웜ㆍ바이러스와 스파이웨어 어떻게 다른가?

[뚱이]

웜ㆍ바이러스와 스파이웨어 어떻게 다른가?

- 스파이웨어와 악성코드의 차이

컴퓨터가 아무 이유 없이 느려지고 작동이 이상하게 되는걸 경험할 때 우리는 "이 컴퓨터 바이러스에 감염된 거 아니야?"란 말을 하곤 한다. 또한 뉴스에서 "최근 스파이웨어가 기승을 부리면서 개인 정보가 위협을 받고 있습니다"란 말을 듣기도 하고 "이번에 유포된 바이러스는 중국의 아무개씨가 만들어서 유포시킨 것으로…"라고 하는 기사를 보기도 한다.

컴퓨터를 망가뜨리고 위협한다고 하는 이런 것들은 도대체 무엇일까? 바이러스니 웜이니 하는 말들과 악성코드며 스파이웨어까지 많이 들어 익숙한 표현들도 있고 좀 어렵게 느껴지는 말들도 있다. 다 컴퓨터에 좋지 않은 영향을 주는 것만은 분명한데, 도대체 얼마나 나쁜 영향을 주는 것인지, 얼마나 큰 피해가 있는 것인지, 왜 이렇게 다르게 부르는지 도대체 알 수가 없다. 그래서 이번 시간에는 이런 용어들을 구분하고 이해해 보기로 한다.

유사점: 컴퓨터 프로그램 코드
일단 알아야 할 것은, 바이러스, 웜, 스파이웨어 이렇게 부르는 모든 것들은 다 컴퓨터 프로그램이라는 것이다. 누군가 어떤 목적을 가지고 작성한, 컴퓨터에서 동작하도록 되어 있는 프로그램 코드인 것이다.

예를 들어, 여러분들이 친구들의 주소를 아래한글로 작성해서 저장하면 '주소록.hwp'라는 파일이 생기는 것처럼, 이런 프로그램들도 파일로 존재한다. 물론 파일이 어떤 식으로 어디에 저장되어 존재하는지는 일단 논외로 하더라도 말이다.

그런데 이렇게 작성된 프로그램이 다른 사람의 컴퓨터의 속도를 느리게 하고 자주 다운이 되도록 한다거나, 저장된 파일을 망가뜨리거나, 그 사람의 컴퓨터에서 인터넷 뱅킹에 사용하고 있는 아이디와 비밀번호와 같은 중요한 정보를 빼내고자 하는 나쁜 목적으로 작성되었을 경우에 우리는 이것을 악성코드라고 한다. 아주 질이 나쁜 프로그램이라는 뜻이다.

또한 이렇게 고의적으로 나쁜 의도로 만들지는 않았지만, 잘못 사용되었을 경우에 사용자나 PC에 나쁜 영향을 줄 수도 있는 프로그램이 있다. 이러한 프로그램을 유해 가능 프로그램이라고 한다.

바이러스, 웜, 트로이목마라고 불리는 것들은 질이 나쁜 악성코드에 속하고, 스파이웨어는 유해 가능 프로그램에 속한다. 프로그램이 어떤 방식으로 수행되는지, 어떤 행동을 하는지, 어떤 목적으로 작성되었는지에 따라서 이렇게 다르게 부르는 것이다.

그러면 이 각각에 대해 조금 자세히 알아보기로 하자.

차이점: 목적과 수행방식
우리가 가장 많이 접한 용어인 바이러스는 컴퓨터가 감기에 걸리는 것이 아니고, 어떤 좋지 않은 프로그램이 컴퓨터에 자신도 모르게 설치가 되는 것이다. 그런데 이런 좋지 않는 프로그램이 우리 눈에 띄는 단독 프로그램으로 설치가 되는 것이 아니라 다른 프로그램에 덧붙여져서 있는 형태로 존재한다.

