검수요청.png검수요청.png

"컴퓨터 바이러스"의 두 판 사이의 차이

위키원
이동: 둘러보기, 검색
(스웬 바이러스에 대한 피해)
 
(사용자 3명의 중간 판 35개는 보이지 않습니다)
2번째 줄: 2번째 줄:
  
 
== 개요 ==
 
== 개요 ==
'''컴퓨터 바이러스'''(computer virus)는 스스로를 복제하여 컴퓨터를 감염시키는 컴퓨터 [[프로그램]]이다. 복제 기능이 없는 다른 종류의 악성 코드, [[애드웨어]], [[스파이웨어]]와 혼동하여 잘못 쓰이는 경우도 있다. [[바이러스]]는 한 컴퓨터에서 다른 컴퓨터로(일부 형식의 실행 코드로) 확산할 있다. 이를테면 사용자는 인터넷이나 네트워크를 통하여, 또는 플로피 디스크, CD, DVD, USB 드라이브와 같은 이동식 매체를 통하여 바이러스를 전파할 수 있다. 바이러스는 네트워크 파일 시스템이나, 다른 컴퓨터를 통해 접근하는 파일 시스템 상의 파일을 감염시킴으로써 다른 컴퓨터로의 확산 가능성을 높일 수 있다.
+
컴퓨터 바이러스란 사전적 의미로는 '컴퓨터 프로그램이나 실행 가능한 부분을 변형하여, 그곳에 자기 자신 또는 자신의 변형을 복사하여 컴퓨터 작동에 피해를 주는 명령어들의 조합'이며, 생물학적인 바이러스가 생물체에 침투하여 병을 일으키는 것처럼 컴퓨터 내에 침투하여 자료를 손상시키거나, 다른 프로그램들을 파괴하여 작동할 수 없도록 하는 컴퓨터 프로그램의 한 종류이다. 바이러스는 감염된 [[디스크]]로 컴퓨터를 기동시킬 때 혹은 특정 프로그램을 실행시킬 때 활동하며 자료를 파괴하거나 컴퓨터 작동을 방해하고 자신을 복제하여 다른 컴퓨터를 감염시킨다. 이런 점이 생물학적 바이러스와 비슷하기 때문에 바이러스라는 용어를 사용하지만, 다른 일반 프로그램과 동일한 프로그램의 한 종류이다.
 +
 
 +
발생 기원은 1949년 [[존 폰 노이만]](John von Neumann)이 발표한 논문에서 프로그램이 자기 자신을 복제함으로써 증식할 있다는 가능성을 제시한 것으로부터 유래한다. 실제로 미국에서 1985년 프로그램을 파괴하는 악성 컴퓨터 바이러스가 처음 보고 되었고, 한국에서는 1988년 (C)BRAIN이란 컴퓨터 바이러스가 처음으로 보고되었다. 컴퓨터 바이러스가 발생하게 된 경위는 자신의 능력을 과시하기 위하여 만들었다는 설, 불법복제를 막기 위하여 만들었다는 설, [[소프트웨어]]의 유통경로를 알아보기 위하여 유포시켰다는 설, 경쟁자 또는 경쟁사에게 타격을 주기위하여 감염시켰다는 설 등 다양하다. 그러나 은밀하게 유포되고 있기 때문에 확실한 경위는 밝혀지지 않고 있지만 복합적인 원인때문일 것으로 추정된다.<ref name="개념 및 종류">월간 정보통신윤리, 〈[https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=4489 (컴퓨터 바이러스 유포현황 및 대책) ① 컴퓨터 바이러스 개념 및 종류]〉, 《안랩》, 2003-07-01</ref>
  
 
== 역사 ==
 
== 역사 ==
1970년대에 인터넷의 선구자인 아파넷에서 [[크리퍼 바이러스]]가 처음 발견됐으며 이것이 최초의 바이러스로 기록되어 있다. 크리퍼는 실험적인 자기 복제 [[프로그램]]이었으며 1971년에 BBN에서 밥 토머스가 작성한 것이다. 크리퍼는 아파넷을 사용하여 TENEX 운영 체제를 사용하는 DEC PDP-10 컴퓨터들을 감염시켰다. 크리퍼는 아파넷을 통한 접근 권한을 얻었고 스스로를 "I'm the creeper, catch me if you can!"(나는 크리퍼다, 잡을 수 있다면 나 잡아봐라!)라는 메시지가 있는 원격 시스템에 복사시켰다. 뒤에 리퍼(Reaper)라는 프로그램이 개발되어 크리퍼 바이러스를 지우게 되었다.
+
1970년대에 인터넷의 선구자인 [[아파넷]](ARPAnet)에서 크리퍼 바이러스(Creeper virus)가 처음 발견됐으며 이것이 최초의 바이러스로 기록되어 있다. 크리퍼는 실험적인 자기 복제 프로그램이었으며 1971년에 BBN에서 [[밥 토머스]](Bob Thomas)가 작성한 것이다. 크리퍼는 아파넷을 사용하여 테넥스(TENEX) [[운영체제]]를 사용하는 DEC PDP-10 컴퓨터들을 감염시켰다. 크리퍼는 아파넷을 통한 접근 권한을 얻었고 스스로를 "I'm the creeper, catch me if you can!"(나는 크리퍼다, 잡을 수 있다면 나 잡아봐라!)라는 메시지가 있는 원격 시스템에 복사시켰다. 뒤에 리퍼(Reaper)라는 프로그램이 개발되어 크리퍼 바이러스를 지우게 되었다.
 
 
개인용 컴퓨터에서 발견된 최초의 바이러스는 (c)브레인이라고 하는 부트 섹터 바이러스였으며 1986년에 파루크 앨비 형제가 만들었다. 1990년대 중반에 매크로 바이러스가 일상화되었다. 이 바이러스 대부분이 워드와 액셀과 같은 마이크로소프트 프로그램을 위한 스크립팅 언어로 기록되어 마이크로소프트 오피스를 통하여 문서와 스프레드시트를 감염시키며 퍼져나갔다. 워드와 액셀이 OS X에서도 사용할 수 있었으므로 이 대부분이 매킨토시 컴퓨터에도 퍼질 수 있었다.
 
  
2002년에 크로스 사이트 스크립팅을 사용하여 확산된 바이러스가 처음 보고되었으며 학술적으로는 2005년에 증명되었다.
+
개인용 컴퓨터에서 발견된 최초의 바이러스는 (c)브레인이라고 하는 부트 섹터 바이러스였으며 1986년에 파루크 앨비 형제가 만들었다. 1990년대 중반에 매크로 바이러스(macro virus)가 일상화되었다. 이 바이러스 대부분이 [[워드]]와 [[액셀]]과 같은 [[마이크로소프트]] 프로그램을 위한 [[스크립팅 언어]]로 기록되어 마이크로소프트 오피스를 통하여 문서와 스프레드시트를 감염시키며 퍼져나갔다. 워드와 액셀이 [[OS X]]에서도 사용할 수 있었으므로 이 대부분이 매킨토시(Macintosh) 컴퓨터에도 퍼질 수 있었다. 2002년에 [[크로스 사이트 스크립팅]](XSS ; cross-site scripting)을 사용하여 확산된 바이러스가 처음 보고되었으며 학술적으로는 2005년에 증명되었다.<ref name="위키">〈[https://ko.wikipedia.org/wiki/%EC%BB%B4%ED%93%A8%ED%84%B0_%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 컴퓨터 바이러스]〉, 《위키백과》</ref>
  
=== 최초의 바이러스 ===
+
'이동'이 아니라 진짜 '복제' 개념이 들어간 최초의 바이러스는 엘크 클로너(Elk Cloner)라는 프로그램이다. 이는 1982년 경에 만들어졌는데, 놀랍게도 이를 만든 이는 당시 15세였던 리처드 스크렌타(Richard Skrenta)라는 소년이었다. 이 엘크 클로너는 애플 II 시스템에만 감염되었으며 부팅용 [[플로피 디스크]]에 감염되는 일종의 부트 섹터 바이러스였다. 엘크 클로너는 부팅된 이후 메모리에 남아있다가 만약 감염되지 않은 새로운 디스크가 컴퓨터에 들어오면 자신을 해당 디스크에 감염시켰다. 이런 식으로 엘크 클로너는 디스크에서 디스크를 통해 감염되는 프로그램이었다. 엘크 클로너는 특별히 파괴적인 활동을 벌이지는 않았으며, 감염된 컴퓨터는 감염된 뒤 50번째로 부팅하면 다음과 같은 짧은 시를 출력했다.<ref name="나무">〈[https://namu.wiki/w/%EC%BB%B4%ED%93%A8%ED%84%B0%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 컴퓨터 바이러스]〉, 《나무위키》</ref>
'이동'이 아니라 진짜 '복제' 개념이 들어간 최초의 바이러스는 '엘크 클로너(Elk Cloner)'라는 프로그램이다. 이는 1982년 경에 만들어졌는데, 놀랍게도 이를 만든 이는 당시 15세였던 리처드 '리치' 스크렌타라는 소년이었다. 이 Elk Cloner는 Apple II 시스템에만 감염되었으며 부팅용 플로피 디스크에 감염되는 일종의 부트 섹터 바이러스였다. Elk Cloner는 부팅된 이후 메모리에 남아있다가 만약 감염되지 않은 새로운 디스크가 컴퓨터에 들어오면 자신을 해당 디스크에 감염시켰다. 이런 식으로 Elk Cloner는 디스크에서 디스크를 통해 감염되는 프로그램이었다. Elk Cloner는 특별히 파괴적인 활동을 벌이지는 않았으며, 감염된 컴퓨터는(정확히는 플로피 디스크) 감염된 뒤 50번째로 부팅하면 다음과 같은 짧은 시를 출력했다.
 
  
* Elk Cloner: The program with a personality (엘크 복제자 : 자아를 가진 프로그램)
+
* Elk Cloner: The program with a personality (엘크 복제자 : 자아를 가진 프로그램)
 +
* It will get on all your disks (그것은 너의 모든 디스크를 헤집으며,)
 +
* It will infiltrate your chips (네 칩 속을 드나들지)
 +
* Yes, it's Cloner! (그래, 그것이 바로 복제자다)
 +
* It will stick to you like glue (그것은 끈끈이처럼 너에게 들러붙고)
 +
* It will modify RAM too (너의 램 또한 휘저어 놓지)
 +
* Send in the Cloner! (복제자를 들여보내라!)
  
* It will get on all your disks (그것은 너의 모든 디스크를 헤집으며,)
+
컴퓨터를 잘 모르는 이가 보기엔 마치 컴퓨터가 진짜 자아를 가져서 이런 메시지를 출력하는 것으로 여길지도 모른다. 한편 엘크 클로너 실질적으로 별다른 피해를 주는 것은 없었고, 엘크 클로너가 퍼져나간 범위도 개발자인 스크렌타의 주변 인물 정도였기 때문에 이것에 대한 [[백신]]이 개발된 적은 없다고 한다.<ref>mstonsd7, 〈[https://xcoolcat7.tistory.com/824 세계 최초 컴퓨터바이러스 중 하나인 Elk Cloner 바이러스 분석]〉, 《블로그》, 2017-04-01 </ref> 그렇다면 악의적 컴퓨터 바이러스가 세상에 퍼지게 된 경위에는 여러 가지 설들이 있다. 대표적으로 자신의 능력을 과시하기 위해 만들었다는 설, 경쟁사 등에 타격을 주기 위한 상업적 목적으로 만들었다는 설, 소프트웨어의 유통 경로 등을 추적하기 위해 만들었다는 설 등이 대두된다. 그러나 이는 은밀하게 유포되는 바이러스의 특성상 정확하게 구분 짓기는 어렵고 복합적이고 전반적인 경위로 보아야 할 것이다.<ref name="나무"></ref>
  
* It will infiltrate your chips (네 칩 속을 드나들지)
+
==특징==
 +
===감염 경로===
 +
바이러스의 감염경로는 매우 다양하고 복잡한 구조를 가진다. 가장 일반적인 경로는 불법복사, 컴퓨터 통신, 컴퓨터 공동 사용, [[LAN]], [[인터넷]] 등이 있다. 불법 복제한 소프트웨어 디스켓을 사용하거나, 여러 사람이 공동으로 사용하는 컴퓨터에서 작업하면 바이러스 감염의 가능성이 높아 자신도 모르게 디스켓 또는 프로그램에 감염된다. 이렇게 감염된 디스켓이나 프로그램을 자신의 컴퓨터에서 사용하면 자신의 컴퓨터도 감염된다. 최근에는 컴퓨터 통신 이용률이 높아지면서 이를 통하여 자료를 주고 받을때 급속도로 바이러스가 확산되기도 한다. 컴퓨터 바이러스 종류 컴퓨터 바이러스는 그 영향 정도에 따라 양성 및 악성 바이러스, 감염 부위에 따라 부트(Boot) 및 파일(File) 바이러스로 구분한다. [[부트 바이러스]](Boot virus)는 컴퓨터가 기동할 때 제일 먼저 읽게 되는 디스크의 특정 장소에 감염되어 있다가 컴퓨터 기동시에 활동을 시작하는 종류이다. [[파일 바이러스]](File virus)는 숙주 프로그램에 감염되어 있다가 숙주 프로그램이 실행될 때 활동하는 바이러스를 말한다. 또한 최근에는 감염 경로에 따라 인터넷 바이러스를 별도로 구분하기도 한다. 바이러스는 종류에 따라 활동방식도 다른데 감염 즉시 활동하는 것, 일정 잠복기간이 지난 후에 활동하는 것, 특정기간이나 특정한 날에만 활동하는 것 등이 있다.<ref name="개념 및 종류"></ref>
  
* Yes, it's Cloner! (그래, 그것이 바로 복제자다)
+
===감염 증상===
 +
바이러스에 감염되면, 컴퓨터 기동시간이 평소보다 오래 걸리거나, 기동 자체가 되지 않거나, 프로그램이 실행되지 않거나, 프로그램을 실행시키는 시간이 평소보다 오래 걸리거나, 파일목록을 확인하는 명령을 하였을 때 목록이 화면에 나타나는 시간이 오래 걸리거나, 화면에 이상한 글자가 나타나거나, 프로그램의 크기가 달라져 있거나, 프로그램의 작성일자 또는 파일의 이름이 바뀌는 등의 증세를 나타낸다. 최근 바이러스는 다음과 같은 특징을 보이고 있으므로, 아래와 같은 경우에는 컴퓨터가 바이러스에 감염되었는지 의심해봐야 한다.<ref name="개념 및 종류"></ref>
  
* It will stick to you like glue (그것은 끈끈이처럼 너에게 들러붙고)
+
* 빠른 전파력을 지닌 이메일 바이러스의 스팸메일화 : 초기의 이메일 바이러스는 비교적 간단한 형태의 제목, 본문, 첨부파일을 지닌 형태였으나, 클레즈웜 변종(Klez.H)의 경우, 매우 다양한 제목과 본문, 첨부파일명을 지니고 전파되어 일반 사용자들이 실제 메일과 구별하기가 어려웠고 메일 필터링 기능을 통한 예방에 한계가 있다.
  
