컴퓨터 악성코드 웜에 대해서
목차
컴퓨터 악성코드 웜의 개념
컴퓨터 웜은 인터넷 또는 네트워크를 통해 전파되며 스스로를 복제하는 악성 소프트웨어 컴퓨터 프로그램이다. 컴퓨터 바이러스와 비슷하다. 바이러스가 다른 실행 프로그램에 기생하여 실행되는 데 반해 웜은 독자적으로 실행되며 다른 실행 프로그램이 필요하지 않다. 웜은 종종 컴퓨터의 파일 전송 기능을 착취하도록 설계된다. 웜은 스스로를 증식하는 것이 목적이므로 파일 자체에 이런 기능이 존재하거나 운영체제에 자신을 감염시키곤 한다.
악성코드 웜의 분류
매스메일러형(MASS Mailer형) 웜
제목 없는 메일이나 특정 제목의 메일에 웜 자기 자신을 포함하여 대량 메일을 발송하여 확산시킨다.
전송 후에 사용자가 메일을 읽었을 때 감염된다.
매스메일러형(MASS MAiler형) 웜의 주요 특징과 증상
- 메일로 전파, 감염된 시스템이 많으면 SMTP 서버(TCP 25번 포트)의 네트워크 트래픽이 증가한다.
- 출처나 내용이 확인되지 않은 메일을 열었을 때 확산되는 경우가 많다.
- 베이글 웜은 웜 파일을 실행할 때 가짜 오류 메시지를 출력한다.
- 넷스카이 웜은 윈도우 시스템 디렉터리 밑에 CSRSS.exe 실행 파일을 만든다.
- 변형된 종류에 따라 시스템에 임의의 파일을 생성한다.
네트워크 공격형 웜
특정 네트워크나 시스템에 대해 SYN 플러딩이나 스머프(ping flooding)와 같은 서비스 거부(DoS) 공격을 수행한다.
분산 서비스 거부(DDoS) 공격을 위한 봇(bot) 형태로 발전하고 있으며, 주요 증상으로는 네트워크가 마비되거나 급격히 느려짐 또는 네트워크 장비가 비정상적으로 동작하거나 한다.
대표적인 네트워크 공격형 웜은 클레즈(Klez) 이 유형의 웜은 적은 수의 시스템이 감염되어도 파급 효과가 크므로 안정적인 네트워크 설계와 시스템 취약점에 대한 지속적인 패치 관리가 중요하다.
컴퓨터 웜(Computer Worm)
컴퓨터 웜(Computer Worm)은 스스로를 복제하는 컴퓨터 프로그램으로 컴퓨터 바이러스와 비슷함, 바이러스가 다른 실행 프로그램에 기생하여 실행되는데 반해 웜은 독자적으로 실행되며 다른 실행 프로그램이 필요하지 않으며, 웜은 종종 컴퓨터의 파일 전송 기능을 착취하도록 설계된다. 컴퓨터 바이러스와 웜의 중요한 차이점은 바이러스는 스스로 전달할 수 없지만 웜은 가능하다는 점이다.
웜은 네트워크를 사용하여 자신의 복사본을 전송할 수 있으며, 어떠한 중재 작업 없이 진행 가능하다. 일반적으로 웜은 네트워크를 손상시키고 대역폭을 잠식하지만, 바이러스는 컴퓨터의 파일을 감염시키거나 손상시킨다. 바이러스는 보통 네트워크에 영향을 주지 않으며 대상 컴퓨터에 대해서만 활동한다.
'웜'이라는 이름은 1975년에 출판한 존 브루너 (John Brunner)의 공상과학소설 《더 쇼크웨이브 라이더 The Shockwave Rider)》에서 차용되었는데 초기 분산 컴퓨팅 관련 실험에 대한 논문을 작성하던 연구자들은 그들의 소프트웨어와 브루너에 의해 묘사된 프로그램이 유사하다는 사실에 주목했고, 그래서 '웜'이라는 이름을 채택하였다.
웜은 1978년 제록스 파크(Xerox PARC)의 두 명의 연구자에 의해 최초로 구현되었고, 개발자인 존 쇼크(John Shoch)와 존 허프(Jon Hupp)는 원래 네트워크에서 놀고 있는 프로세서들을 찾아 그들에게 업무를 할당하고 연산처리를 공유하여 전체적인 네트워크의 효율을 높이 도록 웜을 설계하였다.
많은 주목을 받았던 최초의 웜은 당시 코넬 대학교의 대학원 학생이었던 로버트 터팬 모리스(Robert Tappan Morris)가 개발했던 모리스 웜인데 이 웜은 1988년 11월 2일에 배포되었는데, 그때 당시 인터넷에 연결된 수많은 컴퓨터들을 빠른 속도로 감염시켰고 이 웜은 BSD 유닉스와 그것으로부터 파생된 운영 체제 들의 많은 버그들을 통해 확산되었다.
웜은 자기 복제 이외에 많은 다른 일을 하도록 설계되는데 예를 들어 호스트 시스템에서 파일을 지우거나, 파일을 악의적 공격 목적으로 암호화 하거나, 이메일을 통해 문서를 보내는 등의 일을 한다.
최근의 웜은 다양한 곳으로 전달되며 실행파일을 첨부하기도 함, 그러나 웜은 그런 것들 없이 단지 자기 복제 과정에서 생성되는 네트워크 트래픽만으로도 피해를 줄 수 있다. 예를 들어 마이둠(Mydoom)같은 웜은 최대로 살포되면 세계 전역의 인터넷 속도를 현저하게 느려지게 된다.
일반적으로 웜에 수반되는 것은 감염된 컴퓨터에 백도어를 설치하는 것으로 소빅(Sobig)이나 마이둠 같은 웜이 그렇게 만든다. 이런 좀비 컴퓨터들은 대량의 스팸 메일을 보내거나 그들의 웹사이트 주소를 은폐하는 데 사용되고 스패머들이 그러한 웜에 대한 대가를 지불하고 있다고 여겨지며, 감염된 기계의 IP 주소 리스트를 판매하던 웜 개발자들이 붙잡히기도 한다.
다른 웜 개발자들은 회사를 서비스 거부(DoS) 공격을 한다는 공갈 협박을 시도하기도 하고 또한 백도어는 다른 웜에 의해 사용될 수도 있는데, 둠주스(Doomjuice) 같은 웜은 마이둠에 의해 설치된 백도어를 사용하여 자신을 확산시킨다.