맬웨어의 역사: 사이버 위협의 진화에 관한 입문서
2023년 11월 6일
9분 분량

"악성 소프트웨어"의 합성어인 맬웨어는 컴퓨터 시스템이나 사용자에게 해를 끼치도록 의도적으로 설계된 모든 소프트웨어, 코드 또는 컴퓨터 프로그램을 말합니다. 사실상 모든 최신 사이버 공격에는 일종의 맬웨어가 포함되어 있습니다. 이러한 유해한 프로그램은 매우 파괴적이고 비용이 많이 드는(랜섬웨어)부터 단순히 성가시지만 무해한 애드웨어까지 다양합니다.

매년(ibm.com 외부에 있음) 기업과 개인에 대한 수십억 건의 맬웨어 공격이 발생하고 있습니다. 맬웨어는 Windows, Mac, iPhone 및 Android를 포함한 모든 유형의 디바이스 또는 운영 체제를 감염시킬 수 있습니다.

사이버 범죄자는 다음과 같은 목적으로 악성 코드를 개발하고 사용합니다.

  • 기기, 데이터 또는 기업 네트워크를 인질로 삼아 거액의 금전 요구
  • 민감한 데이터 또는 디지털 자산에 대한 무단 액세스 확보
  • 로그인 자격 증명, 신용카드 번호, 지적 재산, 개인 식별 정보(PII) 또는 기타 중요한 정보 도용
  • 기업과 정부 기관이 의존하는 중요한 시스템 파괴

두 단어는 종종 같은 의미로 사용되지만 모든 유형의 맬웨어가 반드시 바이러스인 것은 아닙니다. 맬웨어는 다음과 같은 다양한 유형의 위협을 설명하는 포괄적인 용어입니다.

바이러스: 컴퓨터 바이러스는 링크 클릭, 첨부 파일 다운로드, 특정 애플리케이션 실행 또는 기타 다양한 작업을 통해 진행되며, 이러한 사람의 개입 없이는 복제할 수 없는 악성 프로그램을 말합니다.

웜: 웜은 기본적으로 자가 복제하는 바이러스로, 사람의 개입 없이도 다른 컴퓨터 시스템 깊숙이 터널을 파고들어 기기 사이를 이동하며 확산됩니다.

봇넷: '봇 허더'로 알려진 한 명의 공격자가 통제하는 감염된 컴퓨터의 네트워크가 한꺼번에 협력하여 작동하는 것을 말합니다.

랜섬웨어: 가장 위험한 맬웨어 유형 중 하나인 랜섬웨어 공격은 중요한 컴퓨터 시스템이나 민감한 데이터를 제어하여 사용자를 차단하고 액세스 권한을 다시 주는 대가로 비트코인과 같은 암호화폐로 엄청난 몸값을 요구합니다. 랜섬웨어는 오늘날 가장 위험한 유형의 사이버 위협 중 하나입니다. 

다중 갈취 랜섬웨어: 랜섬웨어 공격만으로는 만족하지 못한 공격자가 추가 피해를 입히거나 피해자가 항복하도록 압력을 가하기 위해 추가 계층을 추가합니다. 이중 갈취 랜섬웨어 공격의 경우, 맬웨어를 사용하여 피해자의 데이터를 암호화할 뿐만 아니라 고객 정보와 같은 민감한 파일을 유출하고 공격자는 이를 공개하겠다고 협박합니다. 삼중 갈취 공격은 더 나아가 중요한 시스템을 중단시키거나 피해자의 고객 또는 연락처로 치명적인 공격을 확대하는 위협을 가합니다. 

매크로 바이러스: 매크로는 일반적으로 간단한 작업을 빠르게 자동화하기 위해 더 큰 애플리케이션에 내장되는 명령 시리즈입니다. 매크로 바이러스는 사용자가 해당 프로그램을 열 때 실행되는 애플리케이션 파일에 악성 소프트웨어를 내장하여 프로그래밍 방식의 매크로를 이용합니다.

트로이 목마: 트로이 목마에서 이름을 따온 트로이 목마는 유용한 프로그램으로 위장하거나 합법적인 소프트웨어 안에 숨어 사용자를 속여 이를 설치하도록 유도합니다.

스파이웨어: 디지털 스파이 활동에서 흔히 사용되는 스파이웨어는 감염된 시스템 내에 숨어 민감한 정보를 몰래 수집하여 공격자에게 다시 전송합니다.