* It will modify RAM too (너의 램 또한 휘저어 놓지)
+
* 백신 공격형 웜 증가 : 백신 관련 프로그램을 삭제 또는 그 기능을 중지하여 백신으로부터 자기 자신을 탐지 못하도록 하는 백신공격형 웜이 증가한다.
  
* Send in the Cloner! (복제자를 들여보내라!)
+
* 빠른 전파력과 무서운 파괴력을 지닌 웜 바이러스 출현 : 하나의 파일 안에 [[트로이목마]](Trojan horse)나 [[웜]](worm) 등이 포함된 복합형 웜바이러스들이 생겨나고, 웜의 전파기능과 바이러스의 파괴력을 지니고 있다.
  
컴퓨터를 잘 모르는 이가 보기엔 마치 컴퓨터가 진짜 자아를 가져서 이런 메시지를 출력하는 것으로 여길지도 모른다. 한편 이 Elk Cloner는 실질적으로 별다른 피해를 주는 것은 없었고, 이 Elk cloner가 퍼져나간 범위도 개발자인 스크렌타의 주변 인물 정도였기 때문에 이것에 대한 백신이 개발된 적은 없다고 한다.<ref>mstonsd7, 〈[https://xcoolcat7.tistory.com/824 세계 최초 컴퓨터바이러스 중 하나인 Elk Cloner 바이러스 분석], 《블로그》, 2017-04-01 </ref>
+
* 윈도우 취약점 공격형 웜 증가 : 바이러스 제작자들의 공격기법이 날로 지능화되고 제작기술이 고도화되면서, [[애플리케이션]] 프로그램에 존재하는 [[취약점]]을 공격대상으로 하는 [[해킹]]기법의 공격형 웜들이 많이 나타나고 있으며, 특히 취약점을 많이 지니고 있는 윈도우시스템을 공격대상으로 하는 웜들이 많이 늘어나고 있다.
  
그렇다면 악의적 컴퓨터 바이러스가 세상에 퍼지게 된 경위는 무엇일까? 그 경위에는 여러 가지 설들이 있다. 대표적으로 자신의 능력을 과시하기 위해 만들었다는 설, 경쟁사 등에 타격을 주기 위한 상업적 목적으로 만들었다는 설, [[소프트웨어]]의 유통 경로 등을 추적하기 위해 만들었다는 설 등이 대두된다. 그러나 이는 은밀하게 유포되는 바이러스의 특성상 정확하게 구분 짓기는 어렵고 복합적이고 전반적인 경위로 보아야 할 것이다.
+
* 정보유출형 인터넷 웜의 지속화 : 시스템정보 혹은 엑셀이나 워드문서와 같은 것을 선택 후 자체 메일을 통하여 정보 유출하도록 하는 형태의 웜이 사라지지 않고 있다.
  
 
== 종류 ==
 
== 종류 ==
* '''트로이 목마'''
+
===감염 부위에 따른 분류===
정상적인 프로그램으로 위장한 악성코드의 한 종류이며 이름의 유래는 트로이 전쟁의 트로이 목마이며, 트로이의 목마가 뭔지 아는 사람들이라면 바로 느낌이 올 것이라 본다. 악성코드 유형별 비율에서 트로이 목마가 차지하는 비율은 35%가 넘으며, 이는 그래프에서 보이지도 않는 바이러스나 웜에 비해 매우 높은 비율이다.<ref name ="트로이">〈[https://namu.wiki/w/%ED%8A%B8%EB%A1%9C%EC%9D%B4%20%EB%AA%A9%EB%A7%88(%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C) 트로이 목마(악성코드)]〉, 《나무위키》</ref> 컴퓨터 바이러스보다 역사가 길지만 그 어떤 유형의 악성코드보다도 현대의 컴퓨터를 더욱 자주 감염시키고 있다. 트로이 목마는 정상 프로그램으로 가장하지만 악성 지침에 포함되어 있다.
+
[[파일:브레인 바이러스.jpg|400픽셀|썸네일|브레인 바이러스(Brain virus)]]
 
+
[[파일:도스 바이러스.png|400픽셀|썸네일|도스 바이러스(DoS virus)]]
* '''컴퓨터 웜'''
+
[[파일:자바 바이러스.PNG|400픽셀|썸네일|자바 바이러스(Java virus)]]
프로그램 복제가 아니라 네트워크를 통해 감염되는 경우이다.(숙주인 컴퓨터 내부에서만 증식을 하는 악성코드를 [[바이러스]] 라고 하며, 숙주 컴퓨터가 필요없이 네트워크상에서 계속 증식이 가능한 악성코드를 [[웜]]이라고 한다)
 
 
 
* '''하이브리드'''와 이국적인 형태
 
대부분의 악성코드는 전통적인 악성 프로그램들의 조합이며 트로이 목마와 웜의 일부를 포함하는 경우가 많고 바이러스가 포함될 때도 있다. 일반적으로 악성코드 프로그램은 최종 사용자에게 트로이 목마로 표시되지만 실행해 보면 웜과 마찬가지로 네트워크상의 다른 피해자를 공격한다.
 
 
 
* '''랜섬웨어'''
 
데이터를 암호화하여 볼모로 잡고 암호 화폐로 몸값을 지불할 때까지 기다리는 악성코드 프로그램이 지난 수 년 동안 악성코드 중 큰 비중을 차지했고 그 비율은 여전히 증가하고 있다. 대부분의 랜섬웨어 프로그램은 트로이 목마이기 때문에 일종의 소셜 엔지니어링을 통해 확산되어야 한다. 다른 모든 유형의 악성코드 프로그램과 마찬가지로 예방이 가능하지만, 일단 실행되면 검증을 거친 정상적인 백업 없이는 피해를 되돌리기 어려울 수 있다.
 
 
 
* '''파일리스''' 악성코드
 
파일리스 악성코드는 악성코드와 다르지는 않지만 익스플로잇 공격을 수행하고 버티는 방법에 대한 설명에 가깝다. 전통적인 악성코드는 파일 시스템을 이용해 이동하고 새로운 시스템을 감염시킨다. 현재 전체 악성코드 중 50% 이상을 구성하고 있으며 증가하고 있는 파일리스 악성코드는 파일 또는 파일 시스템을 직접 사용하지 않는 악성코드이다.
 
 
 
* '''애드웨어'''
 
운이 좋다면 유일하게 마주친 악성코드 프로그램이 해킹된 최종 사용자를 원치 않고 잠재적으로 악의적인 광고에 노출시키는 애드웨어일 것이다. 일반적인 애드웨어 프로그램은 사용자의 브라우저 검색을 다른 제품 광고가 포함된 유사한 웹 페이지로 재전송할 것이다.
 
 
 
* '''스파이웨어'''
 
스파이웨어는 사랑하는 사람의 컴퓨터 활동을 확인하고 싶어하는 사람들이 자주 사용한다. 물론, 표적 공격에서 범죄자는 스파이웨어를 사용하여 피해자의 키 입력을 기록하고 암호 또는 지적 재산에 접근할 수 있다. 애드웨어와 스파이웨어 프로그램은 일반적으로 제거가 가장 쉬우며, 그 이유는 다른 유형의 악성코드만큼 목적이 비도덕적이지 않기 때문인 경우가 많다. 악성 실행 파일을 찾아 실행되지 않도록 하면 그만이다.
 
 
 
* '''브레인 바이러스'''
 
역사상 최초로 컴퓨터에 실질적인 피해를 입힌 컴퓨터 바이러스이다. 디스크를 부팅하는 시간이 평소보다 오래 걸리며 디스크의 내용을 읽어들이는 속도가 느려진다. 디스크의 볼륨 라벨이 '(c) Brain'으로 바뀐다.<ref>〈[https://namu.wiki/w/%EB%B8%8C%EB%A0%88%EC%9D%B8%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 브레인 바이러스]〉, 《나무위키》</ref>
 
 
 
* '''예루살렘 바이러스'''
 
컴퓨터에 잠복해 있다가 13일의 금요일에 집중적으로 나타나는 바이러스다. EXE, COM 등의 확장자가 있는 실행프로그램을 파괴하는 것이 특징이다.<ref>〈[https://ko.wikipedia.org/wiki/%EC%BB%B4%ED%93%A8%ED%84%B0_%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 컴퓨터 바이러스]〉, 《위키백과》</ref>
 
 
 
* '''비엔나 바이러스'''
 
1987년 오스트리아 비엔나에서 만들어진 것으로 추정되는 컴퓨터 바이러스. 제작자는 알려지지 않았으나 비엔나 고등학교에 재학 중이던 학생이 만들었다는 루머가 있다. 진단명은 DOS.Vienna. 메모리 비상주 파일 바이러스로, 최초로 안티 바이러스 프로그램에 의해 치료된 바이러스인데, 증상을 보면 그럴 수밖에 없는 파괴적인 바이러스이다.<ref>〈[https://namu.wiki/w/%EB%B9%84%EC%97%94%EB%82%98%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 비엔나 바이러스]〉, 《위키백과》</ref>
 
 
 
* '''스톤드 바이러스'''
 
진단명은 DOS.Stoned. 국내에서는 '돌 바이러스'로 알려져 있으나, Stoned는 (대마초, 즉 마약에) 취한 상태를 의미한다. 감염된 저장 장치로 부팅을 하면 바이러스가 메모리에 상주한다. 이후, 다른 저장 장치로 부팅을 하거나 접근하면 해당 저장 장치의 부트 섹터에 전파된다. 감염된 저장 장치로 부팅할 때 1/8 확률로 비프음과 함께 Your PC is now stoned! LEGALIZE MARIJUANA! 라는 메세지가 출력된다.<ref>〈[https://namu.wiki/w/%EC%8A%A4%ED%86%A4%EB%93%9C%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 스톤드 바이러스]〉, 《위키백과》</ref>
 
 
 
* '''폭포 바이러스'''
 
80년대 말~90년대 초를 풍미했던 컴퓨터 바이러스. 독일에서 처음 발견된 바이러스로 사상 최초로 자신을 은폐하는 프로그램 암호화 기법을 도입한 바이러스이기도 하다. 감염된 파일을 실행하면 램에 올라가며, 램에 올라간 후 5분이 지나면 화면에 있는 글자가 하나씩 화면 아래로 떨어진다. 그냥 놔두면 글자가 전부 아래로 추락한다.<ref>〈[https://namu.wiki/w/%ED%8F%AD%ED%8F%AC%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 폭포 바이러스]〉, 《위키백과》</ref>
 
 
 
* '''다크 어벤저 바이러스'''
 
원산지는 불가리아로, 도스 시절 최악의 바이러스를 꼽으라고 하면 DIR-II 바이러스와 함께 1, 2위를 다투는 무시무시했던 바이러스이다. 감염 속도와 증상이 장난이 아닌 데다가 심지어 안티 바이러스 프로그램을 삭제하는 역공격까지 가한다. 증상은 일단 자신을 복제해 실행 프로그램을 감염시켜 1,800바이트를 늘리고, 감염된 프로그램이 16번째로 실행되면 다른 파일을 지우거나 시스템을 망가뜨린다.<ref>〈[https://namu.wiki/w/%EB%8B%A4%ED%81%AC%20%EC%96%B4%EB%B2%A4%EC%A0%80%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 다크 어벤저 바이러스]〉, 《위키백과》</ref>
 
 
 
* '''LBC 바이러스'''
 
1989년 8월에 나온 국산 컴퓨터 바이러스. 국산 최초라고 알고 있는 사람들이 많으나 사실 정확히 따지면 최초는 아니다. 정확히 최초는 '벌꿀 바이러스'라고 불리는 바이러스인데, 화면 위쪽에 화살표 모양이 좌우로 왔다갔다하며 신경 쓰이게 하는 것 외에는 아무 증상도 없던 바이러스. 게다가 등장 자체는 LBC보다 빨랐지만 사설 네트워크에서만 퍼진 지라 제대로 발 견보고가 된건 1990년이었다.<ref>〈[https://namu.wiki/w/LBC%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 LBC 바이러스]〉, 《위키백과》</ref>
 
 
 
* '''조쉬 바이러스'''
 
부트 섹터에 감염되어 메모리 6KB를 차지한다. 매년 1월 5일이 되면 부팅 시 화면이 파랗게 변하면서 한가운데에 하얀 글자로 Type "Happy Birthday Joshi"! (Happy Birthday Joshi라고 입력해줘!) 라는 메시지가 출력되고 부팅이 일시 정지되지만 Happy Birthday Joshi를 입력하면 다시 정상적으로 부팅된다. 제작자는 인도 뭄바이에 살던 마나브 조쉬(Manav Joshi)라는 소프트웨어 엔지니어. 실제 생일이 1월 5일이며, 아마 전 세계의 많은 사람들이 자기 생일을 축하해주길 바라는 마음에 만든 바이러스인 듯 하다. 어쨌건 현대의 파괴적이거나 사용자의 정보를 캐가는 악성 바이러스와 비교하면 지나치게 귀여운 컨셉이라고 할 수 있다.<ref>〈[https://namu.wiki/w/%EC%A1%B0%EC%89%AC%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 조쉬 바이러스]〉, 《위키백과》</ref>
 
 
 
* '''DIR-II 바이러스'''
 
도스 시절 다크 어벤저 바이러스와 함께 도스 시절 최악의 바이러스를 꼽으라면 1, 2위를 다투던 최악의 바이러스였다. 이것 역시 원산지는 불가리아로, 다크 어벤저와 함께 불가리아가 바이러스 제작소라는 악명을 얻는 데 공헌했다. 이 바이러스는 버그가 있는데, 바로 도스 5.0 이상에선 제대로 작동하지 않는다는 점이다. 하지만 오히려 이 버그가 증상을 악화시키는 계기가 되어 원래대로라면 별로 파괴적이지 않았던 증상이 치명적인 증상으로 변했다. 자신을 복제해 감염 파일에 써넣는 다른 바이러스들과는 달리 특이한 방법의 감염을 사용했던 것도 특징이다.<ref>〈[https://namu.wiki/w/DIR-II%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 DIR-II 바이러스]〉, 《위키백과》</ref>
 
 
 
* '''미켈란젤로 바이러스'''
 
