Malware는 "악성 소프트웨어"의 합성어로서 컴퓨터 시스템이나 그 사용자에게 해를 끼치도록 의도적으로 설계된 모든 소프트웨어, 코드 또는 컴퓨터 프로그램을 의미합니다. 거의 모든 현대 사이버 공격 일종의 악성 코드가 포함되어 있습니다. 이러한 유해한 프로그램의 심각도는 매우 파괴적이고 비용이 많이 드는 프로그램(랜섬) 단순히 짜증나지만 그렇지 않으면 무해합니다(애드웨어).

매년, 기업과 개인에 대한 수십억 건의 맬웨어 공격이 있습니다. 맬웨어는 Windows, Mac, iPhone 및 Android를 포함한 모든 유형의 장치 또는 운영 체제를 감염시킬 수 있습니다.

사이버 범죄자는 다음과 같은 목적으로 악성 코드를 개발하고 사용합니다.

• 막대한 돈을 위해 장치, 데이터 또는 기업 네트워크를 인질로 잡아라
• 민감한 데이터 또는 디지털 자산에 대한 무단 액세스 획득
• 로그인 자격 증명, 신용 카드 번호, 지적 재산, 개인 식별 정보 (PII) 또는 기타 귀중한 정보
• 기업과 정부 기관이 의존하는 중요한 시스템을 중단하세요.

단어는 종종 같은 의미로 사용되지만 모든 유형의 맬웨어가 반드시 바이러스인 것은 아닙니다. 악성 코드는 다음과 같은 다양한 유형의 위협을 설명하는 포괄적인 용어입니다.

바이러스 : 컴퓨터 바이러스는 링크 클릭, 첨부 파일 다운로드, 특정 응용 프로그램 실행 또는 기타 다양한 작업을 통해 인간의 상호 작용 없이는 복제할 수 없는 악성 프로그램으로 정의됩니다.

회충: 기본적으로 자가 복제 바이러스인 웜은 확산되기 위해 인간의 상호 작용이 필요하지 않으며, 다른 컴퓨터 시스템에 깊숙이 터널을 파고 장치 간에 이동합니다.

봇넷 : "봇 허더(bot-herder)"로 알려진 단일 공격자가 제어하는 ​​감염된 컴퓨터 네트워크가 함께 협력합니다.

Ransomware : 가장 위험한 유형의 맬웨어 중 하나인 랜섬웨어 공격은 중요한 컴퓨터 시스템이나 민감한 데이터를 제어하여 사용자를 차단하고 액세스 권한을 다시 얻는 대가로 비트코인과 같은 암호화폐로 엄청난 몸값을 요구합니다. 랜섬웨어는 오늘날 가장 위험한 유형의 사이버 위협 중 하나로 남아 있습니다. 

다중 갈취 랜섬웨어: 랜섬웨어 공격이 충분히 위협적이지 않은 것처럼 다중 강탈 랜섬웨어는 추가 계층을 추가하여 추가 피해를 입히거나 피해자가 항복하도록 추가 압력을 가합니다. 이중 강탈 랜섬웨어 공격의 경우 악성 코드는 피해자의 데이터를 암호화할 뿐만 아니라 고객 정보와 같은 민감한 파일을 유출하는 데 사용되며 공격자는 이를 공개적으로 공개하겠다고 위협합니다. 삼중 강탈 공격은 더욱 심화되어 중요한 시스템을 방해하거나 파괴적인 공격을 피해자의 고객이나 연락처로 확장하는 위협을 가집니다. 

매크로 바이러스: 매크로는 일반적으로 간단한 작업을 신속하게 자동화하기 위해 대규모 응용 프로그램에 내장된 명령 시리즈입니다. 매크로 바이러스는 사용자가 해당 프로그램을 열 때 실행되는 응용 프로그램 파일에 악성 소프트웨어를 내장하여 프로그래밍 방식의 매크로를 활용합니다.

트로이 목마: 유명한 트로이 목마의 이름을 딴 트로이 목마는 자신을 유용한 프로그램으로 위장하거나 합법적인 소프트웨어 내에 숨어 사용자를 속여 설치하도록 합니다.

스파이웨어 : 디지털 스파이 활동에서 흔히 볼 수 있는 스파이웨어는 감염된 시스템 내에 숨어 민감한 정보를 비밀리에 수집하여 공격자에게 다시 전송합니다.