애드웨어: 대부분 무해한 것으로 간주되는 애드웨어는 일반적으로 무료 소프트웨어와 함께 번들로 제공되며 원치 않는 팝업이나 기타 광고로 사용자에게 스팸을 보냅니다. 그러나 일부 애드웨어는 개인 데이터를 수집하거나 웹 브라우저를 악성 웹 사이트로 리디렉션할 수 있습니다.

루트킷: 해커가 컴퓨터의 운영 체제 또는 기타 자산에 대한 관리자 수준의 액세스 권한을 얻을 수 있게 해주는 맬웨어 패키지의 일종입니다. 

멀웨어의 마일스톤

맬웨어의 양과 종류가 워낙 다양하기 때문에 맬웨어의 전체 이력을 파악하려면 상당히 긴 시간이 소요됩니다. 대신 맬웨어의 진화 과정에서 악명 높았던 몇 가지 순간을 살펴보겠습니다.

1966년: 이론적 맬웨어

최초의 현대식 컴퓨터가 개발되던 시절, 선구적인 수학자이자 맨해튼 프로젝트 기여자인 존 폰 노이만(John von Neumann)은 시스템 전반에 걸쳐 스스로 복제하고 확산할 수 있는 프로그램 개념을 개발하고 있었습니다. 1966년 사후에 출판된 그의 저서, 자기 복제 오토마타 이론(ibm.com 외부 링크)은 컴퓨터 바이러스의 이론적 토대가 되었습니다.

1971년: 크리퍼 웜

존 폰 노이만(John von Neumann)의 이론적 연구가 발표된 지 불과 5년 후, 밥 토마스(Bob Thomas)라는 프로그래머는 ARPANET(ibm.com 외부 링크) 상에서 컴퓨터 간 이동을 시도한 실험적 프로그램인 크리퍼(Creeper)를 개발했습니다. 이메일의 발명가로 알려진 그의 동료 레이 톰린슨(Ray Tomlinson)은 크리퍼 프로그램을 수정하여 컴퓨터 간 이동뿐만 아니라 스스로를 복제해 다른 컴퓨터로 복사되도록 했습니다. 그리하여 최초의 컴퓨터 웜이 탄생했습니다.

크리퍼가 최초로 알려진 웜 사례이기는 하지만, 실제로 멀웨어는 아닙니다. 크리퍼는 개념을 증명하기 위해 만들어졌기 때문에 악의적인 의도가 없으며 감염된 시스템에 손상을 주거나 방해하지 않았습니다. 대신 "I’M THE CREEPER : CATCH ME IF YOU CAN(내가 크리퍼다, 잡을 수 있다면 잡아봐라!)"라는 재치 있는 메시지만 남겼습니다. 이 도전에 응답하듯, 다음 해 톰린슨은 크리퍼를 삭제하기 위해 ARPANET을 이동하며 작동하는 최초의 안티바이러스 소프트웨어인 리퍼(Reaper)를 개발했습니다.

1982년: 엘크 클로너(Elk Cloner) 바이러스

리치 스크렌타(Rich Skrenta)가 15세에 개발한 엘크 클로너 프로그램은 장난삼아 만든 것이었습니다. 고등학교 컴퓨터 동아리 회원이었던 스크렌타는 친구들 사이에서 동아리 회원들이 공유하는 게임이나 기타 소프트웨어를 변형하는 장난으로 유명했으며, 그로 인해 많은 회원들이 그에게서 디스크를 받는 것을 꺼려했습니다.

직접 접근할 수 없는 디스크의 소프트웨어를 변경하기 위해 스크렌타는 Apple 컴퓨터를 대상으로 최초의 바이러스를 발명했습니다. 현재 부트 섹터 바이러스라고 부르는 엘크 클로너는 Apple DOS 3.3 운영 체제를 감염시켜 확산되었으며, 감염된 플로피 디스크에서 전송되면 컴퓨터의 메모리로 복사되었습니다. 나중에 감염되지 않은 디스크를 컴퓨터에 삽입하면 엘크 클로너는 해당 디스크에 스스로 복제되어 순식간에 스크렌타 친구들 사이에서 빠르게 확산되었습니다. 엘크 클로너는 악의적인 목적이 있으면서도 의도치 않게 우연히 일부 플로피 디스크를 덮어쓰고 삭제하는 상황을 초래할 수 있습니다. 또한 시적인 메시지도 포함되어 있습니다:

엘크 클로너:

개성 있는 프로그램

모든 디스크에 저장

칩에 침투합니다.

네, 클로너예요!


당신에게 끈질기게 붙어 있을 것입니다.

RAM도 수정할 것입니다.

클로너로 보내세요!