이 바이러스는 작동되는 순간 디스크의 맨 처음에 위치한 섹터 100개를 null 값으로 채워버리고, 첫 번째 섹터(섹터 0)에 있어야 할 하드 디스크 MBR이나 플로피 디스크 부트 섹터를 딴 곳으로 날려버리면서 부팅 불가 상태로 만들어 버린다. 미켈란젤로 부오나로티의 생일인 3월 6일에 발동된다고 하여 미켈란젤로 바이러스로 불렸다. 이게 참 잡기가 힘든 것이, 이 바이러스 자체는 3월 6일이 아니라면 메모리가 2KB 줄어드는 것 외에는 아무 증상도 나타나지 않는다. 그래서 자기가 바이러스에 걸린 지도 모른 채 쓰고 있다가 3월 6일만 되면 컴퓨터가 순살당하는 사례가 잦았기 때문에 항상 3월 6일만 되면 긴장해야 했다.<ref>〈[https://namu.wiki/w/%EB%AF%B8%EC%BC%88%EB%9E%80%EC%A0%A4%EB%A1%9C%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 미켈란젤로 바이러스]〉, 《위키백과》</ref>
 
 
 
* '''카지노 바이러스'''
 
처음 COMMAND.COM 파일을 감염시킨 뒤 시스템 날짜가 1월/4월/8월 15일일 경우 부팅할 때마다 메시지가 나온다. 이 바이러스는 진짜로 FAT를 파괴하며, 그리고 램에 백업해 놓았다는 것 역시 사실이다. 램에 저장해 두었기 때문에 컴퓨터를 껐다 켜면 FAT테이블은 그대로 날아가 버리므로 이 바이러스의 제안대로 하드디스크를 놓고 바이러스와 대결을 해야 하는 SF 소설 같은 기묘한 상황이 펼쳐진다.<ref>〈[https://namu.wiki/w/%EC%B9%B4%EC%A7%80%EB%85%B8%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 카지노 바이러스]〉, 《위키백과》</ref>
 
 
 
* '''안젤리나 바이러스'''
 
스톤드 바이러스의 변종이다. 플로피 디스크나 하드 디스크의 부트 섹터에 자신을 덮어씌우고 정상적인 부트 섹터를 딴 곳으로 날리는 식으로 감염되며 기본 메모리를 1KB 줄인다. 감염된 부트 섹터 내에는 Greetings for ANGELINA!!!/by Garfield/Zielona Gora라는 문자열이 암호화되어 저장되어 있다.<ref>〈[https://namu.wiki/w/%EC%95%88%EC%A0%A4%EB%A6%AC%EB%82%98%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 안젤리나 바이러스]〉, 《위키백과》</ref>
 
 
 
* '''오토런 바이러스'''
 
한 때 USB로 전파되면서 기승을 부렸던 컴퓨터 바이러스의 총칭. CD나 USB 드라이브가 인식될 경우 안에 있는 autorun.inf 파일을 최우선으로 읽어 자동실행 한다는 점을 이용한 것으로, 꽂고나서 별다른 조치를 취하지 않으면 autorun.inf에 입력된대로 바이러스 코드를 실행하기 때문에 오토런 바이러스라고 불렸다. 주로 불특정 다수의 사용자가 USB를 꽂아 쓰는 대학이나 도서관의 공용 컴퓨터를 통해 감염되었다.<ref>〈[https://namu.wiki/w/%EC%98%A4%ED%86%A0%EB%9F%B0%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 오토런 바이러스]〉, 《위키백과》</ref>
 
  
* '''V3RES Trojan'''
+
감염 부위란 바이러스 프로그램이 위치하는 영역을 말하는 것으로 크게 4가지로 구분할 수 있다.<ref name="개념 및 종류"></ref>
이름 그대로 도스 시절 V3의 램 상주형 백신인 V3RES를 사칭하는 트로이 목마 타입의 컴퓨터 바이러스. 확장자가 EXE인 실제 V3RES와는 달리 COM으로 되어 V3RES.COM이라는 이름이다. COM인 이유는 도스 운영체제에선 같은 이름에 확장자만 다른 파일을 실행할 때는 우선순위가 지정되어 있어서 확장자까지 써주지 않는다면 항상 COM파일이 EXE 파일보다 먼저 실행되기 때문(COM - BAT - EXE 순서). 즉 그냥 V3RES라고 입력하고 엔터치면 무조건 V3RES.COM이 실행되게 되어있다. 이 트로이 목마가 유명했던 것은 바로 '백신 프로그램의 사칭'이었기 때문. 미켈란젤로 바이러스 같은 바이러스들은 신문에서도 주요 소재로 다룰만큼 공포의 존재였는데, 그래서 사람들은 백신 프로그램을 갈구했었다.<ref>〈[https://namu.wiki/w/V3RES%20Trojan V3RES Trojan]〉, 《위키백과》</ref>
 
  
== 최악의 바이러스 ==
+
* '''부트 바이러스'''(Boot virus) :  컴퓨터가 처음 가동되면 하드디스크의 가장 처음 부분인 부트섹터에 위치하는 프로그램이 가장 먼저 실행되는데, 이곳에 자리잡는 컴퓨터 바이러스를 부트 바이러스라고 한다. 대표적으로 브레인 바이러스(Brain virus)과 지금까지도 많은 피해를 주고 있는 원숭이 바이러스(Monkey virus) 및 감염 빈도가 높은 Anti-CMOS 등이 있다.
* '''CIH'''
 
진단명 Win95/CIH. 1999년 4월 26일, 전 세계의 수많은 PC를 파괴하면서 사람들에게 컴퓨터 바이러스가 얼마나 무서운지 인식시켜 준 바이러스이다. 이 바이러스는 컴퓨터 내부의 모든 실행 파일을 감염시키는데, 종래의 바이러스와는 달리 파일 속에서 빈 공간을 찾아 덮어쓰는 방식을 썼기 때문에 감염되어도 파일 용량의 차이가 발생하지 않는다. 작업 관리자를 보면 바이러스가 실행되고 있다는 것을 알 수 있다. 그리고 감염이 완료된 실행 파일이 실행되면 CIH 바이러스가 같이 시작되며, 그리고 그 날짜가 4월 26일이면 바이러스가 컴퓨터를 파괴한다. 여담으로, 바이러스 코드의 용량은 고작 1KB이다.<ref>〈[https://namu.wiki/w/CIH%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 CIH 바이러스]〉, 《위키백과》</ref> CIH의 피해가 컸던 이유는 바이러스가 실행되자마자 PC의 하드 드라이브에 있는 데이터를 덮어씀으로써 운영을 할 수 없도록 만들었기 때문이다. 또한 호스트의 BIOS도 덮어쓸 수 있어 부팅을 할 수 없게 했다. 또한 CIH가 실행 파일을 감염시키기 때문에 게임을 포함한 여러 소프트웨어의 실행 자체가 불가능했다. CIH는 체르노빌 바이러스로도 불리는데, 체르노빌 원자력발전소 사고가 발생한 날과 CIH가 발생한 날이 일치하기 때문이다.
 
  
* '''멜리사(Melissa)'''
+
* '''파일 바이러스'''(File virus) : 실행 가능한 프로그램에 감염되는 바이러스를 말한다. 감염되는 대상은 확장자가 COM, EXE인 실행파일이 대부분이다. 국내에서 발견된 바이러스의 80% 정도가 파일 바이러스에 속할 정도로 가장 일반적인 바이러스 유형이다. 국내에서는 예루살렘 바이러스(Jerusalem virus)과 선데이 바이러스(Sunday virus)을 시작으로, 1997년과 1998년 적지 않은 피해를 준 전갈 바이러스(Scorpion virus), 까마귀 바이러스(Crow virus), FCL이 있다.
1999년 3월 26일 금요일, W97M/Melissa 바이러스가 전세계의 뉴스 헤드라인을 장식했다. 모든 기업용 PC의 워드 매크로 스크립트 중 15~20%가 감염되어 3억~6억 달러의 피해를 입었다. 이 바이러스는 급속도로 퍼졌기 때문에 마이크로소프트 아웃룩을 사용하던 인텔과 마이크로소프트 및 수많은 기업들이 피해를 막기 위해 전체 이메일 시스템을 차단해야만 했다. 이 바이러스는 마이크로소프트 아웃룩을 사용해 바이러스가 담긴 파일을 받은 사람이 첨부 파일을 열 경우 즉시 감염되며, 감염된 사용자의 주소록에 있는 50명에게 이메일을 보내 바이러스를 전파시킨다. 멜리사 바이러스는 '중요한 메시지'인 것처럼 위장했다. 이메일에 "당신이 요구한 문서입니다. 다른 사람에게는 보여주지 마세요"라는 영어 문구가 있으며, 첨부된 워드 문서와 함께 발송된다. 해당 문서를 클릭하면 바이러스가 호스트를 감염시키고 복제를 반복하게 된다. 멜리사 바이러스는 사용자의 워드 문서의 매크로 기능을 임의대로 변경해 피해를 입힐 수 있다.
 
  
* '''ILOVEYOU'''
+
* '''부트/파일 바이러스'''(Multipartite virus) : 부트섹터와 파일에 모두 감염되는 바이러스로 대부분 크기가 크고 피해 정도가 크다. 국내에서 발견된 바이러스는 1990년 처음 발견된 침입자(Invader) 바이러스를 대표로 외국보다 빠른 대처로 인하여 이름에 혼란을 주었던 안락사(Euthanasia)가 있다. 국내 제작 바이러스로는 1998년에 발견된 에볼라(Ebola)가 대표적이다.
러브레터나 러브 버그(Love Bug)로도 알려져 있는 이 바이러스는 비주얼 베이직 스트립트 바이러스로, 연애 편지로 위장해 메일로 발송된다. 2000년 5월3일에 처음 유포된 ILOVEYOU 바이러스는 홍콩에서 처음 발견되었다. 'ILOVEYOU'라는 제목과 함께 Love-Letter-For-You.TXT.vbs라는 첨부 파일이 포함되어 이메일로 전송되며 멜리사처럼 마이크로소프트 아웃룩 주소록을 타고 전파된다. 이 바이러스는 또한 음악 파일과 이미지 파일 등을 다른 복제 파일로 덮어쓴다. 아울러 감염된 시스템의 사용자 ID와 비밀번호를 빼내 이메일로 유포자에게 전송하기도 한다. 피해액은 100~150억 달러에 이르는 것으로 추정된다. 흥미로운 것은, 이 바이러스를 제작한 필리핀 청년은 당시 필리핀에서 바이러스 유포에 대한 법적 처벌 규정이 없어 아무런 처벌도 받지 않았다는 점이다.
 
  
* '''코드 레드(Code Red)'''
+
* '''매크로 바이러스'''(Macro virus) : 새로운 파일 바이러스의 일종으로, 감염 대상이 실행 파일이 아니라 마이크로소프트사의 엑셀과 워드 프로그램에서 사용하는 문서 파일이다. 또한 응용 프로그램에서 사용하는 매크로 사용을 통해 감염되는 형태로 매크로를 사용하는 문서를 읽을 때 감염된다는 점이 이전 바이러스들과는 다르다.
코드 레드는 네트워크 서버나 인터켓을 통해 전파되는 바이러스로, 2001년 7월13일에 처음으로 네트워크 서버에서 발견되었다. 특히, 마이크로소프트의 인터넷 인포메이션 서버(IIS) 웹 서버에서 구동하는 컴퓨터를 타깃으로 했기 때문에 치명적인 버그였다. 이 웜은 IIS 운영체제의 특정 취약점을 공략할 수 있었다. 재미있는 점은 마이크로소프트가 6월 중순에 이미 이러한 취약점 해결을 위한 패치를 발표했었다는 것이다. 베이비(Baby)로도 알려진 코드 레드는 막대한 피해를 입히도록 개발되었다. 감염될 경우, 감염된 서버에 의해 통제되는 웹 사이트에 "안녕하세요! http://www.worm.com에 오신 것을 환영합니다! 중국인에 의해 해킹 당했습니다!"라는 영어 문구가 뜬다. 그런 다음에는 다른 취약한 서버를 찾아 감염시킨다. 바이러스 공격은 약 20일 동안 지속되었으며, 미국 백악관의 웹 서버를 포함해 특정 IP 주소에 대한 서비스 거부 공격을 감행했다. 일주일도 안되어 40만 대의 서버를 감염시켜 26억 달러 규모의 피해를 입혔으며, 백만 대의 컴퓨터를 감염시켰다.
 
  
* '''SQL 슬래머(Slammer)'''
+
===운영체제에 따른 분류===
사파이어(Sapphire)로도 알려진 SQL 슬래머는 2003년 1월25일에 출현했다. 과도한 인터넷 트래픽을 유발한 이 바이러스는 최종 사용자의 PC가 아닌 서버를 타깃으로 삼았다는 점에서 흥미롭다. 376바이트의 작은 패킷 하나로 임의의 IP 주소들을 생성하고 그러한 IP 주소로 다시 전송함으로써 SQL 서버를 감염시켰으며 이와 동시에 초당 20Mbps의 트래픽을 발생시켰다. 마이크로소프트의 SQL 서버 데스크톱 엔진이 패치를 갖고 있지 않을 경우 순식간에 감염되며 전파된다. SQL 슬래머는 단 10분만에 75,000대의 컴퓨터를 감염시켰다. 전세계 라우터에 과도한 트래픽을 발생시켜 인터넷을 마비시켰다. SQL 슬래머가 토요일에 발생해 피해는 적었지만 전세계 50만 대의 서버를 공격했으며, 한국의 인터넷 접속이 12시간 동안 불통되는 사태를 초래했다.
+
[[IBM]] 호환 기종중 현재 바이러스가 발견된 운영체제는 [[도스]], [[윈도우시리즈]], [[리눅스]] 등이며 애플리케이션으로는 [[MS 오피스]](액세스, 엑셀, 워드, 파워포인트)와 mIRC 등의 자체 [[스크립트 언어]]를 내장한 프로그램들이다.<ref name="개념 및 종류"></ref>
  
* '''블래스터(Blaster)'''
+
* '''도스 바이러스'''(DoS virus) : 일반적인 부트, 파일, 부트/파일 바이러스는 대부분 도스용 바이러스다. 감염 부위에 따라 부트, 파일, 부트/파일 바이러스로 나뉜다. 80년 중반 이후부터 90년 중반까지 약 10년간 왕성한 활동을 도스 바이러스는 윈도우95의 등장과 도스 사용자가 감소함에 따라 수적으로나 피해 규모면에서 감소할 것으로 예상된다. 그러나 여전히 도스용 파일 바이러스는 윈도우 95에서 문제를 일으킨다. 또한 부트 바이러스의 경우 이미 시중에 많이 퍼져 있고 '윈도우 2000'이 일반화될 때까지 멸종하지 않는다면 지금처럼 많은 문제가 발생할 것이다. 여전히 원숭이, Anti-CMOS, One-Half 바이러스가 기승을 부리고 있다.
IT 전문가들은 블래스터와 소빅(Sobig) 웜이 잇달아 출현하면서 이에 대응해야 했다. 러브샌(Lovsan)이나 MSBlast로도 알려진 블래스터가 먼저 등장했다. 바이러스는 8월11일에 처음 탐지되어 이틀 만에 급속히 확산되었다. 네트워크와 인터넷 트래픽을 통해 전송된 이 웜은 윈도우 2000과 윈도우 XP의 취약점을 공격했으며, 활성화될 경우, 시스템을 재시동한다는 메시지가 뜨며 시스템을 종료하는 경우가 발생한다. MSBLAST.EXE의 코드에 숨겨진 이 바이러스의 실행 파일에는 마이크로소프트의 빌 게이츠 회장을 겨냥한 다음과 같은 "LOVE YOU SAN(사랑하오 성인군자 나리)!! 빌 게이츠, 당신은 왜 이런 해킹이 가능하게 하는가? 돈 벌 생각 그만 하고 소프트웨어부터 손 봐라!!"라는 영문 메시지가 있다. 이 바이러스는 수십만대의 PC를 감염시켜 20~100억 달러의 피해를 입힌 것으로 추산된다.
 