애드웨어 : 대부분 무해한 것으로 간주되는 애드웨어는 일반적으로 무료 소프트웨어와 함께 번들로 발견되며 원치 않는 팝업이나 기타 광고를 통해 사용자에게 스팸을 보냅니다. 그러나 일부 애드웨어는 개인 데이터를 수집하거나 웹 브라우저를 악성 웹 사이트로 리디렉션할 수 있습니다.

루트킷 : 해커가 컴퓨터 운영 체제나 기타 자산에 대한 관리자 수준의 권한 있는 액세스 권한을 얻을 수 있도록 하는 악성 프로그램 패키지 유형입니다. 

악성코드의 이정표 

엄청난 양과 다양성으로 인해 맬웨어의 전체 기록은 상당히 길 것입니다. 대신 악성 코드의 진화 과정에서 악명 높은 몇 가지 순간을 살펴보겠습니다.

1966년: 이론상의 악성코드

최초의 현대식 컴퓨터가 만들어지면서 선구적인 수학자이자 맨해튼 프로젝트 기고자인 존 폰 노이만(John von Neumann)은 시스템 전체에 걸쳐 스스로 재생산하고 확산할 수 있는 프로그램의 개념을 개발하고 있었습니다. 그의 작품은 1966년 사후에 출판되었다. 자기 재생산 오토마타 이론, 컴퓨터 바이러스의 이론적 기초가 됩니다.

1971: 크리퍼 웜

존 폰 노이만의 이론 작업이 출판된 지 불과 XNUMX년 만에 밥 토마스라는 프로그래머가 크리퍼(Creeper)라는 실험 프로그램을 만들었습니다. ARPANET, 현대 인터넷의 선구자. 이메일의 창시자로 여겨지는 그의 동료 Ray Tomlinson은 Creeper 프로그램을 수정하여 컴퓨터 사이를 이동할 뿐만 아니라 컴퓨터 간에 자신을 복사할 수도 있도록 했습니다. 그리하여 최초의 컴퓨터 웜이 탄생했습니다.

Creeper는 최초로 알려진 웜의 예이지만 실제로는 악성 코드는 아닙니다. 개념 증명으로 Creeper는 악의적인 의도로 제작되지 않았으며 감염된 시스템을 손상시키거나 중단시키지 않았습니다. 대신 "I'M THE CREEPER: CATCH ME IF YOU CAN"이라는 기발한 메시지만 표시했습니다. Tomlinson은 자신의 도전에 착수하여 다음 해에 ARPANET을 통해 유사하게 이동하여 Creeper를 삭제하도록 설계된 최초의 바이러스 백신 소프트웨어인 Reaper도 만들었습니다.

1982: 엘크 클로너 바이러스

Rich Skrenta가 15세 때 개발한 Elk Cloner 프로그램은 장난을 치기 위한 것이었습니다. 고등학교 컴퓨터 클럽의 회원인 Skranta는 클럽 회원들 사이에 공유되는 게임과 기타 소프트웨어를 변경하는 것으로 친구들 사이에서 알려졌는데, 많은 회원들이 그 장난꾸러기에게서 디스크를 받는 것을 거부할 정도였습니다.

직접 액세스할 수 없는 디스크의 소프트웨어를 변경하려는 노력의 일환으로 Skranta는 Apple 컴퓨터용으로 알려진 최초의 바이러스를 발명했습니다. 현재 우리가 부트 섹터 바이러스라고 부르는 Elk Cloner는 Apple DOS 3.3 운영 체제를 감염시켜 확산되고 일단 감염된 플로피 디스크에서 전송되면 컴퓨터 메모리에 자신을 복사합니다. 나중에 감염되지 않은 디스크가 컴퓨터에 삽입되면 Elk Cloner는 자신을 해당 디스크에 복사하여 Skranta의 친구들 대부분에게 빠르게 퍼졌습니다. 의도적으로 악의적이기는 하지만 Elk Cloner는 실수로 일부 플로피 디스크를 덮어쓰거나 지울 수 있습니다. 또한 다음과 같은 시적인 메시지도 포함되어 있습니다.

엘크 클로너:

개성을 담은 프로그램

모든 디스크에 적용됩니다.

그것은 당신의 칩에 침투할 것입니다

네, 클로너입니다!

접착제처럼 달라붙을 거예요

RAM도 수정됩니다.

클로너를 보내세요!

