안철수硏 '시큐리티 페어'로 본 보안 용어풀이

'웜바이러스'는 원래 없는 말이다.

웜과 바이러스는 엄연히 다른 것이지만 많은 사람들은 두 단어를 붙여 쓴다.

무엇이 웜인지, 무엇이 바이러스인지 구분하는 것도 쉽지 않다.

스파이웨어, 웜, 봇, 피싱, 파밍, 제로데이 공격 등의 말도 마찬가지다.

최근 컴퓨터 보안 위협이 급증하면서 이들 보안용어가 흔해졌지만 용어를 제대로 쓰기란 어렵다.

하지만 지난 8일 열린 안철수연구소의 보안 컨퍼런스 '시큐리티 페어 2007'은 보안용어에 대한 궁금증을 해소해주는 계기였다.

안연구소는 이번 행사에서 보안 위협에 관련한 모든 용어와 최신 보안 위협 트렌드를 일반인들도 알기 쉽게 설명했다.

사용자 참여형 온라인 보안 서비스 '빛자루', 콘텐츠 보안과 네트워크 보안의 통합 제품인 '트러스가드 UTM' 등을 잇따라 선보이고 있는 안연구소의 보안 특별 강연을 정리해봤다.

◆악성코드의 구분-바이러스, 웜, 트로이목마

지금 미국에서 전문 경영인 과정을 밟고 있는 안철수 박사(현 안철수연구소 이사회 의장)가 19년 전 V3를 세상에 선보이면서 알려진 컴퓨터 바이러스는 컴퓨터 안의 실행 프로그램(숙주)의 일부를 변형해 그 안에 자신을 복제하는 프로그램이다.

바이러스를 여타 악성코드와 구분짓는 기준은 감염시킬 대상으로서 실행 프로그램이 있다는 것이다.

따라서 바이러스는 사용자의 실행 파일을 작동하지 못하게 한다.

반면 웜은 감염 대상 프로그램 없이 네트워크를 통해 자기 자신을 다른 컴퓨터에 복제하기 때문에 많은 PC를 동시에 감염시키고 네트워크를 마비시킬 수 있다.

트로이목마는 말 그대로 몰래 컴퓨터 안으로 숨어들어가 사용자가 모르게 동작하는 것으로 복제 기능은 없다.

최근 들어 개인정보 유출에 가장 많이 사용되고 있다.

기본적인 분류는 이렇지만 최근에는 1개의 악성코드가 여러 기능을 가지고 있어서 이름이 많다.

◆IRC 봇, DDoS 공격

최근 2~3년 동안 악명을 떨치고 있는 IRC 봇은 IRC라는 공개 소스 채팅 프로그램을 기반으로 만들어진 것이다.

IRC 서버에 방을 만들고 여기에 좀비 PC가 들어오면 명령을 내리는 구조를 갖고 있다.

그림 1처럼 IRC 서버와 좀비 PC, 공격 대상 PC가 있는 상황을 보자. IRC 봇에 감염된 PC들은 IRC 서버 연결 후 봇마스터의 명령을 기다린다.

이때 감염된 PC들은 좀비처럼 봇마스터의 명령을 그대로 따른다는 의미에서 좀비 PC라 불린다.

봇마스터의 명령에 따라 좀비 PC는 대상 PC를 공격하는데 이때 봇은 공격 대상 PC들의 보안 취약점을 이용해 자신을 그대로 복제한다.

결국 이 PC는 다시 좀비 PC가 돼 IRC 서버에 연결되고 봇마스터의 명령을 기다리는 악순환에 빠진다.

이 IRC 봇들은 계속해서 감염시킬 대상을 찾으면서 네트워크에 엄청난 트래픽을 유발해 기업 전산망을 마비시킨다.

한편 DDos 공격(분산서비스 거부 공격)은 네트워크에 데이터 패킷을 폭주시켜 시스템을 마비시키는 공격 기법을 말한다.

그림 2는 서버와 클라이언트에서 데이터가 교환되는 과정을 알아야 이해할 수 있다.

송신자는 수신자 호스트에 연결 맺기를 요청하는 SYN 패킷을 보낸다.

수신자는 SYN 패킷을 잘 받았다는 의미에서 ACK 패킷을 송신자에게 보내고 동시에 연결 맺기를 요청하는 SYN 패킷을 송신자에게 보낸다.

