[Windows] 악성코드의 정의와 유형

 

안녕하세요. 주식회사 서버몬 입니다.

 

오늘은 악성코드에 대해서 알아보는 시간을 가져보겠습니다.

 

오래 전부터 PC를 사용함에 있어서 악성코드는 신경을 쓰지않을 수 없는 부분인데요.

최근에는 서버를 포함한 리눅스 환경, 모바일 환경에서도 다양한 악성코드들이 발견되어 많은 주의가 필요합니다.

 

오늘은 악성코드란 무엇이고 어떠한 유형들이 있는지 확인함으로써

악성코드로 인한 피해를 최소화할 수 있도록 대비하는데 도움이 되었으면 합니다.

 

 

악성코드란?

 

악성코드란 악의적인 목적으로 제작된 프로그램 및 그 구성요소들을 총칭하는 단어입니다.

 

컴퓨터가 등장하고 발전함에 따라, 1986년, 컴퓨터 바이러스인 브레인 바이러스가 최초로 발견되었습니다.

그 후 바이러스는 점점 진화하여 초기에 주로 행했던 파일감염 및 자기복제 기능뿐만 아니라,

다른 네트워크로의 전파 및 사용자 정보 유출 등 악성 행위를 다양하게 발전시켰습니다.

 

이에 전문가들은 바이러스를 악성행위의 종류 및 동작방식에 따라 다양한 종류로 분류하였으며,

이러한 여러 종류의 악성 프로그램들을 모두 ‘악성코드’라고 지칭하고 있습니다. 

 

해외에서는 악성코드(Malicious Code)라는 이름보다는 악성 프로그램(Malicious software)라는 용어가

더 흔하게 사용됩니다. 통상적으로는 Malware 라고 줄여서 씁니다.

 

국내에서도 악성코드 보다는 바이러스라는 단어가 일반적으로 먼저 사용되었고

이 후 악성코드라는 단어를 사용하게되었기 때문에 바이러스가 악성코드보다 넓은 의미를

가진 단어로 생각하는 경우가 있지만 실제로는 악성코드가 더 넓은 의미의 단어이며 그 유형 중에

바이러스도 포함된다고 보는게 맞습니다.

 

정리하면 바이러스를 포함한 악의적인 목적의 프로그램은 모두 악성코드라고 할 수 있습니다.

그럼 이제 악성코드는 어떤 유형들이 있는지 알아보겠습니다.

 

 

악성코드의 유형별 특징

 

- 바이러스 (Virus)
바이러스는 자신을 복제하여 다른 파일에 감염시키는 악성코드입니다.

주로 이메일 첨부 파일, USB 드라이브, 다운로드 파일 등을 통해 전파됩니다.

바이러스는 실행 파일을 변조하거나 시스템 리소스를 소모하여 시스템 성능을 저하시키는 특징이 있습니다.
감염 파일에서 다른 정상파일로의 자기 복제 기능을 가지고 있으나, 네트워크를 통한 복제 기능은 없습니다.

 

오랜 기간 동안 꾸준히 확인되는 Virut (Virtob) 바이러스가 대표적인 파일 바이러스 입니다.

 

- 웜 (Worm)
웜은 자기 전파 능력을 가지고 네트워크를 통해 스스로 전파하는 악성코드입니다.

이메일, 메시징 앱, 네트워크 취약점 등을 통해 빠르게 퍼지며,

다른 시스템에 침투하여 악의적인 작업을 수행합니다.

웜은 대역폭 소모, 시스템 다운 등의 문제를 야기할 수 있습니다.

웜은 감염시킬 대상이 존재하지 않아도, 스스로 실행될 수 있습니다.

자가복제 및 네트워크를 통한 전파도 가능합니다.

 

2017년에는 이 웜 기능을 가진 랜섬웨어인 워너크라이(WannaCry)/워너크립터(WannaCryptor)가

전 세계적으로 아주 많은 피해를 입혔던 사례가 있습니다.

 

- 트로이목마 (Trojan)
트로이목마는 유용한 기능을 가장한 악성코드로, 사용자가 실행하도록 유도하여 시스템에 침투합니다.

트로이목마는 사용자의 개인 정보를 수집하거나 원격으로 시스템을 제어하는 등의 악의적인 작업을 수행합니다.

최근 발생하는 대부분의 악성코드는 이 트로이목마 범주에 포함된다고 보시면 됩니다.

 

#트로이목마라는 명칭은 트로이 전쟁에서 그리스군이 트로이목마에 숨어서 트로이군의

성안으로 잠입한 후 승리한 작전에서 유례되었습니다.