1986년: 뇌 바이러스

Creeper 웜은 ARPANET의 컴퓨터 간에 이동할 수 있었지만 인터넷이 널리 채택되기 전에는 대부분의 맬웨어가 Elk Cloner와 같은 플로피 디스크를 통해 전달되었습니다. 그러나 엘크 클로너의 효과가 하나의 작은 컴퓨터 클럽에 국한된 반면, 브레인 바이러스는 전 세계로 퍼졌습니다.

파키스탄 의료 소프트웨어 유통업체인 Amjad Farooq Alvi와 Basit Farooq Alvi 형제가 만든 Brain은 IBM 개인용 컴퓨터의 최초 바이러스로 간주되며 처음에는 저작권 침해를 방지하기 위해 개발되었습니다. 이 바이러스는 사용자가 소프트웨어의 복사본 버전을 사용하는 것을 방지하기 위해 만들어졌습니다. Brain이 설치되면 해적들이 예방 접종을 받기 위해 형제들에게 전화하라는 메시지를 표시합니다. 불법 복제 문제가 얼마나 널리 퍼져 있는지를 과소평가한 Alvis는 미국으로부터 첫 번째 전화를 받았고 그 뒤를 이어 전 세계에서 훨씬 더 많은 전화를 받았습니다.

1988: 모리스 웜

Morris 웜은 악의적인 의도가 아닌 개념 증명으로 만들어진 또 다른 악성 코드의 전조입니다. 불행하게도 이 웜을 만든 MIT 학생 Robert Morris는 그가 예상했던 것보다 훨씬 더 효과적인 것으로 판명되었습니다. 당시에는 주로 대학과 군대 내에서 약 60,000대의 컴퓨터만이 인터넷에 접속할 수 있었습니다. Unix 시스템의 백도어를 이용하고 숨겨져 있도록 설계된 이 웜은 빠르게 확산되어 계속해서 자신을 복제하고 네트워크에 연결된 모든 컴퓨터의 10% 전체를 감염시킵니다.

웜은 다른 컴퓨터에 자신을 복사했을 뿐만 아니라 감염된 컴퓨터에서도 반복적으로 자신을 복사했기 때문에 의도치 않게 메모리를 소모하고 여러 대의 PC를 중단시켰습니다. 세계 최초의 광범위한 인터넷 사이버 공격인 이 사건은 일부 추정에 따르면 수백만 달러에 달하는 피해를 입혔습니다. 로버트 모리스(Robert Morris)는 미국에서 사이버 사기로 유죄 판결을 받은 최초의 사이버 범죄자였습니다. 

1999: 멜리사 웜

Morris 웜만큼 피해를 입히지는 않지만 약 100,000년 후 Melissa는 맬웨어가 이메일을 통해 얼마나 빨리 확산되어 약 백만 개의 이메일 계정과 최소 300대의 업무용 컴퓨터를 감염시킬 수 있는지를 보여주었습니다. 당시 가장 빠르게 확산되는 웜인 이 웜은 Microsoft Outlook 및 Microsoft Exchange 이메일 서버에 심각한 과부하를 초래하여 Microsoft, 국방부의 컴퓨터 비상 대응 팀 및 약 250개 추가 조직을 포함하여 XNUMX개 이상의 기업 및 정부 기관의 속도를 저하시켰습니다.

2000년: ILOVEYOU 바이러스 

필요는 발명의 어머니입니다. 필리핀에 거주하는 24세의 Onel de Guzman은 전화 접속 인터넷 서비스를 이용할 여유가 없음을 깨닫고 다른 사람의 비밀번호를 훔치는 매크로 바이러스 웜을 구축하여 ILOVEYOU를 최초의 중요한 악성 코드로 만들었습니다. 이번 공격은 초기 사례다. 사회 공학 과 피싱. De Guzman은 심리학을 이용해 사람들의 호기심을 이용하여 연애 편지로 위장한 악성 이메일 첨부 파일을 다운로드하도록 조작했습니다. 드 구즈만은 “많은 사람들이 남자친구를 원하고, 서로를 원하고, 사랑을 원한다는 사실을 깨달았다”고 말했다. 

일단 감염되면 이 웜은 암호를 훔치는 것 이상의 일을 했으며 파일을 삭제하고 수백만 달러의 피해를 입혔으며 영국 의회의 컴퓨터 시스템을 잠시 동안 중단시키기도 했습니다. de Guzman이 체포되어 실제로 현지 법률을 위반하지 않았기 때문에 모든 혐의는 기각되었습니다.