이에 송신자는 수신자의 SYN 패킷을 잘 받았다는 의미에서 ACK 패킷을 수신자에게 보낸다.

이것이 정상적인 서버와 클라이언트 간 데이터 교환 과정이다.

그런데 이때 송신자가 수신자가 뭘 보내든 상관하지 않고 SYN 패킷만 보내면 수신자의 리소스가 꽉 차서 더 이상 연결이 불가능해진다.

이른바 시스템이 '맛'이 가는 것이다.

DDos 공격은 앞서 설명한 IRC 봇을 동반해 전방위로 공격을 펼쳐 오기 때문에 막을 방법이 현재로서는 없다.

◆스파이웨어

스파이웨어는 이용자의 동의 없이 혹은 동의를 받은 것처럼 꾸며 설치된 후 사용자의 PC 통제 권한을 빼앗아가는 프로그램을 지칭한다.

다시 말해 내가 쓰는 PC의 시스템 설정이나 여러 프로그램들을 내 의지와는 무관하게 바꿔 버리는 기능을 갖고 있다.

정보통신망 이용 촉진 및 정보보호 등에 관한 법률에서는 스파이웨어를 사용자 몰래 설치돼 △웹브라우저의 홈페이지 설정이나 검색 설정을 변경 또는 시스템 설정을 변경하는 행위 △정상 프로그램의 운영을 방해, 중지 또는 삭제하는 행위 등을 하는 프로그램을 지칭하고 있다.

하지만 이는 가이드라인일 뿐 법제화가 돼 있지 않다.

정보통신망법은 정보통신 시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조 또는 그 운영을 방해할 수 있는 프로그램을 제작 유포한 자를 5년 이하의 징역 혹은 5000만원 이하의 벌금형에 처할 수 있게 한 반면 스파이웨어는 명확한 기준이 없기 때문이다.

최근에는 스파이웨어를 잡아준다며 있지도 않은 스파이웨어를 진단하고 사용자에게 결제를 요구하는 '허위 안티스파이웨어'가 오히려 스파이웨어처럼 활개를 치고 있다.

◆사회공학, 피싱과 파밍

사회공학적 방법을 통한 공격이란 말이 보안업계에서 종종 쓰인다.

사회공학적 방법이란 사람이 가지고 있는 '심리적인' 보안 취약점을 이용해 공격하는 방법을 말한다.

예를 들면 인기 여성 연예인의 누드가 있다는 식으로 남성 사용자를 낚아채 악성 사이트로 유도하는 경우가 대표적이다.

최근 은행 등 금융권의 정보성 메일을 가장해 가짜 사이트로 유도하는 피싱(phishing=fishing+private data) 역시 사회공학을 이용한 대표적인 공격 방법이다.

피싱과는 다르지만 좀 더 교묘한 수법인 파밍도 있다.

파밍은 사용자가 www. 로 시작하는 정확한 주소를 입력해도 가짜 사이트로 유도하는 방법을 쓴다.

도메인 네임을 IP 주소로 변환하는 과정에서 호스트 파일을 조작하거나 DNS 서버를 교란시키면 사용자는 속수무책으로 엉뚱한 사이트로 끌려갈 수밖에 없는 것이다.

◆보안 위협도 컨버전스 시대

안연구소는 이번 세미나에서 향후 보안 공격은 위에 설명한 모든 것이 복합적으로 작용하는 통합 공격이 대세가 된다고 밝혔다.

실제로 지난 2월 중국에서 일어난 것으로 추정되는 해킹에서는 웹해킹,MS 보안 취약점 등 여러 기법을 동원해 62만대의 PC를 공격, 9만2000여대의 PC를 감염시킨 바 있다(그림 3).

또한 스파이웨어와 피싱이 결합한 스파이피싱,트로이목마와 스팸의 결합, 스파이웨어와 웜의 결합 등 현존하는 모든 보안 위협이 컨버전스(융합)하고 있는 실정이다.

안연구소는 이를 위해 전통적으로 바이러스, 스파이웨어, 스팸 등을 잡아주는 콘텐츠 보안 제품(V3 등)과 IPS(침입방지 시스템), 방화벽 등 네트워크 보안 제품을 통합한 제품을 세미나와 함께 선보였다.

첨단 IT 분야의 컨버전스 추세에는 경계가 없는 실정이다.

이해성 기자 ihs@hankyung.com