내 컴퓨터에 악성코드가 들어온 날
"어느 날 갑자기 노트북이 말썽이다. 요즘 랜섬웨어다 뭐다 하면서 내 업무 파일을 못쓰게 만든다는데 걱정이다. 큰 문제는 없겠지? 내 노트북은 불법 프로그램도 없고 백신도 매일 업데이트한다. 악성코드가 원인은 아닐테지만 일단 내 컴퓨터가 왜 느려졌는지 확인해봐야겠다." |
 |
백신 프로그램들은 악성코드를 탐지하고 제거하는 기능뿐만 아니라 컴퓨터의 성능을 최적의 상태로 유지하는 기능까지 포함하고 있다. 보안 전문가들은 백신 프로그램을 사용할 때 가능한 한 자주 업데이트하라고 조언한다. 여기서 말하는 업데이트란 악성코드를 탐지하는 패턴을 업데이트하는 것을 말하며, 하루에도 수 백, 수 천만 개가 생성되는 악성코드로부터 우리 컴퓨터를 보호해주는 중요한 행위이니 업데이트는 필수사항이다.
그렇다면 업데이트만 하면 되는 걸까? 악성코드는 왜 이렇게 많이 나오는 걸까?
🚨 2019년 하반기부터 2020년 상반기까지 1년간 약 76억 회의 악성코드 위협이 발생했다.
- McAfee, LCC 미국 보안 회사 맥아피 -
이 수치는 1분에 약 200회의 사이버 보안 위협이 발생하는 수치이다. 악성코드는 '프로그램' 이나 그 프로그램의 일부 '코드'를 의미한다. 프로그램을 만들 줄 안다면 반대로 악성코드도 만들 수 있다는 뜻이다. 그럼 전 세계 프로그래머들은 몇 명일까?
🧠 전 세계 소프트웨어 개발자의 수가 2019년 말까지 최소 21만명, 2030년까지는 45만 명에 이를 것이다. - "The global developer population 2019" SlashData Ltd. - 이 많은 프로그래머 중 일부가 악성코드를 만든다면, 그리고 음지에서 범죄를 위해 남몰래 활동 중인 개발자까지 포함한다면 하루에 얼마나 많은 수의 악성코드가 생성되고, 사이버 공격이 감행될 가능성이 있는지 짐작할 수 있을 것이다.
🗂️ 기억에 도움이 되는 악성코드 통로 분류법
그렇다면 이렇게 많은 악성코드들이 어떻게 우리 컴퓨터로 들어올 수 있을지 잠시 생각해보자.
악성코드의 통로는 대표적으로 다섯가지로 구분된다.
[1] 이메일 (메세지)
가장 많이 사용하는 소통방식이 바로 이메일이다. 또한 모든 메신저류 (휴대폰 문자 서비스, 온라인 메신저 서비스 등)도 해당된다.
[2] 온라인 게시물
과거 온라인 사이트들은 광고를 노출하여 수익을 얻기 위해 불건전한 광고들을 많이 게재해왔다. 그 뿐만 아니라 불법 소프트웨어를 무분별하게 공유하는 일도 비일비재했다. 당시 소프트웨어에 대해 사회적으로 잘못된 인식이 만연했고, 현재까지도 이어져 아직도 그릇된 인식이 일부 남아있다.
[3] 파일 공유 서비스
과거에서부터 현재까지 웹 하드나 P2P 파일 공유 프로그램들을 통해 음원, 영상, 프로그램 등 불법 저작물들이 끊임없이 유통되고 있다. 하지만 아직도 이에 대응하기란 쉽지 않고, 불법 저작물과 함께 악성코드도 여전히 유포되고 있다.