2004: 마이둠 웜

ILOVEYOU와 마찬가지로 Mydoom 웜도 이메일을 사용하여 전 세계 시스템을 자가 복제하고 감염시켰습니다. 일단 뿌리를 내리면 Mydoom은 피해자의 컴퓨터를 하이재킹하여 더 많은 복사본을 이메일로 보냅니다. 놀랍도록 효과적인 Mydoom 스팸은 한때 전 세계적으로 전송된 모든 이메일의 25%를 차지했으며, 이는 한 번도 깨지지 않은 기록이며, 35억 달러의 피해를 입혔습니다. 인플레이션을 고려하면 지금까지 만들어진 악성 프로그램 중 금전적으로 가장 파괴적인 악성 코드입니다.

Mydoom은 가능한 많은 시스템을 감염시키기 위해 이메일 프로그램을 하이재킹하는 것 외에도 감염된 컴퓨터를 사용하여 봇넷을 생성하고 실행했습니다. 분산 서비스 거부(DDoS) 공격. 그 영향에도 불구하고 Mydoom 배후의 사이버 범죄자는 잡히거나 확인된 적이 없습니다. 

2007년: 제우스 바이러스

2007년에 처음 발견된 Zeus는 피싱 및 드라이브 바이 다운로드를 통해 개인용 컴퓨터를 감염시켰으며 다양한 유형의 악성 소프트웨어를 전달할 수 있는 트로이 목마 스타일 바이러스의 위험한 잠재력을 보여주었습니다. 2011년에는 소스 코드와 사용 설명서가 유출되어 사이버 보안 전문가와 다른 해커 모두에게 귀중한 데이터를 제공했습니다.

2013: CryptoLocker 랜섬웨어 

랜섬웨어의 첫 번째 사례 중 하나인 CryptoLocker는 빠른 확산과 강력한(당시 기준) 비대칭 암호화 기능으로 잘 알려져 있습니다. Zeus 바이러스에 의해 포착된 악성 봇넷을 통해 배포되는 CryptoLocker는 감염된 PC의 데이터를 체계적으로 암호화합니다. 감염된 PC가 도서관이나 사무실 등 로컬 네트워크의 클라이언트인 경우 모든 공유 리소스가 먼저 대상이 됩니다.

암호화된 리소스에 다시 액세스하기 위해 CryptoLocker 제작자는 당시 약 715달러 상당의 비트코인 ​​2014개에 대한 몸값을 요청했습니다. 운 좋게도 XNUMX년에 법무부는 국제 기관과 협력하여 악성 봇넷을 장악하고 인질 데이터를 무료로 해독하는 데 성공했습니다. 불행하게도 CyrptoLocker 프로그램은 기본적인 피싱 공격을 통해서도 확산되며 지속적인 위협으로 남아 있습니다.

2014: Emotet 트로이 목마

독일 정보 보안국장인 Arne Schoenbohm이 한때 "악성 프로그램의 왕"이라고 불렀던 Emotet 트로이 목마는 정보 보안 전문가가 완전히 근절하기 어렵게 만드는 다형성 악성 코드의 대표적인 예입니다. 다형성 악성 코드는 복제될 때마다 자체 코드를 약간 변경하여 정확한 복사본이 아닌 위험한 변종을 생성하는 방식으로 작동합니다. 실제로 다형성 트로이 목마는 맬웨어 방지 프로그램이 식별하고 차단하기가 더 어렵기 때문에 더 위험합니다.

Zeus 트로이 목마와 마찬가지로 Emotet은 다른 형태의 악성 코드를 전달하는 데 사용되는 모듈식 프로그램으로 유지되며 기존 피싱 공격을 통해 공유되는 경우가 많습니다.

2016: 미라이 봇넷 

컴퓨터가 데스크톱, 랩톱, 모바일 장치 및 수많은 네트워크 장치로 발전하면서 맬웨어도 마찬가지입니다. 사물인터넷(Internet of Things)의 등장으로 스마트 IoT 장치는 엄청난 새로운 취약점을 제시합니다. 대학생 Paras Jha가 만든 Mirai 봇넷은 보안이 취약한 IoT 기반 CCTV 카메라를 대량으로 발견하여 탈취했습니다.

처음에는 DoS 공격을 위해 게임 서버를 표적으로 삼도록 설계된 Mirai 봇넷은 Jha가 예상했던 것보다 훨씬 더 강력했습니다. 주요 DNS 공급자를 목표로 삼아 미국 동부 해안의 거대한 부분을 거의 하루 동안 인터넷에서 효과적으로 차단했습니다.