마치 감기 바이러스가 우리 몸에 들어와 기생하는 것처럼, 컴퓨터 바이러스는 '주소록.hwp'와 같은 일반적인 파일이나 프로그램에 자신의 프로그램(코드)을 덧붙여 존재한다. 이렇게 덧붙여진 코드는 감염된 프로그램이 실행될 때, 즉 주소록.hwp를 열어 보거나 할 때 같이 실행이 되어 다른 파일을 감염시키거나, 컴퓨터 시스템의 중요한 파일을 지우거나 하는 의도된 나쁜 행동을 시작하게 된다.

이렇게 바이러스는 컴퓨터 프로그램의 일부분에 자기 자신이나 자신의 변형을 복사하여 컴퓨터 작동에 피해를 주는 명령어들의 조합을 말한다.

그러면 웜이란 무엇일까? 바이러스가 다른 프로그램에 기생해서 산다는 특징이 있다면 웜은 스스로 동작할 수 있는 악성코드이다. 그런데 이 웜의 주요 하는 일은 자신을 무한정 복제하는 것이다.

다른 나쁜 행동을 하지 않고 자신을 복제하기만 하는 것이 왜 나쁜 것일까? 어떤 컴퓨터가 웜에 감염되어 다른 컴퓨터로 이 웜을 다시 전송하는 행동을 한다고 하자. 만약 이 컴퓨터가 1초에 10개의 컴퓨터로 웜을 전송하면, 1초 뒤엔 10개의 컴퓨터가 각각 10개의 웜을 전송하니 100개의 웜이 인터넷상에 전송이 된다. 다시 1초 뒤엔 1000개의 웜이 전송된다.

그러면 몇 시간 뒤에 인터넷은 어떻게 될까? 이런 불필요한 프로그램의 전송으로 인터넷이 폭주되어 정상적인 인터넷을 사용할 수 없는 지경에 이르게 된다. 웜은 이런 식으로 과도한 트래픽을 유도하여 네트워크나 시스템을 멈추게 하는 공격을 한다. 실제로 우리나라에서 2003년에 이러한 웜 공격 때문에 나라 전체의 인터넷이 9시간 정도 중단되는 사태가 일어난 적이 있다. 이 정도되면 웜이 얼마나 해로운가를 이해할 수 있을 것이다.

요즈음에는 이러한 웜과 바이러스가 결합된 형태로 존재하는 악성코드가 더 많다고 한다. 뭐든지 하이브리드, 퓨젼이 인기 있는 시대이니 말이다.

또 다른 악성코드인 트로이목마란 무엇일까? 이 용어는 호머의 '일리아드'에 나온그리스 본토 도시 연합군과 트로이와의 전쟁에서 사용한 트로이목마에서 유래를 한다. 그리스 연합군이 트로이에 선물로 선사한 트로이목마의 안에는 사실 그리스 병사들이 숨어 있었다. 이를 모르고 트로이목마를 성 안으로 받아들인 트로이는 결국 전쟁에 패하게 된다.

이처럼 컴퓨터의 트로이목마라고 하는 프로그램은 겉으로 보기에는 다른 정상적인 프로그램처럼 보인다. 윈도우에서 제공하는 메모장이라고 하는 notepad.exe 프로그램이 있다. 만약 이를 가장한 트로이목마가 있다면, 이 프로그램은 보기에도 notepad.exe이고 실제 메모장처럼 동작할 것이다.

하지만 실제로는 정상적인 메모장 프로그램이 아니라 다른 나쁜 역할이 더해진 메모장 프로그램이다. 이러한 트로이목마는 정상적인 프로그램을 수행하는 것처럼 행동하면서, 백도어를 열어 놓아 해커가 감염 당한 컴퓨터를 원격에서 제어할 수 있도록 지원하는 역할을 수행하거나 기타 다른 나쁜 행동을 하곤 한다.