 

- 랜섬웨어 (Ransomware)
랜섬웨어는 사용자의 파일을 암호화하고 복원을 위해 금전적 보상을 요구하는 악성코드입니다.

랜섬웨어는 주로 악의적인 링크를 클릭하거나, 피싱 이메일 첨부 파일을 실행함으로써 전파됩니다.

사용자는 파일에 접근할 수 없게 되며, 복원을 위해 보상금을 지불해야 할 수 있습니다.

 

금전적인 이득을 취할 수 있기 때문에 최근까지도 많은 해커들이 다양한 랜섬웨어를 만들어내고

여러가지 방법을 통해 감염을 유도하고 있으며 그에 따른 방어 솔루션들도 많이 개발되고 있습니다.

 

- 스파이웨어 (Spyware)
스파이웨어는 사용자의 웹 활동, 개인 정보, 패스워드, 클릭 등을 추적하고 수집하는 악성코드입니다.

주로 무분별한 다운로드나 악의적인 웹 사이트 방문으로 인해 시스템에 침투합니다.

스파이웨어는 사용자의 개인 정보를 탈취하거나 광고 수익을 얻기 위해 사용될 수 있습니다.

 

- 백도어(Backdoor)
백도어는 말 그대로 ‘뒷문’으로, 시스템 관리자가 일부러 열어놓은 시스템의 구멍입니다.

해커가 이미 장악한 PC의 다음 침입을 쉽게 하기 위해, 사용자가 모르는 침입 루트를 뚫어 놓은 것입니다.

 

 

- 키로거 (Keylogger)
키로거는 사용자가 키보드를 누를 때 입력된 모든 키를 기록하고, 이를 공격자에게 전송하는 악성코드입니다.

이는 사용자의 계정 정보, 비밀번호, 금융 정보 등을 탈취하기 위해 사용될 수 있습니다.

- 애드웨어(Adware)

애드웨어는 광고 프로그램입니다. 프로그램 자체는 악의적인 행위를 하지 않지만,

수시로 광고를 띄워 사용자들에게 불편함을 초래합니다. 

 

 

 

백신 탐지명에 대한 이해 (with ALYac)

 

현재는 윈도우에도 기본적으로 백신 기능이 탑재가 되어있고 국내에도 여러가지 좋은 백신들이

존재하기 때문에 개인, 기업의 대부분의 PC에는 백신이 설치, 사용되고 있다고 볼 수 있습니다.

 

사용 중인 백신에서 악성코드가 탐지되면 제일 먼저 탐지명을 확인할 수 있는데

이 탐지명이라는 것이 백신마다 제각각으로 부여되기 때문에 탐지명만으로는

내 PC에서 어떤 악성코드가 감염되었는지 알 수 없어서 더 불안한 경우가 많습니다.

 

그래서 이번 시간에는 국내 대표적인 백신 중 하나인 알약 백신에서 확인되는 탐지명을 기준으로

탐지명이 어떻게 구성되어있고 어떤 악성코드인지 예상할 수 있는 방법을 알아보도록 하겠습니다.

 

 

1. Trojan.Ransom.Filecoder

  - Trojan : 트로이목마 유형의 악성코드

                 트로이목마 유형이 많다보니 다른 백신에서도 tojan이 붙은 탐지명은 다수 확인할 수 있습니다.

  - Ransom : 랜섬웨어 종류의 악성코드

                     파일을 인질로 금전 요구를 하는 랜섬웨어 종류의 탐지명입니다.

  - Filecoder : 랜섬웨어의 이름, 또는 실제 악성행위

                      이 부분은 주로 해당 악성코드의 고유명칭이나 악성행위를 표기하는 탐지명입니다.

 

 

2. Spyware.Infostealer.Lumma

  - Spyware : 스파이웨어 유형의 악성코드

  - Infostealer : 계정 정보 등의 정보를 훔쳐가는 종류

  - Lumma : Lumma 라는 이름을 가진 악성코드

 

 

3. Trojan.Android.Banker

  - Trojan : 트로이목마 유형의 악성코드

  - Android : 안드로이드 환경에서 활동하는 악성코드

                    모바일 환경에서도 악성코드가 증가하고 있기 때문에 동작 환경이 탐지명에 포함되었습니다.

  - Banker : 모바일 은행앱을 노리는 악성코드

                   모바일에서도 은행 업무를 많이 사용하므로 해당 정보를 탈취하는 등의 악성코드가 많습니다.

 

 

4. Trojan.GenericKD.38943574

  - Trojan : 트로이목마 유형의 악성코드

  - GenericKD : 유사, 변종 악성코드의 유형

                         Generic, Gen 등이 붙을 경우 명확하지 않지만 유사, 변종 악성코드로 탐지되는 경우 입니다.