1986년: 브레인(Brain) 바이러스

크리퍼 웜은 ARPANET에서 컴퓨터 간 이동이 가능했지만, 인터넷이 널리 보급되기 전에는 대부분의 멀웨어가 엘크 클로너와 같이 플로피 디스크를 통해 전파되었습니다. 그러나 엘크 클로너의 영향은 한 작은 컴퓨터 동아리에만 국한되어 있었지만 브레인 바이러스는 전 세계로 퍼졌습니다.

파키스탄 의료 소프트웨어 유통업체이자 형제인 앰자드(Amjad)와 배시트 알비(Basit Farooq Alvi)가 만든 브레인은 IBM 개인용 컴퓨터의 한 최초의 바이러스로 간주되며, 처음에는 저작권 침해를 방지하기 위해 개발되었습니다. 이 바이러스는 사용자가 복사된 소프트웨어 버전을 사용하는 것을 방지하기 위해 설계되었습니다. 브레인이 설치되면, 사용자에게 해적 행위 중단을 위해 형제들에게 전화를 걸어 백신을 받도록 유도하는 메시지가 표시되었습니다. 해적 행위 문제의 심가성을 과소평가한 알비 형제는 미국에서 첫 번째 전화를 받았고, 그 후 세계 각지에서 수많은 전화를 받게 되었습니다.

1988년: 모리스 웜

모리스 웜(Morris Worm)은 악의적인 의도가 아닌 개념 증명용으로 만들어진 또 다른 멀웨어 선구자입니다. 불행히도 MIT 학생인 로버트 모리스(Robert Morris)에게 이 웜이 예상했던 것보다 훨씬 더 효과적이었습니다. 당시에는 약 60,000대의 컴퓨터만이 인터넷에 접속할 수 있었으며, 주로 대학과 군대에서 사용했습니다. Unix 시스템의 백도어를 악용하고 숨어 있도록 설계된 이 웜은 빠르게 확산되어 계속해서 복제돼 모든 네트워크 컴퓨터의 10%를 감염시켰습니다.

이 웜은 자신을 다른 컴퓨터로 복사할 뿐만 아니라 감염된 컴퓨터에서도 반복적으로 자신을 복제하기 때문에 의도치 않게 메모리를 소모하고 여러 대의 PC를 마비시켰습니다. 세계 최초의 광범위한 인터넷 사이버 공격인 이 사건으로 인해 수백만 명에 달하는 피해자가 발생했습니다. Robert Morris는 이 사건에 연루되어 미국에서 사이버 사기로 유죄 판결을 받은 최초의 사이버 범죄자입니다. 

1999년: 멀리사 웜(Melissa worm)

모리스 웜만큼 피해가 크지는 않았지만, 약 10년 후 멜리사(Melissa)는 이메일을 통해 멀웨어가 얼마나 빠르게 확산될 수 있는지 보여주며 약 100만 개의 이메일 계정과 최소 10만 대의 직장 컴퓨터를 감염시켰습니다. 당시로서는 가장 빠르게 확산된 웜으로, Microsoft Outlook 및 Microsoft Exchange 이메일 서버에 심각한 과부하가 발생하여 Microsoft, 미 국방부 컴퓨터 비상 대응팀, 약 250개의 추가 조직을 포함한 300개 이상의 기업 및 정부 기관에서 지연이 발생했습니다.

2000년: ILOVEYOU 바이러스 

필요는 발명의 어머니라는 말처럼, 필리핀에 거주하는 24세의 오넬 데 구스만(Onel de Guzman)은 전화 접속 인터넷 서비스를 이용할 수 없게 되자 다른 사람의 비밀번호를 훔칠 수 있는 매크로 바이러스 웜을 제작했습니다. 이로 인해 ILOVEYOU는 주목할 만한 최초의 멀웨어가 되었습니다. 이 공격은 소셜 엔지니어링피싱의 초기 사례입니다. 데 구스만은 심리학을 활용하여 사람들의 호기심을 자극하고 러브레터로 위장한 악성 이메일 첨부 파일을 다운로드하도록 사람들을 조종했습니다. "많은 사람들이 남자친구를 원하고, 서로를 원하고, 사랑을 원한다는 것을 알고 있었다"고 데 구즈만은 말했습니다. 

일단 감염되면 웜은 암호를 훔치는 것뿐만 아니라, 파일을 삭제하고 수백만 달러의 피해를 입혔으며 심지어 영국 의회의 컴퓨터 시스템을 잠시 중단시키기도 했습니다. 데 구스만은 붙잡혀 체포되었지만, 그가 실제로 현지 법률을 위반하지 않았기 때문에 모든 혐의가 기각되었습니다.