  
* '''Sobig.F'''
+
* '''윈도우 바이러스'''(Window virus) : 도스 기능을 사용하는 반쪽자리 윈도우 바이러스로 94년 처음 등장한 윈도우 바이러스는 97년부터는 컴퓨터를 이용하는 최대 바이러스로 부상했다. 현재 가장 문제가 되고 있는 바이러스는 윈도우 95/98용 바이러스인데, 이들 바이러스는 '윈도우 2000'에서는 동작하지 않거나 오동작 할 가능성이 크다. 하지만, 윈도우 2000이 널리 사용되기 전까지는 윈도우 95/98 사용자들에게 많은 피해를 줄 것으로 예상된다. 또한 바이러스 제작 기법과 전파 기법도 매우 다양해지고 있다. 이메일로 바이러스를 전송하는 기법은 이들 윈도우 바이러스들에서 처음 사용됐다. 대표적인 예로 Win95/CIH, Anxiety_Poppy, Win95/Marburg, Win95/Padania, Win32/Parvo 등이 있다.
소빅 웜 중에서 파괴력이 가장 큰 변종은 Sobig.F로, 후에 마이둠(MyDoom)에 의해 기록이 깨지긴 했지만 역사상 가장 빠른 속도로 전파된 웜으로서, 8월19일에 출현한지 24시간 동안 1백만 개의 복제판을 만들어냈다. 이 바이러스는 application.pif와 thank_you.pif 등의 이름이 붙은 이메일 첨부파일을 통해 호스트 컴퓨터를 감염시켰다. 활성화될 경우, 이 웜은 로컬 파일 형태의 호스트에 위치한 이메일 주소록을 통해 전송된다. 그 결과, 엄청난 양의 인터넷 트래픽이 범람하게 된다. 2003년 10월10일, 50~100억 달러 규모의 피해를 입히고 백만 대 이상의 PC를 감염시킨 다음 자체적으로 비활성화되었다. 마이크로소프트는 Sobig.F의 유포자를 제보하는 사람에게 25만 달러의 현상금을 지불하겠다고 발표했지만 지금까지 체포되지 않고 있다.
 
  
* '''베이글(Bagle)'''
+
===애플리케이션 파생 바이러스===
고전적이지만 정교한 웜인 베이글은 2004년 1월18일에 등장했다. 이 악성 코드는 전통적인 메커니즘인 이메일 첨부파일을 통해 사용자의 시스템을 감염시킨 다음에 복제로 사용되는 이메일 주소를 위해 윈도우 파일을 검색한다. 베이글 및 베이글의 60~100여종의 변종에 PC가 감염될 경우 감염된 시스템에서의 데이터 접근을 위해 원격지 사용자들과 애플리케이션에 의해 사용되는 TCP 포트에 대한 백 도어를 제공한다는 점에서 위험성이 크다. 이 웜은 일반적으로 자신의 이름을 알리고자 하는 해커에서 금전적인 이득을 취하려는 '범죄자'로 이동하는 멀웨어(malware)의 본격적인 활동을 알리는 '신호탄'이 되었다. 베이글.B 변종은 2004년 1월28일 이후에 활동을 중지하도록 개발되었지만 그 이후에도 수많은 변종이 연이어 등장하면서 현재까지도 활동을 계속하고 있다. 베이글 웜은 수천만 달러의 피해액을 입힌 것으로 추산된다.
+
애플리케이션에 내장된 매크로 혹은 스크립트 언어를 사용해서 바이러스를 제작 가능하리라는 예상은 지난 91년부터 시작되었다. 그러나 이를 이용한 실제 바이러스는 지난 94년 12월 최초로 발견됐으며, 실제로 문제가 되기 시작한 것은 95년 중반부터였다. 현재 이런 원리를 이용한 매크로 바이러스와 스크립트 바이러스가 사용자를 괴롭히는 최대 바이러스로 부상했다. 매크로 바이러스는 운영체제와 상관없이 응용 프로그램을 플랫폼 삼아 작동한다. 즉 IBM 호환 기종의 운영체제, 매킨토시 기종의 운영체제 등에서 실행되는 워드, 엑셀 등에서만 활동한다. 그러나 매크로 기능이 있는 모든 응용 프로그램에 감염되는 것은 아니다. 매크로 바이러스를 만들 수 있게 된 것은 MS 워드, 엑셀이 인터프리터에 의해 해석되는 프로그래밍 언어 수준의 매크로 언어를 지원하기 때문이다. 이들 매크로 언어는 MS의 비주얼 [[베이직]] [[프로그래밍 언어]]와 비슷한 문법 체계를 갖고 있다. 그것이 바로 VBA(Visual Basic for Applications) 환경이다. 매크로 바이러스의 경우 세계적으로 워드, 엑셀 바이러스가 기승을 부리고 있지만, 국내에서는 특히 엑셀 바이러스의 피해가 극심하다. 수가 적기는 하지만 파워포인트와 액세스 바이러스도 등장했다. 이들 바이러스는 이메일을 전파 수단으로 사용하곤 한다. 스크립트 바이러스는 각종 스크립트 언어로 작성된 바이러스를 말한다. 예전에는 도스용 패치파일 스크립트 바이러스 제작에 사용됐으나, 윈도우가 일반적인 운영체제로 자리 잡으면서 mIRC, VBS, HTML 등의 스크립트 언어가 유행을 타고 있다.<ref name="개념 및 종류"></ref>
  
* '''마이둠(MyDoom)'''
+
* '''유닉스, 리눅스, 맥, OS/2 바이러스''' : Linux와 OS/2용으로도 바이러스가 존재하지만 이들 바이러스는 일반에 퍼지지는 않고 대부분 겹쳐쓰기 정도에 이들 OS에서도 바이러스를 제작할 수 있다는 증명을 한 정도의 수준에 머무르고 있다. 하지만, 이들 OS도 사용자가 증가한다면 새로운 바이러스가 등장할 가능성은 매우 높다.
2006년 1월26일, 마이둠은 불과 몇 시간 만에 이메일을 통해 인터넷을 타고 엄청난 속도로 전파되어 전세계를 충격으로 몰아넣었다. 이 웜은 특정한 우회 방법을 통해 전파되었는데, "메일 송수신 오류(Mail Transaction Failed)"라는 제목으로 이메일 에러 메시지처럼 보이게 위장하면서 첨부파일을 통해 전송되었다. 첨부파일을 클릭하면 주소록의 이메일 주소로 웜이 전파된다. 마이둠은 또한 사용자의 카자(Kazza) P2P 네트워킹 계정의 공유 폴더를 타고 전파될 수도 있다. 전파 속도가 절정에 올랐을 때, 마이둠은 전세계 인터넷 속도를 크게 떨어뜨렸으며, 웹 로드 시간도 50%로 줄어들게 했다. 보안 전문가들은 마이둠이 퍼지기 시작한 몇 시간 동안 발송된 10개의 이메일 메시지 중 하나당 이 바이러스가 포함되어 있는 것으로 추정하고 있다. 마이둠은 2004년 2월12일 활동을 중단하도록 프로그래밍되었다.
 
  
* '''사세르(Sasser)'''
+
* '''자바 바이러스''' : 현재 발견된 자바 바이러스는 2종 정도 된다. 최초 바이러스는 1998년 여름 발견되었다. 이들 바이러스 역시 자바가 디스크에 접근할 권한이 있어야만 하며 자바 애플릿이 아닌 자바 애플리케이션을 감염시킨다. 대부분의 시스템에서는 자바가 디스크에 접근하지 못하게 설정되어 있는 등 제약이 있으므로 이들 바이러스 역시 일반인에게는 크게 문제가 되지 않는다.
사세르는 2004년 4월30일에 퍼지기 시작했으며, 일부 프랑스의 뉴스 방송국의 위성 통신을 중단시킬 만큼 파괴력이 높았다. 또한 델타 항공의 일부 운항을 취소시켰으며, 전세계 수많은 기업들의 시스템을 중간시키는 결과를 초래했다. 이전에 등장했던 대부분의 웜과는 달리, 사세르는 이메일을 통해 전파되지 않으며, 사용자의 상호작용을 요구하지도 않는다. 대신에, 윈도우 2000과 윈도우 XP 시스템이 갖고 있는 보안의 취약점을 공략했다. 성공적으로 복제될 경우, 이 웜은 보안이 취약한 다른 시스템을 찾아낸 다음, 자가 복제를 계속한다. 감염된 시스템은 시스템이 계속 중단되며 수천만 달러의 피해를 입게 되었다. 사세르는 17세의 독일 고등학생에 의해 제작되었는데, 그는 이 바이러스를 자신의 18번째 생일에 유포했다. 당시 미성년자였기 때문에 독일 법원은 그에게 집행 유예의 판결을 내렸다.
 
  
== 바이러스 증상 ==
+
== 대처 및 예방법 ==
다음 증상이 지속적, 또는 갑자기 발생하면 바이러스 감염을 의심해볼 있다.
+
=== 감염 대처법 ===
 +
대부분의 사람들이 컴퓨터 바이러스에 걸리면 먼저 불안한 마음과 걱정이 앞선다. 무엇을 어떻게 해야 할지, 치료는 어떻게 하고 포맷을 꼭 해야만 되는 건지 등으로 난감해한다. 다음은 현명하게 컴퓨터 바이러스에 대처할 있는 방법이다.<ref name="감염 대처법">월간 정보통신윤리, 〈[https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=4490 (컴퓨터 바이러스 유포현황 및 대책) ② 컴퓨터 바이러스 감염 대처법]〉, 《안랩》, 2013-07-01</ref>
  
# 정지상태인 경우
+
* '''1단계''' : 컴퓨터 바이러스에 감염되면 HDD포맷과 FDISK 사용은 가급적 피해야 한다. 바이러스에 걸렸을 때, 자신의 컴퓨터로부터 바이러스를 쉽고, 확실하게 없애기 위해 하드디스크를 포맷하는 사람들이 많이 있지만 이것은 결코 최상의 방법이 아니다. 왜냐하면 대부분의 바이러스는 비교적 쉽게 치료가 가능하고, HDD 포맷이나 운영체제 응용프로그램 설치에는 많은 시간이 소비되며, 제대로 백업이 이뤄지지 않은 상태에서 FDISK를 하면 중요한 데이터가 손실될 있기 때문이다.
# 프로그램이 응답하지 않거나 작동하지 않은 경우
 
# 파일이 삭제된 경우
 
# 안티 바이러스 및 방화벽의 비활성화한 경우
 
# 기타 이상한 행동(화면이 다른게 보인다거나, 프로그램이 다른 언어로 변경 등)
 
# 컴퓨터가 평소와 달리 심하게 느려지는 경우
 
# 아예 부팅이 되지 않는 경우
 
# 특정 응용 프로그램의 실행이 평소보다 더디게 진행되는 경우
 
# 특정 파일 등의 정보(크기, 이름 등)가 지속적으로 변하는 경우
 
# 기타 평소 발생하지 않은 의심스러운 증상이 발생하는 경우
 
# 이상한 파일(예: wosfawr.exe, iliawtzg.exe등)이 생성된 경우
 
# .exe(실행 파일)
 
# .com(MS-DOS에서 사용된느 실행 파일 형식)
 
# .bat(배치 파일 MS-DOS에서 원래 사용된 명령 목록 포함)
 
# .cmd(.bat파일과 유형 및 범위가 유사함)
 
# .doc, .xls, .ppt(MicrosoftWord, Excel PowerPoint파일에는 모두 매크로 형식의 악성 코드가 포함 될 있음)
 
  
그리고 몇몇 바이러스들은 증상이 심해지거나 본격적인 증상이 발동되면, 제작자의 메세지나 장난성 그래픽 효과가 튀어나오기도 한다. 이는 바이러스 제작자가 스스로를 과시하기 위한 용도, 혹은 모종의 메세지를 주기 위해서일 가능성이 크다. 일반적으로 컴퓨터에서 실행되는 모든 파일에는 바이러스가 첨부 될 있다.
+
* '''2단계''' :  바이러스 감염증상을 정확하게 구별해야 한다. 컴퓨터에 이상이 있을 경우 먼저 [[소프트웨어]]상의 문제인지 아니면 [[하드웨어]]상의 문제인지 구분할 줄 알아야 한다. 그러나, 전문가가 아닌 일반인이 이를 정확하게 구분하는 것은 어려운 일이다. 하드웨어 혹은 관련뉴스그룹이나 백신 사이트 등을 통해서도 알 수 있지만, 바이러스의 존재여부를 알 있는 가장 좋은 방법은 여러분들이 사용하고 있는 백신 프로그램을 일단 한 번 실행하여 보는 것이다.
  
따라서 이러한 모든 파일에는 사용자의 주의가 필요하다.
+
* '''3단계''' :  바이러스를 정확하게 알고 있어야 한다. 자신의 컴퓨터를 괴롭힌 바이러스가 이미 알려져 있는 경우에는 일반적으로 백신 업체나 관련 연구소 바이러스 샘플에 대한 분석정보를 웹에 공지하기 때문에 홈페이지를 방문하면 누구나 손쉽게 알 수 있다. 그리고 백신 프로그램에서 신종 바이러스로 탐지되어 의심이 가는 파일은 백신 업체나 관련 연구소로 송부하여 분석을 의뢰하면 보다 확실하게 알 수 있다.
  
== 대안 ==
+
:*  바이러스 백신 프로그램이 알려지지 않은 바이러스라고 탐지할 경우 : 백신 프로그램이 알려지지 않은 바이러스라고 탐지할 경우가 있다. 이와 같은 경우엔 아래와 같은 사항을 고려했는지 확인하면 바이러스에 대한 오류판정을 최소화 할 수 있다.
바이러스를 예방하기 위해선 여타 다른 악성코드들과 다를 것 없이, 우선 안티 바이러스 소프트웨어를 활성화하고, 항상 주기적으로 업데이트하며 윈도우 보안 업데이트를 설치해야만 한다. 또한 의심스러운 사이트나 프로그램 등은 실행 전 충분한 경계가 요구된다. 대부분의 안티 바이러스 소프트웨어는 이러한 바이러스들을 감지하고 치료할 수 있는 능력을 가지고 있다. 또는 웹사이트 등의 경우 바이러스 토탈 등으로 검사하는 것도 좋다. 주기적으로 컴퓨터의 임시 파일을 정리하는 것도 도움이 될 수 있다.
 
