[보안] 컴퓨터 바이러스의 개념과 세대별 진화 과정: 원시, 암호화, 은폐형, 갑옷형, 매크로

 컴퓨터 바이러스의 개념에 대해서 알아보고, 바이러스가 진화해온 과정을 살펴봅니다.

 

[ Contents ]

 

 

1. 컴퓨터 바이러스 (Computer Virus)

정상적인 프로그램이나 데이터를 파괴하는 악성 프로그램 (자기 복제 가능)

 

 컴퓨터 바이러스는 생물학적 바이러스와 마찬가지로, 자기 스스로 복제해서 증식하는 특성을 가지고 있습니다. 그래서 '바이러스'라는 특별한 이름이 붙었죠.

 바이러스는 감염된 컴퓨터의 자원을 통해 자기복제하며, 다른 컴퓨터를 감염시킵니다.

 

 

2. 세대별 컴퓨터 바이러스

1세대)  원시형 바이러스 (Primitive Virus)

단순하고 코드의 변형이 없이 고정된 크기를 가진 바이러스

 

 단순하고 코드의 변형이 없어 분석이 쉬운 바이러스입니다. 초창기 바이러스로, 주로 주기억장치에 상주하면서 부트영역이나 파일을 감염시키는 특성이 있습니다.

 예를 들어 돌(Stoned) 바이러스는 부팅 섹터에 침투해서 부팅 프로세스를 감염시키는 '부트 섹터 바이러스'였고, 예루살렘(Jerusalem) 바이러스는 메모리를 점령하고 실행 중인 프로그램이나 작업을 방해하는 바이러스였습니다. 예루살렘 바이러스는 한때 '13일의 금요일 바이러스'라고 불릴 정도로 악명이 높았으나, 현재는 퇴치된 바이러스입니다.

 

 

2세대) 암호화 바이러스 (Encryption Virus)

백신으로 바이러스 감염 여부를 확인할 수 없게 암호화된 바이러스

 

 자체적으로 암호화해서 백신이 검사하지 못하도록 막은 바이러스입니다. 다른 파일을 암호화해서 사용하지 못하도록 만드는 랜섬웨어와는 달리, 바이러스 자기 자신을 암호화했다는 특성이 있습니다.

 최초 암호화 바이러스는 '폭포(Cascade) 바이러스'로, 글자가 아래로 추락하는 희안한 행태를 보여 폭포 바이러스로 불리게 되었습니다.

 

반응형

 

3세대) 은폐형 바이러스 (Stealth Virus)

다른 실행파일에 기생하여 은폐하는 바이러스

 

 다른 실행파일에 기생하는 형태로, 해당 실행파일의 크기가 증가하는 특이점이 있습니다. 파일 크기가 변경되기 때문에 백신이 발견하기 쉽지만, 이전 상태로 둔갑한 경우에는 백신도 발견하기 어렵습니다.

 예시로는 맥가이버 바이러스, 브레인 바이러스, 512바이러스가 있습니다.

 

 

4세대) 갑옷형 바이러스 (Armor Virus)

다양한 암호화 기법과 은폐 기법을 사용하는 바이러스

 

 바이러스가 프로그램을 변형하기 위해서 100만개가 넘는 방법을 사용하므로, 진단이나 치료가 어렵습니다.

 2, 3세대가 '백신 진단'이 어렵게 암호화하거나 은폐하는 것이었다면, 4세대 갑옷형 바이러스는 '백신 개발'이 어렵도록 여러 단계의 암호화와 다양한 기법을 활용합니다. 특히 다형성(Polymorphic)이나 자체 변형(Self-encryption) 바이러스의 경우, 감염될 때마다 암호화 기법이 달라지며 한 개의 바이러스가 몇 억가지 이상의 변형을 초래하므로 획일적인 방법으로 퇴치할 수 없습니다.

 

 

5세대) 매크로 바이러스 (Macro Virus)

매크로 명령을 사용하는 프로그램을 감염시키는 바이러스

 

 엑셀이나 워드처럼 매크로 기능이 있는 프로그램을 감염시키는 바이러스입니다. 요즘 엑셀 메크로를 실행하려고 하면, '주의'나 '경고'가 뜨는 걸 볼 수 있습니다. 최근 매크로를 통한 바이러스가 유행했었고, 아마추어 프로그래머도 쉽게 만들고 배포할 수 있는 쉬운 바이러스 유형입니다.

 운영체제와 관계없이 응용 프로그램에서 동작하는 바이러스로, 예시로는 Melisa, Laroux, Nimda 바이러스가 있습니다.