2004년: 마이둠(Mydoom) 웜

ILOVEYOU와 마찬가지로 마이둠 웜도 이메일을 사용하여 자가 복제해 전 세계 시스템을 감염시켰습니다. 한 번 뿌리를 내리면 마이둠은 피해자의 컴퓨터를 납치해 더 많은 복사본을 이메일로 보냅니다. 놀라울 정도로 효과적인 마이둠 스팸은 한때 전 세계에서 전송된 모든 이메일의 25%를 차지했으며, 이 기록은 한 번도 깨지지 않은 기록이고, 결과적으로 350억 달러의 피해를 입혔습니다. 인플레이션을 감안하면 여전히 지금까지 만들어진 멀웨어 중 가장 금전적으로 파괴적인 멀웨어입니다.

마이둠은 이메일 프로그램을 탈취해 가능한 한 많은 시스템을 감염시키는 것 외에도 감염된 컴퓨터를 사용하여 봇넷을 만들고 분산 서비스 거부(DDoS) 공격을 시작했습니다. 이 엄청난 영향력에도 불구하고 아직까지 마이둠 배후의 사이버 범죄자는 잡히지도 확인되지도 않았습니다. 

2007년: 제우스(Zeus) 바이러스

2007년에 처음 발견된 제우스는 피싱 및 드라이브 바이 다운로드를 통해 개인용 컴퓨터를 감염시켰으며 다양한 유형의 악성 소프트웨어를 전달할 수 있는 트로이 목마 스타일 바이러스의 위험한 잠재력을 보여주었습니다. 2011년에 소스 코드와 사용 설명서가 유출되어 사이버 보안 전문가와 해커 모두에게 귀중한 데이터를 제공했습니다.

2013: 크립토락커(CryptoLocker) 랜섬웨어 

첫 번째 랜섬웨어 사례 중 하나인 크립토락커는 빠른 확산과 강력한 비대칭 암호화 기능으로 유명합니다. 제우스 바이러스에 의해 포획된 악성 봇넷을 통해 배포되는 크립토락커는 감염된 PC의 데이터를 체계적으로 암호화합니다. 감염된 PC가 도서관이나 사무실과 같은 로컬 네트워크의 클라이언트인 경우 먼저 모든 공유 리소스가 타겟이 됩니다.

크립토락커 제작자는 이러한 암호화된 리소스에 대한 액세스를 복구해주는 대가로 당시 약 715달러 가치의 비트코인 두 개를 요구했습니다. 다행히 2014년 법무부는 국제 기관과 협력하여 악성 봇넷을 제어하고 인질 데이터를 무료로 해독할 수 있었습니다. 불행히도 크립토락커 프로그램은 기본적인 피싱 공격을 통해서도 퍼지며 여전히 지속적인 위협으로 남아 있습니다.

2014년: 이모텟 트로이 목마(Emotet trojan)

독일 정보보안국장인 아르네 쇤봄(Arne Schoenbohm)이 "멀웨어의 왕"이라고 불렀던 이모텟 트로이 목마는 다형성 멀웨어의 대표적인 사례로, 정보 보안 전문가가 완전히 근절하기 어렵운 사례입니다. 다형성 멀웨어는 복제될 때마다 자체 코드를 약간씩 변형하여 정확한 복사본이 아닌 똑같이 위험한 변종을 생성합니다. 사실, 다형성 트로이 목마는 멀웨어 방지 프로그램에서 식별하여 차단하기가 더 어렵기 때문에 더욱 위험합니다.

제우스 트로이 목마와 마찬가지로 이모텟은 다른 형태의 멀웨어를 전달하는 데 사용되는 모듈식 프로그램으로 지속되며, 기존 피싱 공격을 통해 공유되는 경우가 많습니다.

2016년: 미라이 봇넷(Mirai botnet) 

컴퓨터가 데스크톱에서 랩톱, 모바일 장치 및 수많은 네트워크 장치로 확장되면서 계속 발전함에 따라 멀웨어도 발전하고 있습니다. 사물인터넷이 발전하면서 스마트 IoT 기기는 광범위한 새로운 취약점을 동반하게 되었습니다. 대학생 파라스 자(Paras Jha)가 만든 미라이 봇넷은 보안이 취약한 IoT 기반 CCTV 카메라를 대량으로 찾아 장악했습니다.

처음에는 DoS 공격을 위해 게임 서버를 대상으로 설계된 미라이 봇넷은 자가 예상했던 것보다 훨씬 더 강력했습니다. 주요 DNS 제공업체를 겨냥한 이 회사는 거의 하루 동안 미국 동부 해안의 광범위한 지역을 인터넷에서 차단하는 데 성공했습니다.