  
하지만 요즘 백신도 잡아내지 못하는 바이러스도 종종 등장하고 있는데, 시스템 파일 중 하나로 위장하고 원래 시스템 파일은 먹통으로 만드는 바이러스도 있다. 시스템 파일은 삭제하기도 힘들고 잘못 건들면 컴퓨터를 먹통으로 만들기도 하니 치료에 주의해야 한다.
+
:* 바이러스로 의심되는 파일이라고 탐지할 경우 : 최신버전의 백신 프로그램으로 다시 스캔하여도 알려지지 않은 바이러스라고 탐지하는 경우에는 의심되는 특정 파일을 백신 업체나 관련 연구소로 파일을 보내어 분석을 요청한다. 파일에 대한 분석요청 후 답장을 받기 전에는 의심이 가는 파일을 실행하지 않도록 한다.  
  
=== 항상 준비된 백업 ===
+
:* 동일한 파일에 대해 백신프로그램의 결과가 일치하지 않을 경우 : 두 개의 백신 프로그램에서 하나의 파일에 대해 감염 여부가 일치하지 않을 경우가 있다. 이와 같은 경우엔 먼저 두 개의 백신 프로그램의 버전이 최근 것인지 아닌지 확인한 후에 다시 파일검사를 해야 한다. 만약 동일한 결과가 지속적으로 나타나면 백신 업체나 연구소에 파일을 송부하여 분석을 의뢰하는 것이 좋다.
최악의 경우에는 중요한 파일과 프로그램을 모두 백업하는 것보다 더 빨리 원상복구 할 수 있는 법은 없다. 그 무엇보다 먼저 정지적인 백업 시스템을 갖추고 있는지 확인해야한다.
 
  
=== 신뢰할 있는 사이트 ===
+
:* 동일한 바이러스가 서로 다른 이름으로 표시될 경우 : 탐지된 동일한 바이러스를 백신 프로그램마다 서로 다른 이름으로 표시하는 경우를 종종 볼 있다. 이는 표준화된 바이러스 명명법이 없기 때문에 백신 업체나 연구소들마다 조금씩 차이가 있다. 만약 탐지된 해당 바이러스에 대해 궁금한 사항이 있다면 공개된 웹을 직접 방문하면 쉽게 답을 얻을 있다.
바이러스는 종종 감염된 프로그램을 통해 컴퓨터에 침투하기 때문에 본래의 공급업체 또는 신뢰할 있는 [[웹 사이트]]에서 [[소프트웨어]]를 다운로드 하는 것이 좋다.
 
  
==== 신뢰할 수 없는 사이트의 위험 ====
+
:* 한 가지 이상의 바이러스에 감염되었을 경우 : 하나의 파일에 대해 서로 다른 바이러스에 재차 감염될 수도 있는데 보통 실행 파일이 이중으로 감염되는 사례가 많다. 이와 같은 경우에는 감염된 실행파일을 삭제한 후 백업파일에서 복구하는 것을 권한다. 만약 그와 같은 방법으로 복구가 불가능할 경우에는 백신으로 감염된 파일을 치료하고 반드시 한번 더 스캔을 하여 바이러스가 없다는 것을 확인한 후에 사용하여야 한다.
필요한 프로그램을 다운로드 받으실 때에는 올바른 위치에서 다운로드할 수 있도록 주의가 필요하다. 이전에 프로그램이 CD와 DVD를 통해서만 설치가 가능했을 때에는 바이러스를 만든 사람이 설치 파일에 바이러스를 첨부하지는 않았다. 하짐나 이제 우리는 수많은 프로그램을 온라인으로 다운로드 받기 때문에 바이르스 개발자들은 감염된 프로그램 파일을 진짜 거래처럼 보이고 느껴지도록 디자인하여 업로드할 수 있다.
 
  
따라서 가능하면 인증된 채널을 통해서 설치 파일을 다운로드 하는 것이 좋다. 설치 파일이 웹사이트를 통해 제공되거나 게임용 스팀과 같은 타사 서비스 또는 앱 스토어에서 제공되어도 언제나 주의가 필요하다. 특히 다운로드 하려는 앱이 타사 웹 사이트에서만 가능한 경우에는 각별히 주의해야 한다.
+
:* 메모리상주형 바이러스를 치료하고자 할 경우 : 메모리상주형 바이러스를 치료하기 위해서는 일반적으로 깨끗한 부팅디스크로 부팅하여 도스 상태에서 탐지도구를 구동하여 치료하는 것이 바람직하다. 왜냐하면 바이러스가 메모리에 상주해 있을 때에 백신으로 치료하면, 감염된 파일에서는 해당 바이러스 코드는 사라져도, 다시 쉽게 파일들을 감염시키기 때문에 근본적인 해결책이 못되기때문이다.
  
=== 무료 소프트웨어 사이트 ===
+
* '''4단계''' :  바이러스 관련 정보를 가능한 한 많이 수집해야 한다. 바이러스에 대한 정보는 많이 알고 있으면 있을수록 자기 자신에 도움이 된다. 백신 프로그램 회사, 바이러스 연구소 등에서 제공하고 있는 바이러스 관련 최신의 정보를 자주 접하도록 하고, 가짜 바이러스와 진짜 바이러스를 판별할 있도록 하며, 바이러스에 대한 적절한 예방법과 치료법을 숙지한다.
무료 사이트는 대게 무료 애플리케이션을 다운로드할 수 있는 안전한 장소로써 알려져 있지만, 사실은 그렇지 않다. 컴퓨터 바이러스를 방지하기 위해서는 신뢰할 없는 사이트에서 프로그램을 다운로드 하지 말아야한다. 이는 부가적인 소프트웨어가 다운로드에 번들로써 포함될 수 있고 이러한 추가 기능의 다운로드를 거부하는 옵션은 찾기가 매우 까다로울 수 있다. 추가 기능이 곧 바이러스일 것이라는 확신은 없짐나 종종 정크(junk) 또는 애드웨어로(adware) 분류될 수 있다.
 
  
=== 이메일의 첨부 파일 ===
+
* '''5단계''' : 바이러스의 위치를 파악해야 한다. 감염된 파일을 삭제하고 관련 응용 프로그램을 새로이 설치하거나 백업파일로부터 감염된 파일을 복구하는 것을 권고한다. 감염된 파일을 깨끗한 원본파일로 복원하기 위해서는 정기적으로 [[데이터]]를 [[백업]]해 놓아야한다. 또한 백신 프로그램으로 모든 드라이브를 스캔할 때 감염된 파일의 이름과 위치를 복구시에 활용할 수 있도록 스캔 결과 파일을 반드시 생성하도록 한다.
불행히도, 이메일 바이러스는 수년 전부터 꾸준히 존재해 왔지만, 여전히 일상속에 실질적인 위협을 주는 대상으로 자리하고 있다. 이러한 바이러스 감염 방법은 일반적으로, Word문서처럼 겉보기에 유해하지 않아 보이는 첨부 파일을 받는 것으로부터 시작된다. 메일에 첨부된 파일을 다운로드 하고 열어 보면, 단 몇 초 만에 내부의 매크로 바이러스가 시스셈에서 가장 가까운 프로그램 파일을 장악 할 수 있다.
 
  
==== 의심 가는 파일 ====
+
* '''6단계''' : 바이러스를 제거해야 한다. 원본 파일이나 백업 데이터가 있다면 감염된 파일을 삭제하거나 복구하는 것이 백신으로 치료하는 것보다 더 안전할 수 있다. 감염된 파일에서 [[악성코드]] 부분을 분리하여 삭제하는 것은 쉽지가 않아 완전히 치료하지 못할 경우 더 큰 문제를 일으킬 수 있기 때문에 치료는 감염된 파일에 대한 대체가 불가능 경우에만 하는 것도 좋은 방법이다. 만약 감염된 파일이 현재 사용 중이어서 운영체제에 의해서 접근 불가한 경우에는 사용하고 있는 응용프로그램을 중단하고 해당 파일을 삭제한다.  
이메일 바이러스를 피하는 근본적인 방법은 이메일을 열지 않거나 의심이 가는 첨부 파일을 클릭하지 않는 것이다. 혹시라도 동료로부터 "확인 부탁드립니다"라는 제목의 이메일을 받았더라도 의심해보는 자세를 가져야 한다. 혹은 권위 있는 회사의 이름을 빌려 "송장"이 첨부된 이메일을 받았다면 부디 바이러스에 감염되는 불상사가 없기를 바란다.
 
  
=== 이미지 미리보기의 위험성 ===
+
* '''7단계''' : 바이러스 제거여부를 확인해야 한다. 두 개 이상의 백신 프로그램을 이용해 바이러스가 완전히 제거되었는지 확인해야 한? 그리고 바이러스 주의 메일을 간단하게 공지하여 이상 주변 사람들이 피해를 입지 않도록한다.  
이메일에 첨부 파일을 열 때 주의하는 것 외에도, 바이러스 감염 예방의 방법은 이메일에 포함된 이미지가 자동으로 로드되지 않도록 하는 것이다. 이메일의 이미지가 그 자체로 악의적일 수 있는 지에 대해서는 명확하지 않지만, 이메일에 로드되는 이미지는 추적 기능을 포함할 수 있는데, 이는 곧 악의적인 바이러스가 포함된 이메일 중 하나를 클릭한 것일 수도 있다. 이를 통해 바이러스는 감염된 메일을 편지함으로 많이 보낼 수 있다. 또한 [[멀웨어]]는 파일 확장자를 숨긴 채 이미지 첨부 파일로 표시되어 있을 수 있다. 이러한 이미지를 클릭하게 된다면 컴퓨터 바이러스에게 쉽게 문을 열어 줄 수 있으므로 메일 안에서 로드 되지 않는 이미지를 사용하지 않도록 설정한다. 신뢰할 수 있는 소스에서 이메일을 받을 때는 이미지를 임시로 다운로드하는 옵션이 항상 존재하기 마련이다.
 
  
=== 멀웨어 솔루션 사용 ===
+
* '''8단계''' : 재감염을 주의해야 한다. 감염된 파일에서 바이러스를 제거하거나 치료하는 것은 좋다. 그러나 더욱 좋은 방법은 감염되지 않도록 예방하는 것이다.
어쩌면 너무나도 당연한 이야기처럼 들릴 수 있지만 컴퓨터에서 항상 안티 바이러스/안티 악성코드 솔루션을 실행하는 것은 매우 중요하다. 퍼뜨리고 돌연변이를 일으킨다는 것과 같은 바이러스의 생물학적 이름을 똑같이 딴 이 컴퓨터 바이러스는 가능한 한 빨리 잡는 것이 무엇보다 중요하다. 악성 소포트웨어 방지 솔루션은 손상된 파일을 검역소에 보관하여 바이러스를 효과적으로 억제하고 확산을 방지하도록 한다. 새로운 위협으로부터 사용자를 보호하려면 사용할 도구가 하루에도 여러번 정기적으로 업데이트를 받아야 하며, 항상 작동중이여야 한다. 대부분의 우수하고 안정적인 멀웨어 방지 솔루션은 잠재적 위협에 액세스하는 각 파일을 보호하고 검사하는 실시간 스캐너를 제공하고 있다.
 
  
=== 방화벽의 사용 ===
+
===감염 예방법===
방화벽은 각종 위협에 대한 컴퓨터의 방어시스템이다. 방화벽은 컴퓨터와 상호 작용을 시도하여는 외부 사용자 혹은 프로그램들 사이에서 어떤 방식으로든 지켜내기 위해 노력한다. 바이러스 백신 프로그램은 일단 파일이 컴퓨터에 연결되면 파일에서 위협을 격리하고 제거하는 반면 방화벽은 파일이 컴퓨터에 [[액세스]] 자체를 하지 못하도록 방지할 수 있다.
+
정보화에 가속도가 붙는 만큼 그 역기능도 심해지고 있다. 웜, 트로이목마 등의 악성 바이러스로 인한 피해규모가 커지고 있는 것이 대표적인 예이다. 악성 바이 러스는 점차 지능화해 파괴력이 악성화되고 감염 영역이 [[클라이언트]]나 [[서버]]를 넘나들고 있다. 또한 바이러스와 해킹용 트로이목마가 결합하거나 웜과 바이러스가 결합되어 복합성을 띠는 것들도 적지 않게 발견되고 있다. [[러브레터]](ILOVEYOU), [[코드레드]](Code Red), [[님다]](nimda)에 이르기까지 악성 바이러스는 예측을 불허하는 진화를 거듭해 왔다. 이에 대한 대비는 이제 선택이 아니라 필수이다. 개방과 공유라는 미덕이 역기능으로 여겨지는 정보 환경에서는 새로운 첨단 시스템을 갖추는 것 못지 않게 정보보호가 중요하다. 다음은 다양한 악성 바이러스에 감염되지 않기 위한 예방법이다.<ref name="예방법">월간 정보통신윤리, 〈[https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=4498 (컴퓨터 바이러스 유포현황 및 대책) ③ 컴퓨터 바이러스 예방법]〉, 《안랩》, 2003-07-02</ref>
  
=== 관리자 권한의 이용 ===
+
* 정품 소프트웨어 사용을 생활화해야 한다. 불법 복사한 소프트웨어는 많은 사람의 손을 거치기 때문에 자연히 악성바이러스에 쉽게 노출되며, 감염되어 피해를 당했을 경우 책임 소재도 가릴 없기 때문이다.
관리자 권한은 사용자가 알지 못하는 사이에 변경 사항이 발생할 때마다 관리자 암호가 필요하도록하여 변경을 방지한다. 컴퓨터를 설치하거나 설정을 변경할 때 고나리자 암호를 입력해야 하는 경우가 있다. 하지만 귀찮아 보이는 이 과정속에 바이러스를 막는 방법이 있는가 하면, 많은 컴퓨터 바이러스는 관리자 권한이 없기 때문에 실행 도중에 중지될 수 있고 관리자 권한의 암호 없이, 바이러스는 아무것도 할 없게 되는 것이다. 따라서 사용자는 보호를 위해 권한을 설정하는 단계를 거쳐야 할 충분한 가치가 있다.
 