  - 38943574 : 해당 악성코드의 고유번호

 

    눈치가 빠른 분들은 아시겠지만 4번 탐지명의 경우 1~3번과는 다른 부분이 많습니다.

    알약의 경우 탐지력을 최대화 하기 위해 2개의 엔진을 사용하는데요.

    1~3번은 알약 자체 엔진인 테라 엔진의 탐지명이고 4번은 루마니아에서 개발된 비트디펜더 엔진의 탐지명입니다.

    비트디펜더 엔진은 국내외 여러 백신에 탑재되어 사용되며 그만큼 많은 악성코드 DB를 가지고 있는 것으로

    유명하지만 4번 탐지명과 같이 유사 악성코드들도 많고 그에 따른 오탐지도 발생빈도가 높은 편입니다.

    또한 외산 엔진으로 악성코드의 대한 분석이나 추가 지원이 쉽지 않다는 부분도 있습니다. 

 

 

마치며

오늘은 악성코드의 정의와 유형, 알약 백신의 탐지명 등을 알아보았습니다.

 

현재 악성코드가 서버나 모바일 등에서도 많이 확인되므로 PC환경에서만 조심하면 되는 상황이 아니기 때문에

이런 내용들을 알고 있다면 악성코드를 대비하거나 감염 시 대응하는 데에 도움이 될 것 같습니다.

 

추가로 저희 서버몬에서는 알약 PC 백신 및 서버, 리눅스 등 다양한 환경용 백신들을 취급하고 있으므로

백신의 도입이나 변경을 검토하시는 경우 하기 링크에서 참고해주시고 더 궁금한 부분이 있으실 경우

홈페이지를 참고하시어 언제든지 게시판, 메일, 유선 등으로 문의주시면 최대한 도움이 되어드릴 수 있도록 하겠습니다.   

 

읽어주신 모든 분들께 감사드리며 항상 좀 더 유용한 주제로 손쉽게 정리된 내용을 보여드릴 수 있도록 노력하겠습니다.

 

이상 [많은 분들께 도움이 되고 싶은 몬스터!!!] 서버몬이었습니다. 감사합니다.

 

 

 

※ 본문 내 이미지 및 썸네일 원본 출처 : 이스트시큐리티 알약 블로그 - https://blog.alyac.co.kr/

 

 

 

 

