/사진=이미지투데이
/사진=이미지투데이

# 지난달 29일 한 해킹그룹이 국내 고스톱·포커 게임 이용자를 노리고 악성코드를 유포한 정황이 포착됐다. 일명 ‘오퍼레이션 레드 겜블러’라 명명된 이번 공격은 2016년 10월부터 지난해 8월까지 10개월이 넘도록 이뤄졌다.

# 가상화폐 채굴 악성코드의 공격을 받은 PC 및 모바일 인터넷 사용자수가 2016년 약 190만명에서 지난해 270만명으로 44.5% 급증했다. 랜섬웨어를 통한 수익창출보다 장기적이고 안정성이 높다는 측면에서 최근 해커들은 악성코드를 활용해 가상화폐를 채굴에 나서는 모습이다.


최근 악성코드를 통한 피해사례가 빈번하게 발생한다. 과거에는 사용자의 PC를 사용할 수 없도록 만드는 형태에 불과했다면 최근에는 PC의 파일을 암호화해 돈을 요구하거나 개인정보를 탈취하고 나아가서는 기업의 시스템을 마비시키는 형태로 진화했다.

여기서 한가지 의문이 든다. 악성코드와 바이러스, 웜의 차이는 무엇일까.


엄밀하게 따지면 악성코드는 바이러스의 상위 개념으로 컴퓨터에 악영향을 끼칠 수 있는 소프트웨어를 총칭 악성코드라 일컫는다. 악성코드의 특성이나 활동 형태에 따라 바이러스, 웜, 봇, 트로이목마 등으로 구분된다.

악성코드에 감염된 PC를 보안업체 직원이 복원하고 있다. /사진=뉴스1
악성코드에 감염된 PC를 보안업체 직원이 복원하고 있다. /사진=뉴스1

◆특성별 악성코드 4가지

바이러스는 컴퓨터 프로그램에 기생한다. 생물학적인 바이러스가 자신을 복제할 수 있는 것처럼 컴퓨터 바이러스도 자신을 복제하는 명령어를 가졌다. 프로그램을 실행할 때만 감염이 된다는 특징이 있다. CMOS 메모리 데이터를 삭제해 컴퓨터가 부팅되지 않도록 하거나 하드디스크의 정보를 파괴하는 등의 부작용을 지녔다.

웜은 바이러스와 비슷하지만 컴퓨터 프로그램에 기생하지 않고 독자적으로 실행된다는 특징을 지닌다. 네트워크를 통해 자신의 복사본을 전송할 수 있고 어떤 중재작업도 필요하지 않다. 바이러스는 특정 PC를 목표로 활동하지만 웜은 네트워크를 손상시킨다는 특징도 있다. 최근에는 이메일이나 메신저를 통해 전파되는 경향을 보이는데 이메일 주소록에 등록된 이들에게 한번에 대량 전송되는 등 심각한 문제를 지녔다. 이 경우 네트워크에 과도한 트래픽이 몰려 인터넷의 속도가 전반적으로 하락한다.


봇은 특정 인터넷 주소 혹은 서버에 접근해 악성코드를 내려받거나 웹사이트를 공격하는 형태를 지닌다. 서버에 막대한 트래픽 공격을 가하는 ‘디도스’ 공격이 대표적인 예다. 봇은 제작자들이 커뮤니티를 통해 소스를 교환하고 조직적으로 변형을 일삼으면서 수년간 폭발적으로 증가했다. 가격도 저렴하다. 디도스 봇 소프트웨어의 경우 최저 15달러 수준이며 1시간짜리 ‘디도스 서비스’는 5~20달러면 충분하다. 24시간 디도스 공격도 10~100달러로 다른 악성코드보다 손쉽게 구할 수 있다.

트로이목마는 주로 개인정보 유출과 관련이 깊다. 악의적인 기능을 수행하는 코드를 프로그램에 내장해 배포하는 형태로 전파된다. 바이러스나 웜처럼 복제능력도 없고 스스로 전파하지도 않는다. 공격자가 원격으로 사용자의 PC에 접속할 수 있도록 일종의 문을 만드는 역할을 하며 웹하드, 토렌트 등을 통해 불법파일을 다운로드 하면서 전파된다. 간혹 아주 멀쩡한 정품 프로그램에도 트로이목마가 포함되는데 이 경우 고객 몰래 마케팅조사를 하는데 트로이목마가 사용된다. 일부 악성 트로이목마는 동반자살을 시도하는 모습도 지녀 주의가 요구된다.


보안업계 관계자는 “악성코드를 분류하는 이유는 대응방법이 다르기 때문”이라며 “악성코드는 예방하는 것이 가장 최선인데 바이러스 백신, 안티 멀웨어 프로그램을 최신버전으로 유지하고 불법복제 소프트웨어의 다운로드를 피하는 것이 최선”이라고 말했다.