  
=== 소프트웨어 정기 업데이트 ===
+
* 출처가 불분명한 이메일은 열어보지 않는다. 이런 메일은 제목이나 첨부 파일 이름이 유난히 구미를 당긴다. 비근한 예로‘I LOVE YOU’라는 제목과 LOVELETTER-FOR-YOU.TXT.VBS라는 첨부 파일을 가진 러브레터 바이러스, ‘Hi, How are you’라는 제목을 가진 웜서캠(Sircam) 등을들수있다. 님다처럼 특별한 제목이 없는 경우도 있다. 아웃룩을 사용할 경우 패치 업데이트를 하지 않은 상태에서는 메일을 읽는 것만으로도 감염되는 바이러스도 종종 등장하고 있기 때문에 마이크로소프트 사이트에 들어가 패치 프로그램을 업데이트하는 것이 좋다. V3Pro 2002는 [[패치]] [[업데이트]]의 필요성을 경고하고 MS 사이트의 패치 파일을 제공하는 페이지로 링크해주는 기능이있다.
새로운 바이러스는 지금 이 순간에도 새롭게 만들어지고 있다. 어느 연구 보고서에 따르면 거의 백만개에 달하는 새로운 바이러스들이 매일매일 생성되고 있다고 한다. 하지만 모든 [[소프트웨어]]를 정기적으로 업데이트하게 된다면 업데이트로 인해 새로운 위협에 대한 취약점이 꾸준히 수정되므로 바이러스가 문제를 일으키지 않도록 방지할 수 있다. 특히 바이러스 백신 소프트웨어뿐만 아니라 Windows와 같은 운영 체제 소프트웨어를 지속적으로 업데이트하면 바이러스의 영향을 피할 수 있다.
 
  
=== 바이러스 경고 및 알림 ===
+
* PC 통신이나 인터넷을 통하여 프로그램을 내려받을 때는 신뢰할 있는 유명 통신망이나 인터넷 사이트에서 받도록 한다. 이런 곳은 관리자가 불법 복사물인지, 악성 바이러스에 감염된 파일인지 등을 확인한 뒤 등록하기 때문에 위험 확률이 적다. 가장 안전한 방법은 프로그램 제작사 사이트에서 직접 내려받는 것이다. 그러나 믿을 수 있는 인터넷 사이트에서도 프로그램이 악성 바이러스에 감염된 채 등록되는 일이 없지 않으므로 내려받을 때 백신으로 확인해 보는 것이 안전하다.
가장 정밀한 컴퓨터 바이러스 백신 기술도 이따금 바이러스가 빠져나가도록 할 있다. 만일 그런일이 일어났을 때 떠올릴 수 있는 가장 확실한 대안은 [[바이러스 백신]] 또는 [[멀웨어]] 방지 솔루션에서 경고와 알림을 눈으로 확인하는 것이다. 절대로 이 신호들을 무시하면 안된다. 항상 상황에 걸맞는 조치들을 취하고 이를 즉각적인 실행에 옮겨야 한다.  
 
  
=== IT전문가의 도움 ===
+
* 백신 프로그램을 설치한 후에는 항상 최신 버전으로 업데이트해야 한다. 백신은 악성 바이러스가 나온 후 분석 과정을 거쳐 엔진 업데이트가 되는 것이기 때문에 최신 버전이 아니면 신종 바이러스에는 무용지물이다. 매주, 혹은 긴급 업데이트되는 백신 업체의 정보를 눈여겨보고 항상 대비하는 것이 필요하다. V3Pro 2002는 인터넷에 연결만 되어 있으면 변동 사항을 자동 업데이트해주는 기능이 있어 편리하다.
바이러스들은 때때로 촘촘한 보호망을 유유히 빠져나간다. 그리고 그것을 추적해내서 반드시 시스템에서 제거해야만 한다. 이러한 상황이 발생하게 되면 확실하지 않더라도 항상 IT관리자에게 문의를 하는 것을 권장한다. IT관리자는 직접 문제를 해결하는 방법 보다는 조기에 대처하여 위협을 제거할 수 있는 기회를 마련하는 것을 더 선호하여 만약 자신이 직접 처리할 수 있다고 생각하더라도 IT전문가에 알림으로써 확산을 방지하거나 동료들이 비슷한 위협을 피할 수 있도록 기반을 마련하는 것이 좋다. 일부 바이러스는 네트워크 내에서 자신을 똑같이 복제하여 광범위한 감염과 손상을 초래할 수도 있다.
 
  
== 제거 방법 ==
+
* 아웃룩 등의 보안 허점을 이용해 전자 메일 첨부 파일이 자동으로 실행되는 경우가 많으므로, 사용하는 응용 프로그램에 대한 최신 보안 패치 파일을 항상 적용한다. 윈도우나 웹 브라우저, MS 오피스 프로그램 등 많은 사람들이 사용하는 프로그램들의 보안 허점을 악용하는악성 프로그램이 늘어나고 있다. 정기적으로 관련 제품 제작사의 홈페이지를 방문하여 최신 보안 패치 파일을 적용하는 것이 안전하다.
상황에 따라 직접 바이러스를 제거해야하는 경우 몇가지 단계를 거쳐야 한다.
 
  
'''1단계 - 안전모드''' 바이러스가 다른 컴퓨터로 퍼지는 것을 방지하려면 PC를 네트워크/인터넷으로부터 분리한다. 그런 다음 컴퓨터를 안전 모드로 다시 시작한다. 윈도우의 경우 PC를 다시 켜는 즉시 F8키를 누른 다음 고급 부팅 옵션에서 안전 모드를 선택해야 한다. Mac의 경우 컴퓨터를 켤 때 Shift키를 누른다. Apple로고 및 진행 표시줄이 표시되면 키를 놓는다.
+
* 가급적 [[드라이브]] 전체를 공유해서 사용하지 않도록 한다. 부득이 공유를 해야 할 경우에는 필요한 폴더만 '읽기' 권한으로 공유한다. 쓰기 권한으로 공유해야 할 경우에는 반드시 [[암호]]를 설정해 두도록 한다. 공유한 목적이 달성된 후에는 공유를 반드시 해제한다.
  
'''2단계 - 전체 검색''' 부팅된 후 바이러스 백신 프로그램의 전체 시스템 검사를 찾아 실행한다. 시간이 어느정도 걸릴 수 있지만, 여유를 가지고 기다려야 한다.
+
* 비상 시 데이터 손실을 최소화하기 위해 데이터를 정기적으로 백업해놓고 복구 디스켓을 준비해 놓는 것이 좋다.
  
'''3단계 - 재시작 및 점검''' 전체 검사에서 탐지한 바이러스를 완전히 제거하려면 다시 시작해야 하는 경우가 많다. 이 과정을 거친 다음 다시 정상 모드로 재부팅한다. 이후 네트워크 인터넷 연결을 다시 활성화하기 전에 문제가 해결되었는지 확인해야 한다. 그런 다음 인터넷 보안 설정을 확인하여 바이러스가 사용자의 기본 설정에서 변경 작업을 수행하지 않았는지 확인해야 한다. 마지막으로는 중요한 파일과 문서를 확인하여 손상된 것이 없는지를 확인하면 된다.
+
한편 PC의 정보를 외부로 유출하거나 해킹을 가능하게 하는 트로이목마가 최근 기승을 부리고 있으므로 이에 대한 예방도 중요하다. PC방이나 대학 전산실처럼 PC를 함께 사용하는 환경에서는 사이버 뱅킹이나 주식 거래, 온라인 쇼핑을 하지 않는다. [[아이디]]와 [[패스워드]]를 가로채는 트로이목마가 설치되어 있는 경우 내 정보가 유출되어 금융 사고가 발생할 수 있기 때문이다. 이런 사고를 막기 위해 PC [[방화벽]]을 사용하는 것이 좋다. PC 방화벽은 인터넷에 접속해 있을 때 이상한 접속이나 해킹 시도를 감시 차단해주는 제품이다. 마지막으로 정기적으로 보안 관련 사이트를 방문하여 보안 관련 각종 정보를 확인할 것을 권한다. 이런 곳에서는 최근 문제가 되고 있는 바이러스와 웜, 트로이목마 등에 대한 자세한 정보와 대책을 제공하고 있어 유용하다. 안전에 필요한 노력이나 비용은 처음에는 필요 없는 것처럼 보일 수도 있지만, 장기적으로 발생할 수 있는 사고를 미연에 방지함으로써 적은 노력과 비용으로 큰 손실을 막을 수 있다.<ref name="예방법"></ref>
 
 
'''4단계 - 백업 또는 유지 보수''' 문제가 지속될 경우 컴퓨터를 지우고, 운영 체제의 새 버전을 설치한 뒤, 중요한 파일과 데이터를 모두 편리하게 백업하는 방법을 고려해 볼 수도 있다. 백업 과정을 통해 문제가 지속되지 않고 컴퓨터에서 바이러스를 제거할 수 있다.  
 
  
 
== 사례 ==
 
== 사례 ==
=== 컴퓨터 바이러스 유형, 트로이 목마 ===
+
* '''CIH'''
중국 온라인상에서 지난해 탐지된 컴퓨터 바이러스의 유형을 보면, 트로이 목마류가 가장 많은 비중을 차지했다. 루이싱정보기술은 지난해 트로이목마류가 점유율 61.06%로 압도적인 1위를 기록했다고 밝혔다. 이어 그레이웨어(스팸 S/W, 광고 S/W, 해킹 툴, 악성 S/W)가 14.53%, 바이러스 드로퍼는 12.52%의 점유율로 각각 2위, 3위를 차지했다. 웜(worm) 바이러스(6.61%), 백도어 바이러스(3.21%), 보안취약점 공격(0.55%) 따위의 유형이 뒤를 이었다.
+
: 1999년 4월 26일, 전 세계의 수많은 PC를 파괴하면서 사람들에게 컴퓨터 바이러스가 얼마나 무서운지 인식시켜 준 바이러스이다. 이 바이러스는 컴퓨터 내부의 모든 실행 파일을 감염시키는데, 종래의 바이러스와는 달리 파일 속에서 빈 공간을 찾아 덮어쓰는 방식을 썼기 때문에 감염되어도 파일 용량의 차이가 발생하지 않는다. 작업 관리자를 보면 바이러스가 실행되고 있다는 것을 알 수 있다. 그리고 감염이 완료된 실행 파일이 실행되면 CIH 바이러스가 같이 시작되며, 그리고 그 날짜가 4월 26일이면 바이러스가 컴퓨터를 파괴한다. 여담으로, 바이러스 코드의 용량은 고작 1KB이다. CIH의 피해가 컸던 이유는 바이러스가 실행되자마자 PC의 하드 드라이브에 있는 데이터를 덮어씀으로써 운영을 할 수 없도록 만들었기 때문이다. 또한 호스트의 BIOS도 덮어쓸 수 있어 부팅을 할 수 없게 했다. 또한 CIH가 실행 파일을 감염시키기 때문에 게임을 포함한 여러 소프트웨어의 실행 자체가 불가능했다. CIH는 체르노빌 바이러스로도 불리는데, 체르노빌 원자력발전소 사고가 발생한 날과 CIH가 발생한 날이 일치하기 때문이다.<ref name="CIH">〈[https://namu.wiki/w/CIH%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 CIH 바이러스]〉, 《나무위키》</ref>
  
텅쉰 안티바이러스랩은 지난해 탐지한 바이러스들의 종류를 분석한 결과, 트로이목마류가 전체 바이러스의 55.92%를 차지해 1위를 기록했다고 밝혔다. 애드웨어(Adware, 광고 S/W, 강제 설치, 사용자 정보 수집, 스팸 정보 팝업 등)류는 34.90%의 비중으로 뒤를 이었다. 백도어류는 세 번째로 높은 비중(6.58%)을 보였다. 이밖에 웜류는 1.86%, PE 감염형은 0.40%를 차지했다.
+
* '''멜리사'''(Melissa)
 +
: 1999년 3월 26일 금요일, W97M/Melissa 바이러스가 전세계의 뉴스 헤드라인을 장식했다. 모든 기업용 PC의 워드 매크로 스크립트 중 15~20%가 감염되어 3억~6억 달러의 피해를 입었다. 이 바이러스는 급속도로 퍼졌기 때문에 마이크로소프트 아웃룩을 사용하던 인텔과 마이크로소프트 및 수많은 기업들이 피해를 막기 위해 전체 이메일 시스템을 차단해야만 했다. 이 바이러스는 마이크로소프트 아웃룩을 사용해 바이러스가 담긴 파일을 받은 사람이 첨부 파일을 열 경우 즉시 감염되며, 감염된 사용자의 주소록에 있는 50명에게 이메일을 보내 바이러스를 전파시킨다. 멜리사 바이러스는 '중요한 메시지'인 것처럼 위장했다. 이메일에 "당신이 요구한 문서입니다. 다른 사람에게는 보여주지 마세요"라는 영어 문구가 있으며, 첨부된 워드 문서와 함께 발송된다. 해당 문서를 클릭하면 바이러스가 호스트를 감염시키고 복제를 반복하게 된다. 멜리사 바이러스는 사용자의 워드 문서의 매크로 기능을 임의대로 변경해 피해를 입힐 수 있다.<ref name="관리자">관리자, 〈[http://www.comworld.co.kr/news/articleView.html?idxno=5674 역대 최악의 10대 바이러스]〉, 《컴퓨터월드》, 2006-09-14</ref>
  
안티바이러스랩은 “지난해 분기별로 보면 바이러스 종류와 순위에는 변화가 없었고 단지 수량 점유율에서만 차이가 있었다”고 밝혔다. 또 “PE 감염형 바이러스류는 매 분기 감소하는 흐름을 보였다”며, “감소 수치가 매우 적었지만, PE 감염형 바이러스가 갈수록 적어지고 있고 점차 주류 해킹 공격 방식에서 벗어나고 있다는 것을 볼 수 있다”고 덧붙였다.
+
* '''ILOVEYOU'''
 
+
:러브레터나 러브 버그(Love Bug)로도 알려져 있는 이 바이러스는 비주얼 베이직 스트립트 바이러스로, 연애 편지로 위장해 메일로 발송된다. 2000년 5월3일에 처음 유포된 ILOVEYOU 바이러스는 홍콩에서 처음 발견되었다. 'ILOVEYOU'라는 제목과 함께 Love-Letter-For-You.TXT.vbs라는 첨부 파일이 포함되어 이메일로 전송되며 멜리사처럼 마이크로소프트 아웃룩 주소록을 타고 전파된다. 이 바이러스는 또한 음악 파일과 이미지 파일 등을 다른 복제 파일로 덮어쓴다. 아울러 감염된 시스템의 사용자 ID와 비밀번호를 빼내 이메일로 유포자에게 전송하기도 한다. 피해액은 100~150억 달러에 이르는 것으로 추정된다. 흥미로운 것은, 이 바이러스를 제작한 필리핀 청년은 당시 필리핀에서 바이러스 유포에 대한 법적 처벌 규정이 없어 아무런 처벌도 받지 않았다는 점이다.<ref name="관리자"></ref>
바이러스 차단량을 기준으로 봐도 트로이목마류가 지난해 가장 높은 점유율(43.64%)을 보였다고 안티바이러스랩은 밝혔다. 이어 애드웨어(26.12%), PE 감염형(19.16%), 웜(6.47%), 백도어(4.61%) 순으로 차단량 비중이 높았다.
 