2017년: 사이버 스파이 활동 

멀웨어는 이미 수년 전부터 사이버 전쟁에서 중요한 역할을 해왔지만, 2017년은 비교적 주목 받지 못했던 랜섬웨어 페트야(Petya)를 시작으로 국가 지원 사이버 공격과 가상 스파이 행위가 기승을 부린 한 해였습니다. 페트야 랜섬웨어는 위험하기는 했지만 피싱을 통해 퍼졌으며 특히 감염성이 높지 않았습니다. 그러나 낫페트야(NotPetya)가 웜으로 수정되면서 랜섬웨어처럼 보이지만 몸값을 지불하더라도 사용자 데이터를 파괴하는 프로그램이 되었습니다. 같은 해에 워너크라이(WannaCry) 랜섬웨어가 발생했습니다(ibm.com 외부 링크) 웜은 유럽, 특히 영국 국민보건서비스(NHS)의 주요 타깃을 공격했습니다. 

낫페트야는 페트야 바이러스를 조작해 우크라이나를 공격한 러시아 정보기관과 연계된 것으로 추정되며, 워너크라이는 북한 정부의 유사한 적대적 세력과 연계되어 있을 수 있습니다.ㅣ 이 두 가지 멀웨어 공격의 공통점은 무엇인가요? 둘 다 미국 국가안보국(National Security Agency)에 의해 처음 발견된 이터널블루(Eternalblue)라는 Microsoft Windows 익스플로잇에 의해 활성화되었습니다. Microsoft는 결국 익스플로잇을 직접 발견하고 패치했지만 해커가 취약점을 이용하기 전에 보고하지 않은 NSA를 비판했습니다.

2019년: 서비스형 랜섬웨어(RaaS)

최근 몇 년 동안 랜섬웨어 맬웨어는 급증하기도 하고 감소하기도 했습니다. 랜섬웨어 공격의 성공 사례는 줄어들고 있지만 해커들은 더 많은 유명 인물을 표적으로 삼고 더 큰 피해를 입히고 있습니다. 이제 서비스형 랜섬웨어는 최근 몇 년 동안 급부상하고 있는 골치 아픈 트렌드입니다. 다크 웹 마켓플레이스에서 제공되는 RaaS는 전문 해커가 수수료를 받고 랜섬웨어 공격을 수행하는 플러그 앤 플레이 프로토콜을 제공합니다. 이전의 맬웨어 공격에는 어느 정도의 고급 기술이 필요했지만, RaaS를 제공하는 용병 그룹은 악의적인 의도와 돈만 있으면 누구나 공격할 수 있습니다.

2021년: 비상사태

언론에서 주목한 첫 번째 이중 갈취 랜섬웨어 공격은 2019년에 발생했으며, 해커는 보안 인력 파견 기관인 Allied Universal에 침투하여 데이터를 암호화하는 동시에 도난당한 데이터를 온라인에 공개하겠다고 위협했습니다. 이 추가 계층으로 인해 Allied Universal이 파일을 해독하더라도 여전히 심각한 데이터 유출 피해를 겪게된다는 것을 의미했습니다. 이 공격은 주목할 만했지만, 2021년 콜로니얼 파이프라인(Colonial Pipeline) 공격은 암시된 위협의 심각성으로 인해 더욱 악명이 높습니다. 당시 콜로니얼 파이프라인은 미국 동부 휘발유와 제트 연료의 45%를 책임지고 있었습니다. 며칠 동안 지속된 이 공격은 동부 해안을 따라 공공 및 민간 부문 모두에 영향을 미쳤고 바이든 대통령은 임시 비상사태를 선포했습니다.

2022년: 국가 비상사태

랜섬웨어 공격은 감소하는 것처럼 보일 수 있지만, 고도로 표적화되고 효과적인 공격은 계속해서 끔찍한 위협적인 상황을 초래하고 있습니다. 2022년 코스타리카는 일련의 랜섬웨어 공격을 받았습니다(ibm.com 외부 링크). 먼저 재무부를 마비시키고 민간 수출입 사업에도 영향을 미칩니다. 그 후 발생한 공격으로 인해 국가의 의료 시스템이 오프라인 상태가 되어 잠재적으로 국가의 모든 시민에게 직접적인 영향을 미쳤습니다. 그 결과 코스타리카는 사이버 공격에 대응하여 국가 비상사태를 선포한 역사상 최초의 국가가 되었습니다.

 
작가
Josh Schneider Writer, IBM Blog