백도어를 열어 놓는다는 말은, 말 그대로 사용자 모르게 원격에서 이 컴퓨터로 통신을 할 수 있는 일종의 '뒷문'을 만들어 놓아, 해커가 그 문으로 원격 통신을 하면서 사용자 정보를 빼 내 가거나 다른 프로그램을 심어 놓거나 할 수 있도록 하는 것을 말한다.

유해 가능 프로그램이란?
지금까지 대표적인 악성코드들에 대해 알아보았다. 그러면 유해 가능 프로그램이라고 하는 스파이웨어는 무엇이 다른 것일까?

만약 어떤 회사에서 사용자들의 인터넷 사용 습관이나 어떤 사이트를 사용자들이 주로 방문하는지 조사를 하여 마케팅 자료로 활용하고 싶다고 하자.

이 회사는 이런 정보를 수집하는 프로그램을 작성하여 사용자들에게 유포하는 대신, 이 프로그램을 설치한 사용자들에게 자사가 판매하고 있는 음악 다운로드 프로그램을 무료로 한달 동안 사용할 수 있도록 하였다. 따라서 이 프로그램은 사용자 PC를 공격하거나 사용자 아이디나 비밀번호를 훔치기 위해 작성된 프로그램은 아니다.

하지만 이 프로그램이 자신도 모르는 사이에 컴퓨터에 설치가 된다면, 사용자 모르게 개인 정보를 수집하는 행위를 하기 때문에 사생활 침해의 소지가 있다.

또한 어떤 회사에서 사용자들 모르게 회사 광고가 수시로 뜨는 프로그램을 PC 내에 설치하거나, 웹 브라우저를 띄울 때 반드시 처음에는 자신들의 회사 홈페이지로 가도록 설정해 놓는다면, 사용자들에게 큰 피해는 주지 않더라도 이들을 상당히 귀찮고 번거롭게 할 것이다.

인터넷 서핑을 하는데 수시로 광고 창이 뜬다면 얼마나 짜증이 날 것인가? 이와 같이 스파이웨어는 사용자가 인식하지 못하는 사이에 설치되어 사용자의 불편을 야기하거나 개인정보를 수집하여 사생활을 침해할 수 있는 프로그램을 말한다.

정상적인 동의를 얻은 후 설치가 되면 문제가 없지만, 몰래 설치되었을 경우 악의적인 용도로 사용될 수 있는 프로그램인 것이다.

이제 바이러스니 스파이웨어니 하는 용어들에 대해 조금은 익숙해졌을 것으로 기대한다.

이러한 악성코드나 유해 가능 프로그램에 PC가 감염 되었다면, 사용자가 직접 삭제하는 수고를 하는 것보다는 안티바이러스나 안티스파이웨어 제품들을 사용하는 것을 권한다.

많은 경우 단순한 삭제나 언인스톨로는 제대로 삭제가 되지 않기 때문이다. 물론, 이런 나쁜 프로그램이 설치되지 않도록 처음부터 조심하는 것이 가장 좋은 방법이라는 것을 잊지 말기로 하자.

_ 문수현Ⅰ보안 컨설턴트, CISSP, CISA

*** 필자소개 ***
문수현 씨는 삼성 SDS를 거쳐 DRM업체인 파수닷컴에서 서버 개발팀장과 컨설팅 팀장을 역임한 바 있으며, 현재는 멀티캠퍼스, 썬마이크로시스템즈 등에서 웹 보안, CISSP, 기타 보안 관련 강의를 수행하고, 이투의 컨설턴트로 활동하고 있다.

[종아니]

저도 모르는 사이에 키보드 헤킹방지 프로그램이 들어와 컴퓨터를 시작하면 키보드에 악성바이러스가 있다며 치료를 하라고 해서 보았더니 유려이더군요..그래서 삭제를 하지 않고 계속 사용하고 있는데 하루에 한 두 번씩 인터넷이 끊깁니다...그래도 계속 사용해야할지..답답합니다..