권한을 쉽게 얻게 하는 키트로, 주로 파일이나 레지스트리에 숨기는게 특징
  • 얻은 루트 권한을 통해 다른 악성 코드를 추가로 설치해 정상 파일처럼 보이게 할 수 있음
  • 백신에 의해서는 탐지가 되지않고, 앤드 포인트 보안 솔루션 등에 의해 탐지가 가능하다.
    ex) 라자루스 그룹의 BYOVD를 활용한 루트킷 공격

*앤드 포인트 보안 : 데스크톱, 노트북 및 휴대폰과 같은 최종 사용자 디바이스를 악성 소프트웨어로부터 보호하는 일련의 방식과 기술

 

 

9. 키로깅

  • 사용자가 키보드로 입력하는 것을 모두 해커에게 전송하는 악성코드
  • 흔히 해킹툴 같은 것에서 볼수 있음
    ex) FBI가 1999년 필라델피아 지역의 마피아 보스를 추적, 검거하는 과정에서 트로이 목마를 활용한 매직 랜턴 키로거 설치 전략을 활용

 

10. 크립토 마이너

  • 사용자 몰래 컴퓨터에 설치되어 암호화폐를 채굴하는 악성 프로그램
  • 컴퓨터의 자원을 많이 사용하기 때문에 컴퓨터가 느려지거나, 전력 소비가 늘어나거나, 그래픽카드의 수명을 저하시킬 수 있다.

 

참고 문헌

https://bavid98.tistory.com/19

https://maker5587.tistory.com/10#%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4%20(%20Virus%20)-1

https://kk-7790.tistory.com/31