[4] 소프트웨어 업데이트
악성코드는 어떻게든 당신의 컴퓨터에서 실행되어 본연의 악성 행위를 일으켜야 우리에게 피해를 줄 수 있다. 이전에 언급한 이메일과 온라인 게시물, 파일 공유 서비스 등을 통해 당신의 컴퓨터에 저장된 악성코드는 직접 실행되기 전까지는 아직 위험한 상태가 아니다. 하지만 다운로드하자마자 자동으로 실행된다면 어떨까? 많은 악성코드들이 스스로 업데이트하는 기능을 포함하고 있다. 이 악성코드가 골치 아픈 이유는 아직 보안 제품에 탐지되지 않은 또 다른 악성코드가 다운로드 될 수 있도록 전용 핫라인 역할을 한다는 점이다. 또한 일반 소프트웨어의 업데이트 기능 역시 안심할 수 없다. 만약 소프트웨어 회사의 서버가 사이버 공격자로 인해 장악된다면, 사용자의 컴퓨터는 악성코드 감염에 노출될 수 있다. [5] 시스템 장악 (Direct)
해커가 당신의 컴퓨터를 장악하기 위해 공격할 이유가 무엇일까? 단순히 컴퓨터 안에 중요한 자료가 없다고 해서 안심하면 곤란하다. 여기서 사이버 범죄자가 범죄 행위를 시도하는 의도와 행동양식을 파악해 볼 필요가 있다. 보안사고가 발생하면 해커는 우선 실제 범죄자를 찾을 수 없도록 자신의 위치를 숨기려 할 것이다. 즉, 중간에서 공격을 중계할 컴퓨터를 마련할 필요성이 생긴다. 실제 보안 사고가 발생했을 때 최초 공격 위치를 추적해보면, 의외로 엉뚱하게 관련 없는 시스템이나 개인의 컴퓨터가 나오는 경우가 더러 있다. 대표적인 예로 DDoS 공격을 들 수 있다.
 |
🥊 여기서 DDoS 공격이란? 악성코드에 감염된 수 많은 컴퓨터가 예를 들어, 동시 1,000명까지 접속할 수 있는 서버 컴퓨터에 일시적으로 1,000회 이상의 고의적 연결을 통해서 정상적인 사용자가 연결을 할 수 없도록 만드는 공격이다. 업계에서는 이를 '분산 서비스 거부 공격'이라고 부른다. 당신도 모르는 사이 'DDoS' 공격에 가담했다! 해커들은 당신의 컴퓨터에 중요한 파일이 있건 말건 관심이 없다. 많은 악성코드들이 원격제어 기능을 포함하고 있기 때문에 DDoS 공격이 가능하다. 다만 그 DDoS 공격이 높은 파괴력을 가지려면 보안이 허술한 컴퓨터가 되도록 많아야 한다. 네트워크 연결만 된다면 컴퓨터가 30년 전의 오래된 컴퓨터라도 상관없다. |
|
왜 통로인가?
악성코드를 분류하는 방법은 정해져 있지 않다. "악성코드 분류"를 검색해보면 virus, worm, trojan, PUP 등이 소개된다. 사용자나 고객의 입장에서는 전문용어가 어렵게 느껴지지만, 악성코드가 사용자의 컴퓨터에 들어오는 통로를 기준으로 분류하여 각 통로를 개별 관리할 수 있다면, 사용자 컴퓨터의 보안을 더욱 효율적으로 강화하는데 큰 도움이 될 것이다.
열 번 찍어 감염시켰다?
악성코드에 감염되는 경로는 사람마다 시스템마다 제각기 다르다. 우리는 '애초에 악성코드가 어떻게 내 컴퓨터에 들어올 수 있었을까?'를 늘 생각해봐야 한다. 감염이 되기 이전에 어떻게든 내 컴퓨터에 악성코드가 존재해야 감염이 되지 않겠는가? 사이버 범죄자들은 심리적 전술에 능한 사람들이다. 그리고 그들은 '어떻게 하면 사람들이 의심 없이 악성코드를 실행하게 할 수 있을까?'를 오랫동안 연구해왔다. 각 악성코드 통로로부터 얼마나 자주 악성코드가 발생하는지 그 빈도를 살펴본다면, 당신이 컴퓨터 보안을 위해 어떻게 대응해야 할지 답을 얻을 수 있을 것이다.