2017: 사이버 스파이 활동 

맬웨어는 이미 수년 동안 사이버 전쟁에 참여해 왔지만, 2017년은 상대적으로 눈에 띄지 않는 Petya라는 랜섬웨어로 시작하여 국가가 후원하는 사이버 공격과 가상 스파이 활동이 두드러진 해였습니다. Petya 랜섬웨어는 위험하기는 하지만 피싱을 통해 확산되었으며, 랜섬웨어처럼 보이지만 몸값을 지불하더라도 사용자 데이터를 파괴하는 프로그램인 NotPetya 와이퍼 웜으로 변형되기 전까지는 특별히 전염성이 없었습니다. 같은 해에 워너 크라이 랜섬웨어 웜 공격은 유럽, 특히 영국 국민보건서비스(National Health Service)에서 세간의 이목을 끄는 다수의 표적을 공격합니다. 

NotPetya는 우크라이나를 공격하기 위해 Petya 바이러스를 수정했을 수 있는 러시아 정보 기관과 연결되어 있는 것으로 알려져 있으며, WannaCry는 북한 정부의 유사한 적대 부문과 연결될 수 있습니다. 이 두 가지 악성 코드 공격의 공통점은 무엇입니까? 두 가지 모두 국가 안보국(National Security Agency)에서 처음 발견한 Eternalblue라는 Microsoft Windows 공격에 의해 활성화되었습니다. Microsoft는 결국 자체적으로 이 취약점을 발견하고 패치했지만 해커가 취약점을 활용할 수 있기 전에 이를 보고하지 않은 것에 대해 NSA를 비난했습니다.

2019: 서비스형 랜섬웨어(RaaS)

최근 몇 년 동안 랜섬웨어 맬웨어는 급증하기도 하고 감소하기도 했습니다. 그러나 성공적인 랜섬웨어 공격 사례는 감소하고 있지만 해커는 더 많은 주목을 받는 대상을 표적으로 삼아 더 큰 피해를 입히고 있습니다. 서비스형 랜섬웨어(Ransomware-as-a-Service)는 최근 몇 년간 탄력을 받아 문제가 되는 추세입니다. 다크 웹 마켓플레이스에서 제공되는 RaaS는 전문 해커가 수수료를 받는 대가로 랜섬웨어 공격을 수행하는 플러그 앤 플레이 프로토콜을 제공합니다. 이전의 맬웨어 공격에는 어느 정도 고급 기술이 필요했지만, RaaS를 제공하는 용병 그룹은 악의적인 의도와 돈을 지출할 수 있는 모든 사람에게 권한을 부여합니다.

2021년: 비상사태

처음으로 세간의 이목을 끄는 이중 강탈 랜섬웨어 공격은 2019년에 발생했습니다. 해커가 보안 인력 관리 기관인 Allied Universal에 침투하여 데이터를 암호화하는 동시에 훔친 데이터를 온라인에 공개하겠다고 위협했습니다. 이 추가 계층은 Allied Universal이 파일의 암호를 해독할 수 있더라도 여전히 피해를 주는 데이터 침해를 겪을 수 있음을 의미했습니다. 이번 공격도 주목할 만하지만, 2021년 콜로니얼 파이프라인 공격은 묵시적인 위협의 심각성으로 더욱 악명 높습니다. 당시 콜로니얼 파이프라인은 미국 동부 휘발유와 제트 연료의 45%를 담당했습니다. 며칠 동안 지속된 이번 공격은 동부 해안을 따라 공공 및 민간 부문 모두에 영향을 미쳤고, 바이든 대통령은 임시 비상사태를 선포하게 됐다.

2022년: 국가비상사태

랜섬웨어 공격은 감소하는 것처럼 보이지만, 고도로 표적화되고 효과적인 공격은 계속해서 소름끼치는 위협을 제시하고 있습니다. 2022년 코스타리카는 일련의 랜섬웨어 공격, 먼저 재무부를 마비시키고 심지어 민간 수출입 사업에도 영향을 미쳤습니다. 이후 공격으로 인해 국가의 의료 시스템이 오프라인 상태가 되었고 잠재적으로 국가의 모든 시민에게 직접적인 영향을 미쳤습니다. 그 결과 코스타리카는 사이버 공격에 대응해 국가 비상사태를 선포한 최초의 국가라는 역사를 썼다.

QRadar SIEM 랜섬웨어 솔루션 살펴보기