 
 
=== 트로이 목마, '다운로드' 최다, '드로퍼'류가 1위 ===
 
전체 바이러스 중 점유율이 가장 높은 트로이목마를 악성 행위에 따라 나눠 보면, ‘다른 유해한 S/W 다운로드’(점유율 32.65%)를 가장 많이 저지른 것으로 나타났다고 안티바이러스랩은 밝혔다.
 
 
 
다운로드류에 이어 ‘온라인 뱅킹 계정 절취 및 사기’ 행위(12.74%), ‘계정 절취’(12.71%)가 비슷한 점유율로 2위, 3위를 차지했다. 유해한 파일과 트로이목마 드로퍼(Dropper) 행위(11.78%), 랜섬 행위(10.45%), 정보 절취(10.21%)도 각각 10%가 넘는 비중을 넘었다. 온라인게임 계정 절취(4.45%), 암호화폐 채굴(2.79%), 클릭 뒤 트래픽 속임(0.84%), 가짜 안티바이러스(0.65%), 디도스 공격(0.07%) 등도 트로이목마류가 벌인 악성 행위들도 드러났다.
 
 
 
트로이목마를 차단량을 기준으로 살펴보면, 유해한 파일을 투입하는 드로퍼류와 랜섬류가 주류를 이뤘다. 드로퍼류는 지난해 1분기에 23%를 차지했으나 2분기부터 4분기까지 35% 이상을 기록하면서 37.91%의 비중으로 1위를 기록했다고 안티바이러스랩은 밝혔다. 드로퍼류는 전체 트로이목마 종류 중 점유율에서는 1위 다운로드류에 뒤진 4위(11.78%)에 올랐으나, 차단량 상에서는 다운로드류를 크게 앞섰다. 이는 드러퍼류 트로이목마의 전파 범위가 가장 넓고 수량과 감염 피해자도 가장 많다는 것을 보여주고 있다.  
 
  
랜섬류는 27.75%를 차지하면서 지난해 중국에서 기승을 부렸다는 점을 재차 확인했다. 이어 다른 유해한 S/W 다운로드(9.74%), 정보 절취(6.83%), 온라인 뱅킹 계정 절취 및 사기(5.80%), 디도스 공격(4.67%), 계정 절취(3.60%), 암호화폐 채굴(1.98%), 온라인게임 계정 절취(1.04%), 클릭 뒤 트래픽 속임(0.35%), 가짜 안티바이러스(0.34%) 순으로 차단량이 많은 트로이목마 종류로 꼽혔다.  
+
* '''코드레드'''(Code Red)
 +
: 코드 레드는 네트워크 서버나 인터켓을 통해 전파되는 바이러스로, 2001년 7월13일에 처음으로 네트워크 서버에서 발견되었다. 특히, 마이크로소프트의 인터넷 인포메이션 서버(IIS) 웹 서버에서 구동하는 컴퓨터를 타깃으로 했기 때문에 치명적인 버그였다. 이 웜은 IIS 운영체제의 특정 취약점을 공략할 수 있었다. 재미있는 점은 마이크로소프트가 6월 중순에 이미 이러한 취약점 해결을 위한 패치를 발표했었다는 것이다. 베이비(Baby)로도 알려진 코드 레드는 막대한 피해를 입히도록 개발되었다. 감염될 경우, 감염된 서버에 의해 통제되는 웹 사이트에 "안녕하세요! http://www.worm.com에 오신 것을 환영합니다! 중국인에 의해 해킹 당했습니다!"라는 영어 문구가 뜬다. 그런 다음에는 다른 취약한 서버를 찾아 감염시킨다. 바이러스 공격은 약 20일 동안 지속되었으며, 미국 백악관의 웹 서버를 포함해 특정 IP 주소에 대한 서비스 거부 공격을 감행했다. 일주일도 안되어 40만 대의 서버를 감염시켜 26억 달러 규모의 피해를 입혔으며, 백만 대의 컴퓨터를 감염시켰다.<ref name="관리자"></ref>
  
=== PC 바이러스 감염 피해 ===
+
* '''SQL 슬래머'''(SQL Slammer)
루이싱정보기술은 지난해 중국 내 성()급 지역의 컴퓨터 바이러스 감염 상황을 종합한 결과, 수도인 베이징시는 연인원 2억2,600만 명의 컴퓨터 사용자가 바이러스 감염 피해를 입어 전국 1위를 기록했다고 밝혔다. 광동성은 연인원 9,200만명, 산동성은 연인원 6,500만 명이 감염 피해를 겪어 각각 전국 2위, 3위를 차지했다. 이어 저쟝성(연 5,800만명), 장쑤성(연 5,300만명), 푸젠성(연 4,100만 명), 상하이시(연 3,500만명), 쓰촨성(연 3,400만명), 안휘성(연 3,200만명), 허베이성(연 2,900만명) 순으로 컴퓨터 바이러스 감염 피해자 수가 많았다.
+
: 사파이어(Sapphire)로도 알려진 SQL 슬래머는 2003년 1월25일에 출현했다. 과도한 인터넷 트래픽을 유발한 이 바이러스는 최종 사용자의 PC가 아닌 서버를 타깃으로 삼았다는 점에서 흥미롭다. 376바이트의 작은 패킷 하나로 임의의 IP 주소들을 생성하고 그러한 IP 주소로 다시 전송함으로써 SQL 서버를 감염시켰으며 이와 동시에 초당 20Mbps의 트래픽을 발생시켰다. 마이크로소프트의 SQL 서버 데스크톱 엔진이 패치를 갖고 있지 않을 경우 순식간에 감염되며 전파된다. SQL 슬래머는 단 10분만에 75,000대의 컴퓨터를 감염시켰다. 전세계 라우터에 과도한 트래픽을 발생시켜 인터넷을 마비시켰다. SQL 슬래머가 토요일에 발생해 피해는 적었지만 전세계 50만 대의 서버를 공격했으며, 한국의 인터넷 접속이 12시간 동안 불통되는 사태를 초래했다.<ref name="관리자"></ref>
  
루이싱정보기술은 지난해 중국 내 성()급 지역의 컴퓨터 바이러스 감염 상황을 종합한 결과, 수도인 베이징시는 연인원 2억2,600만 명의 컴퓨터 사용자가 바이러스 감염 피해를 입어 전국 1위를 기록했다고 밝혔다. 광동성은 연인원 9,200만명, 산동성은 연인원 6,500만 명이 감염 피해를 겪어 각각 전국 2위, 3위를 차지했다. 이어 저쟝성(연 5,800만명), 장쑤성(연 5,300만명), 푸젠성(연 4,100만 명), 상하이시(연 3,500만명), 쓰촨성(연 3,400만명), 안휘성(연 3,200만명), 허베이성(연 2,900만명) 순으로 컴퓨터 바이러스 감염 피해자 수가 많았다.
+
* '''블래스터'''(Blaster)
 +
: IT 전문가들은 블래스터와 소빅(Sobig) 웜이 잇달아 출현하면서 이에 대응해야 했다. 러브샌(Lovsan)이나 MSBlast로도 알려진 블래스터가 먼저 등장했다. 이 바이러스는 8월11일에 처음 탐지되어 이틀 만에 급속히 확산되었다. 네트워크와 인터넷 트래픽을 통해 전송된 이 웜은 윈도우 2000과 윈도우 XP의 취약점을 공격했으며, 활성화될 경우, 시스템을 재시동한다는 메시지가 뜨며 시스템을 종료하는 경우가 발생한다. MSBLAST.EXE의 코드에 숨겨진 이 바이러스의 실행 파일에는 마이크로소프트의 빌 게이츠 회장을 겨냥한 다음과 같은 "LOVE YOU SAN(사랑하오 성인군자 나리)!! 빌 게이츠, 당신은 왜 이런 해킹이 가능하게 하는가? 돈 벌 생각 그만 하고 소프트웨어부터 손 봐라!!"라는 영문 메시지가 있다. 이 바이러스는 수십만대의 PC를 감염시켜 20~100억 달러의 피해를 입힌 것으로 추산된다.<ref name="관리자"></ref>
  
=== 트로이 목마 피해 ===
+
* '''소빅.F'''(Sobig.F)
트로이 목마의 피해는 단순 개인정보 유출, 운영체제 파괴, 속도 느려짐, 시스템 파일 삭제, 부팅 오류 뿐만 아니라 컴퓨터 하드웨어 자체를 먹통으로 만들어 아예 못 쓸 정도로 손상을 시키기도 한다. 포멧을 해도 복구가 불가능할 정도로 성능이 악화되며 이런 경우에는 컴퓨터 수명 자체가 거의 요절이 난다. 그만큼 일단 컴퓨터에 들어오기만 하면 피해가 걷잡을수 없이 커지게 된다. 컴퓨터 바이러스 같은 경우 대부분 포멧을 하면 컴퓨터 성능 자체에는 큰 문제가 없으나 트로이 목마는 일단 걸리면 컴퓨터 성능은 포기해야 된다.
+
: 소빅 웜 중에서 파괴력이 가장 큰 변종은 Sobig.F로, 후에 마이둠(MyDoom)에 의해 기록이 깨지긴 했지만 역사상 가장 빠른 속도로 전파된 웜으로서, 8월19일에 출현한지 24시간 동안 1백만 개의 복제판을 만들어냈다. 이 바이러스는 application.pif와 thank_you.pif 등의 이름이 붙은 이메일 첨부파일을 통해 호스트 컴퓨터를 감염시켰다. 활성화될 경우, 이 웜은 로컬 파일 형태의 호스트에 위치한 이메일 주소록을 통해 전송된다. 그 결과, 엄청난 양의 인터넷 트래픽이 범람하게 된다. 2003년 10월10일, 50~100억 달러 규모의 피해를 입히고 백만 대 이상의 PC를 감염시킨 다음 자체적으로 비활성화되었다. 마이크로소프트는 Sobig.F의 유포자를 제보하는 사람에게 25만 달러의 현상금을 지불하겠다고 발표했지만 지금까지 체포되지 않고 있다.<ref name="관리자"></ref>
  
일부 트로이 목마의 경우, 트로이 목마 본체를 삭제하면 본체속에 프로그램 중요 작동소스를 집어넣어서 해당 프로그램을 먹통으로 만들어 버리는 경우도 있다. 그러나 자기 집과 동반자살 하는 경우는 귀여운 편이고, 어떤건 삭제할려고 시도할 경우 컴퓨터를 무한부팅 시켜 버리거나, 커널을 파괴하여 동반자살을 하는 경우도 있고 시스템 자체를 다운시켜버리는 경우도 있으니 주의해야 한다.<ref name ="트로이"></ref>
+
* '''베이글'''(Bagle)
 +
: 고전적이지만 정교한 웜인 베이글은 2004년 1월18일에 등장했다. 이 악성 코드는 전통적인 메커니즘인 이메일 첨부파일을 통해 사용자의 시스템을 감염시킨 다음에 복제로 사용되는 이메일 주소를 위해 윈도우 파일을 검색한다. 베이글 및 베이글의 60~100여종의 변종에 PC가 감염될 경우 감염된 시스템에서의 데이터 접근을 위해 원격지 사용자들과 애플리케이션에 의해 사용되는 TCP 포트에 대한 백 도어를 제공한다는 점에서 위험성이 크다. 이 웜은 일반적으로 자신의 이름을 알리고자 하는 해커에서 금전적인 이득을 취하려는 '범죄자'로 이동하는 멀웨어(malware)의 본격적인 활동을 알리는 '신호탄'이 되었다. 베이글.B 변종은 2004년 1월28일 이후에 활동을 중지하도록 개발되었지만 그 이후에도 수많은 변종이 연이어 등장하면서 현재까지도 활동을 계속하고 있다. 베이글 웜은 수천만 달러의 피해액을 입힌 것으로 추산된다.<ref name="관리자"></ref>
  
=== 스웬 바이러스에 대한 피해 ===
+
* '''마이둠'''(MyDoom)
'스웬' 컴퓨터 바이러스가 전 세계적으로 최소한 20만대의 컴퓨터에 피해를 입혔으며, 사무실 근로자들이 주말을 쉬고 월요일인 22일부터 업무에 복귀함에 따라 수 백만대가 피해를 입을 수 있다고 핀란드의 컴퓨터 바이러스 전문가가 22일 밝혔다. 헬싱키에 소재한, 바이러스 퇴치 소프트웨어 개발 기업인 에프 시큐어(F-Secure)의 간부 미카엘 알브레흐트는 "이 바이러스는 컴퓨터 수백만대를 감염시킬 수 있는기술적인 잠재력을 가지고 있다"고 밝혔다. 그는 "지금까지 최소한 20만대가 감염됐으며 이는 아주 보수적 계산"이라고 밝히고 "감염 컴퓨터의 수가 계속 늘어나고 있다"고 말했다.
+
: 2006년 1월26일, 마이둠은 불과 몇 시간 만에 이메일을 통해 인터넷을 타고 엄청난 속도로 전파되어 전세계를 충격으로 몰아넣었다. 이 웜은 특정한 우회 방법을 통해 전파되었는데, "메일 송수신 오류(Mail Transaction Failed)"라는 제목으로 이메일 에러 메시지처럼 보이게 위장하면서 첨부파일을 통해 전송되었다. 첨부파일을 클릭하면 주소록의 이메일 주소로 웜이 전파된다. 마이둠은 또한 사용자의 카자(Kazza) P2P 네트워킹 계정의 공유 폴더를 타고 전파될 수도 있다. 전파 속도가 절정에 올랐을 때, 마이둠은 전세계 인터넷 속도를 크게 떨어뜨렸으며, 웹 로드 시간도 50%로 줄어들게 했다. 보안 전문가들은 마이둠이 퍼지기 시작한 몇 시간 동안 발송된 10개의 이메일 메시지 중 하나당 바이러스가 포함되어 있는 것으로 추정하고 있다. 마이둠은 2004년 2월12일 활동을 중단하도록 프로그래밍되었다.<ref name="관리자"></ref>
  