1u서버 / APC / DB / defog / DEFOG랙 / dell5820 / dell5820t / dell7920 / dellpoweredge / dellr240 / dellr340 / dellr350 / dellr450 / dellr540 / dellr630 / dellr640 / dellr740 / dellr750 / dellserver / dellt40 / dellt440 / dellt5820 / dell서버 / DELL서버CPU / DELL서버RAID컨트롤러 / DELL서버SAS하드디스크 / DELL서버가격비교 / DELL서버가격비교견적 / DELL서버견적 / DELL서버구매 / DELL서버디스크교체 / DELL서버메모리 / DELL서버펌웨어 / DELL서버하드디스크구매 / dell워크스테이션 / dl20 / dl20gen10 / dl360 / dl360gen10 / dl380 / dl380g10 / dl380gen10 / ECC메모리 / EDFOG랙가격 / ESTSOFT / FIRMWARE / gpu서버 / gpu타워형서버 / HA솔루션 / hpdl20 / hpdl360 / hpdl360gen10 / hpdl380 / hpdl380g10 / HPE / HPE Service Pack for Proliant / HPE SPP / hpedl20 / hpedl20gen10 / hpedl360gen10 / hpe서버 / HPE서버CPU / HPE서버RAID컨트롤러 / HPE서버SAS하드디스크 / HPE서버가격비교 / HPE서버가격비교견적 / HPE서버견적 / HPE서버구매 / HPE서버드라이버설치 / HPE서버디스크교체 / HPE서버메모리 / HPE서버비용 / HPE서버펌웨어 / HPE서버하드디스크구매 / hpgen10 / hpml30 / hpserver / hpz2 / hpz4 / hpz420 / hpz440 / hpz4g4 / hpz640 / hpz6g4 / hpz8g4 / hp마이크로서버 / hp서버 / hp서버800 / hp서버800w / hp서버cto / hp서버pc / HP서버메모리 / hp서버컴퓨터 / HP서버펌웨어 / HP서버하드디스크 / hp워크스테이션 / hp프로라이언트 / HYPER BACKUP / ibm서버 / Intelligent Provisioning / KVM / KVM 기술지원비(비용) / KVM 설치비 / L2스위치 / L3스위치 / LENONO서버SAS하드디스크 / lenovop620 / lenovor650 / LENOVO서버 / LENOVO서버CPU / LENOVO서버RAID컨트롤러 / LENOVO서버가격비교 / LENOVO서버가격비교견적 / LENOVO서버견적 / LENOVO서버구매 / LENOVO서버디스크교체 / LENOVO서버메모리 / LENOVO서버하드디스크구매 / LENOVO펌웨어업데이트 / Linux / ML30 / ml30gen10 / ML350GEN10 / ML360 / MSSQL / MSSQL 기술지원비(비용) / MSSQL 설치비 / MYSQL / MySQL 기술지원비(비용) / MySQL 설치비 / OS설치 / p17079-b21 / poweredger740 / poweredger750 / precision5820 / QUADRO / QUADRO그래픽카드 / r240 / r340 / r440 / r740 / RHEL설치 / RMS랙 / server / serverpc / SOPHOS / SPP / sr250 / sr650 / SYNOLOGY / SYNOLOGY나스 / UPS / UPS기술지원 / UPS납품 / UPS설치 / V3 / Windows서버설치 / z420 / z620 / z840 / z8g4 / 기술지원비(비용) / 나스기술지원 / 나스설치지원 / 네트워크스위치 / 네트워크장비 / 더블테이크 / 데이터베이스 / 델5820 / 델서버 / 델서버비용 / 델서버펌웨어업데이트 / 델워크스테이션 / 델컴퓨터워크스테이션 / 디포그 / 디포그랙 / 디포그랙가격 / 딥러닝pc / 딥러닝서버 / 랙 / 랙(RACK) 기술지원비(비용) / 랙(RACK) 설치비 / 랙납품설치 / 랙설치 / 레노버p620 / 레노버서버 / 레노버워크스테이션 / 레노보서버 / 레노보서버펌웨어 / 레드헷설치 / 리눅스 기술지원비(비용) / 리눅스 설치비 / 리눅스서버 / 리눅스서버설치 / 리눅스서버트러블슈팅 / 리눅스트러블슈팅 / 리욱스 / 미니서버 / 미니서버랙 / 방화벽 / 방화벽 기술지원비(비용) / 방화벽 설치비 / 방화벽엔지니어 / 백업 / 보안솔루션 / 보안솔루션구매 / 보안솔루션설치 / 서버 / 서버 기술지원비(비용) / 서버 랙마운트비용 / 서버 설치비 / 서버 장애조치비용 / 서버CPU / 서버MEMORY / 서버OS설치 / 서버pc / 서버가격 / 서버구매 / 서버기술지원 / 서버납품 / 서버디스크장애처리 / 서버랙 / 서버렉마운트 / 서버메모리 / 서버몬 / 서버몬기술지원 / 서버백업 / 서버보안 / 서버엔지니어 / 서버용pc / 서버용그래픽카드 / 서버용메모리 / 서버용컴퓨터 / 서버용하드디스크 / 서버컴 / 서버컴퓨터 / 서버트러블슈팅 / 서버호스팅 / 소포스 / 스위치 / 스위치 기술지원비(비용) / 스위치 설치비 / 스토리지 / 스토리지 기술지원비(비용) / 스토리지 랙마운트비용 / 스토리지 설치비 / 스토리지 장애조치비용 / 스토리지납품설치 / 스토리지서버 / 시놀로지DS918 / 시놀로지HyperBackup / 시놀로지나스 / 시놀로지나스백업 / 시놀로지하이퍼백업 / 시큐어디스크 / 안랩 / 알약 / 왼도우서버설치 / 우분투설치 / 워크스테이션 / 워크스테이션pc / 워크스테이션컴퓨터 / 윈도우서버 / 윈도우서버2016 / 윈도우서버2019 / 윈도우서버트러블슈팅 / 윈도우즈 기술지원비(비용) / 윈도우즈 설치비 / 이스트소프트 / 이중화솔루션 / 이중화솔루션구매 / 이중화솔루션설치 / 인터넷디스크 / 작업장컴퓨터 / 제온서버 / 젠서버 / 중고서버 / 중고워크스테이션 / 카보나이트 / 카스퍼스키 / 컴퓨터서버 / 쿼드로P400 / 타워형서버 / 페도라설치 / 프로라이언트 / GPU서버 / 미니서버렉 / 서버용PC / 젠서버 / AI서버 / 제온서버 / 서버가격 / 1U서버 / HPDL20Gen10 / HP서버8SFF800W / 가상서버 / 타워형서버 / HPDL360 / HPDL380Gen10 / 컴퓨터서버 / 미디어서버 / 타워서버 / DB서버 / HP서버580 / HP서버파워 / HPDL360Gen10 / 윈도우서버컴퓨터 / XEON서버 / 881457-B21