'스웬' 바이러스는 마이크로소프트사의 보안 업그레이드 패치로 위장해있으며동유럽에서 만들어졌고, I-Worm.Swen, W32/Swen.A@mm, W32/Gibe.E@MM, Gibe.E로 알려져있다고 에프 시큐어 측은 밝혔다. 이 바이러스는 웹 브라우저 익스플로러의 취약점을 악용하고 있으며 주로 e-메일 첨부, 랜, 음악 서비스와 같은 인터넷 다운로드를 통해 스스로를 퍼뜨린다. '스웬' 바이러스에 감염된 e-메일과 첨부물은 마이크로소프트사가 보낸 것처럼보이지만 회사는 e-메일로 이같은 경고를 보낸 적이 없으며 이런 e-메일은 열지말고 즉각 삭제해야 한다고 알브레흐트는 밝혔다.<ref>〈[https://www.hankyung.com/it/article/2003092375718 스웬바이러스, 전세계 컴퓨터 20만대 피해]〉, 《한국경제》, 2003-09-23
+
* '''사세르'''(Sasser)
 +
: 사세르는 2004년 4월30일에 퍼지기 시작했으며, 일부 프랑스의 뉴스 방송국의 위성 통신을 중단시킬 만큼 파괴력이 높았다. 또한 델타 항공의 일부 운항을 취소시켰으며, 전세계 수많은 기업들의 시스템을 중간시키는 결과를 초래했다. 이전에 등장했던 대부분의 웜과는 달리, 사세르는 이메일을 통해 전파되지 않으며, 사용자의 상호작용을 요구하지도 않는다. 대신에, 윈도우 2000과 윈도우 XP 시스템이 갖고 있는 보안의 취약점을 공략했다. 성공적으로 복제될 경우, 웜은 보안이 취약한 다른 시스템을 찾아낸 다음, 자가 복제를 계속한다. 감염된 시스템은 시스템이 계속 중단되며 수천만 달러의 피해를 입게 되었다. 사세르는 17세의 독일 고등학생에 의해 제작되었는데, 그는 바이러스를 자신의 18번째 생일에 유포했다. 당시 미성년자였기 때문에 독일 법원은 그에게 집행 유예의 판결을 내렸다.<ref name="관리자"></ref>
  
 
{{각주}}
 
{{각주}}
  
 
== 참고자료 ==
 
== 참고자료 ==
 +
* 월간 정보통신윤리, 〈[https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=4489 (컴퓨터 바이러스 유포현황 및 대책) ① 컴퓨터 바이러스 개념 및 종류]〉, 《안랩》, 2003-07-01
 +
* 월간 정보통신윤리, 〈[https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=4490 (컴퓨터 바이러스 유포현황 및 대책) ② 컴퓨터 바이러스 감염 대처법]〉, 《안랩》, 2013-07-01
 +
* 월간 정보통신윤리, 〈[https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=4498 (컴퓨터 바이러스 유포현황 및 대책) ③ 컴퓨터 바이러스 예방법]〉, 《안랩》, 2003-07-02
 +
* 관리자, 〈[http://www.comworld.co.kr/news/articleView.html?idxno=5674 역대 최악의 10대 바이러스]〉, 《컴퓨터월드》, 2006-09-14
 
*〈[https://ko.wikipedia.org/wiki/%EC%BB%B4%ED%93%A8%ED%84%B0_%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 컴퓨터 바이러스]〉, 《위키백과》
 
*〈[https://ko.wikipedia.org/wiki/%EC%BB%B4%ED%93%A8%ED%84%B0_%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 컴퓨터 바이러스]〉, 《위키백과》
 
*〈[https://namu.wiki/w/%EC%BB%B4%ED%93%A8%ED%84%B0%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 컴퓨터 바이러스]〉, 《나무위키》
 
*〈[https://namu.wiki/w/%EC%BB%B4%ED%93%A8%ED%84%B0%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 컴퓨터 바이러스]〉, 《나무위키》
* Roger A. Grimes, 〈[http://www.itworld.co.kr/news/110181 "다 같은 바이러스가 아니다"]〉, 《IT월드》, 2018-07-26
+
*〈[https://namu.wiki/w/CIH%20%EB%B0%94%EC%9D%B4%EB%9F%AC%EC%8A%A4 CIH 바이러스]〉, 《나무위키》
* 원병철 기자,〈[https://www.boannews.com/media/view.asp?idx=76480 中, 2018년 컴퓨터 바이러스 TOP 10 집계해보니]〉, 《시큐리티월드》, 2019-01-29
+
* mstonsd7, 〈[https://xcoolcat7.tistory.com/824 세계 최초 컴퓨터바이러스 중 하나인 Elk Cloner 바이러스 분석]〉, 《블로그》, 2017-04-01
* 〈[http://www.comworld.co.kr/news/articleView.html?idxno=5674 역대 최악의 10대 바이러스]〉, 《컴퓨터월드》, 2006-09-14
 
* 〈[https://namu.wiki/w/%ED%8A%B8%EB%A1%9C%EC%9D%B4%20%EB%AA%A9%EB%A7%88(%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C) 트로이 목마(악성코드)]〉, 《나무위키》
 
* 〈[https://www.hankyung.com/it/article/2003092375718 스웬바이러스, 전세계 컴퓨터 20만대 피해]〉, 《한국경제》, 2003-09-23
 
* 팀뷰어,〈[https://m.blog.naver.com/PostView.nhn?blogId=teamviewer_kr&logNo=221315747211&proxyReferer=https%3A%2F%2Fwww.google.com%2F 컴퓨터 바이러스 감염과 제거]〉, 《네이버블로그》, 2018-07-09
 
  
 
== 같이 보기 ==
 
== 같이 보기 ==
 
* [[멀웨어]]
 
* [[멀웨어]]
 
* [[백신]]
 
* [[백신]]
* [악성코드]]
+
* [[악성코드]]
 
* [[트로이 목마]]
 
* [[트로이 목마]]
 
* [[웜]]
 
* [[웜]]
263번째 줄: 173번째 줄:
 
* [[애드웨어]]
 
* [[애드웨어]]
  
{{보안|토막글}}
+
{{보안|검토 필요}}

2019년 8월 1일 (목) 15:18 기준 최신판

컴퓨터 바이러스(computer virus)란 스스로 복제하여 다른 프로그램을 감염시키고 컴퓨터파일이나 데이터를 파괴하거나 속도 저하, 정보유출, 오작동 등을 일으키는 악성 프로그램이다. 정식 명칭은 컴퓨터 바이러스 프로그램(computer virus program)이다. 간단히 바이러스라고 한다. 멀웨어(malware)의 일종이다. 백신(vaccine) 프로그램을 사용하여 진단 및 치료할 수 있다.

개요[편집]

컴퓨터 바이러스란 사전적 의미로는 '컴퓨터 프로그램이나 실행 가능한 부분을 변형하여, 그곳에 자기 자신 또는 자신의 변형을 복사하여 컴퓨터 작동에 피해를 주는 명령어들의 조합'이며, 생물학적인 바이러스가 생물체에 침투하여 병을 일으키는 것처럼 컴퓨터 내에 침투하여 자료를 손상시키거나, 다른 프로그램들을 파괴하여 작동할 수 없도록 하는 컴퓨터 프로그램의 한 종류이다. 바이러스는 감염된 디스크로 컴퓨터를 기동시킬 때 혹은 특정 프로그램을 실행시킬 때 활동하며 자료를 파괴하거나 컴퓨터 작동을 방해하고 자신을 복제하여 다른 컴퓨터를 감염시킨다. 이런 점이 생물학적 바이러스와 비슷하기 때문에 바이러스라는 용어를 사용하지만, 다른 일반 프로그램과 동일한 프로그램의 한 종류이다.

발생 기원은 1949년 존 폰 노이만(John von Neumann)이 발표한 논문에서 프로그램이 자기 자신을 복제함으로써 증식할 수 있다는 가능성을 제시한 것으로부터 유래한다. 실제로 미국에서 1985년 프로그램을 파괴하는 악성 컴퓨터 바이러스가 처음 보고 되었고, 한국에서는 1988년 (C)BRAIN이란 컴퓨터 바이러스가 처음으로 보고되었다. 컴퓨터 바이러스가 발생하게 된 경위는 자신의 능력을 과시하기 위하여 만들었다는 설, 불법복제를 막기 위하여 만들었다는 설, 소프트웨어의 유통경로를 알아보기 위하여 유포시켰다는 설, 경쟁자 또는 경쟁사에게 타격을 주기위하여 감염시켰다는 설 등 다양하다. 그러나 은밀하게 유포되고 있기 때문에 확실한 경위는 밝혀지지 않고 있지만 복합적인 원인때문일 것으로 추정된다.[1]

역사[편집]

1970년대에 인터넷의 선구자인 아파넷(ARPAnet)에서 크리퍼 바이러스(Creeper virus)가 처음 발견됐으며 이것이 최초의 바이러스로 기록되어 있다. 크리퍼는 실험적인 자기 복제 프로그램이었으며 1971년에 BBN에서 밥 토머스(Bob Thomas)가 작성한 것이다. 크리퍼는 아파넷을 사용하여 테넥스(TENEX) 운영체제를 사용하는 DEC PDP-10 컴퓨터들을 감염시켰다. 크리퍼는 아파넷을 통한 접근 권한을 얻었고 스스로를 "I'm the creeper, catch me if you can!"(나는 크리퍼다, 잡을 수 있다면 나 잡아봐라!)라는 메시지가 있는 원격 시스템에 복사시켰다. 뒤에 리퍼(Reaper)라는 프로그램이 개발되어 크리퍼 바이러스를 지우게 되었다.

개인용 컴퓨터에서 발견된 최초의 바이러스는 (c)브레인이라고 하는 부트 섹터 바이러스였으며 1986년에 파루크 앨비 형제가 만들었다. 1990년대 중반에 매크로 바이러스(macro virus)가 일상화되었다. 이 바이러스 대부분이 워드액셀과 같은 마이크로소프트 프로그램을 위한 스크립팅 언어로 기록되어 마이크로소프트 오피스를 통하여 문서와 스프레드시트를 감염시키며 퍼져나갔다. 워드와 액셀이 OS X에서도 사용할 수 있었으므로 이 대부분이 매킨토시(Macintosh) 컴퓨터에도 퍼질 수 있었다. 2002년에 크로스 사이트 스크립팅(XSS ; cross-site scripting)을 사용하여 확산된 바이러스가 처음 보고되었으며 학술적으로는 2005년에 증명되었다.[2]

'이동'이 아니라 진짜 '복제' 개념이 들어간 최초의 바이러스는 엘크 클로너(Elk Cloner)라는 프로그램이다. 이는 1982년 경에 만들어졌는데, 놀랍게도 이를 만든 이는 당시 15세였던 리처드 스크렌타(Richard Skrenta)라는 소년이었다. 이 엘크 클로너는 애플 II 시스템에만 감염되었으며 부팅용 플로피 디스크에 감염되는 일종의 부트 섹터 바이러스였다. 엘크 클로너는 부팅된 이후 메모리에 남아있다가 만약 감염되지 않은 새로운 디스크가 컴퓨터에 들어오면 자신을 해당 디스크에 감염시켰다. 이런 식으로 엘크 클로너는 디스크에서 디스크를 통해 감염되는 프로그램이었다. 엘크 클로너는 특별히 파괴적인 활동을 벌이지는 않았으며, 감염된 컴퓨터는 감염된 뒤 50번째로 부팅하면 다음과 같은 짧은 시를 출력했다.[3]

* Elk Cloner: The program with a personality (엘크 복제자 : 자아를 가진 프로그램)
* It will get on all your disks (그것은 너의 모든 디스크를 헤집으며,)
* It will infiltrate your chips (네 칩 속을 드나들지)
* Yes, it's Cloner! (그래, 그것이 바로 복제자다)
* It will stick to you like glue (그것은 끈끈이처럼 너에게 들러붙고)
* It will modify RAM too (너의 램 또한 휘저어 놓지)
* Send in the Cloner! (복제자를 들여보내라!)

컴퓨터를 잘 모르는 이가 보기엔 마치 컴퓨터가 진짜 자아를 가져서 이런 메시지를 출력하는 것으로 여길지도 모른다. 한편 엘크 클로너 실질적으로 별다른 피해를 주는 것은 없었고, 엘크 클로너가 퍼져나간 범위도 개발자인 스크렌타의 주변 인물 정도였기 때문에 이것에 대한 백신이 개발된 적은 없다고 한다.[4] 그렇다면 악의적 컴퓨터 바이러스가 세상에 퍼지게 된 경위에는 여러 가지 설들이 있다. 대표적으로 자신의 능력을 과시하기 위해 만들었다는 설, 경쟁사 등에 타격을 주기 위한 상업적 목적으로 만들었다는 설, 소프트웨어의 유통 경로 등을 추적하기 위해 만들었다는 설 등이 대두된다. 그러나 이는 은밀하게 유포되는 바이러스의 특성상 정확하게 구분 짓기는 어렵고 복합적이고 전반적인 경위로 보아야 할 것이다.[3]

특징[편집]

감염 경로[편집]

바이러스의 감염경로는 매우 다양하고 복잡한 구조를 가진다. 가장 일반적인 경로는 불법복사, 컴퓨터 통신, 컴퓨터 공동 사용, LAN, 인터넷 등이 있다. 불법 복제한 소프트웨어 디스켓을 사용하거나, 여러 사람이 공동으로 사용하는 컴퓨터에서 작업하면 바이러스 감염의 가능성이 높아 자신도 모르게 디스켓 또는 프로그램에 감염된다. 이렇게 감염된 디스켓이나 프로그램을 자신의 컴퓨터에서 사용하면 자신의 컴퓨터도 감염된다. 최근에는 컴퓨터 통신 이용률이 높아지면서 이를 통하여 자료를 주고 받을때 급속도로 바이러스가 확산되기도 한다. 컴퓨터 바이러스 종류 컴퓨터 바이러스는 그 영향 정도에 따라 양성 및 악성 바이러스, 감염 부위에 따라 부트(Boot) 및 파일(File) 바이러스로 구분한다. 부트 바이러스(Boot virus)는 컴퓨터가 기동할 때 제일 먼저 읽게 되는 디스크의 특정 장소에 감염되어 있다가 컴퓨터 기동시에 활동을 시작하는 종류이다. 파일 바이러스(File virus)는 숙주 프로그램에 감염되어 있다가 숙주 프로그램이 실행될 때 활동하는 바이러스를 말한다. 또한 최근에는 감염 경로에 따라 인터넷 바이러스를 별도로 구분하기도 한다. 바이러스는 종류에 따라 활동방식도 다른데 감염 즉시 활동하는 것, 일정 잠복기간이 지난 후에 활동하는 것, 특정기간이나 특정한 날에만 활동하는 것 등이 있다.[1]

감염 증상[편집]

바이러스에 감염되면, 컴퓨터 기동시간이 평소보다 오래 걸리거나, 기동 자체가 되지 않거나, 프로그램이 실행되지 않거나, 프로그램을 실행시키는 시간이 평소보다 오래 걸리거나, 파일목록을 확인하는 명령을 하였을 때 목록이 화면에 나타나는 시간이 오래 걸리거나, 화면에 이상한 글자가 나타나거나, 프로그램의 크기가 달라져 있거나, 프로그램의 작성일자 또는 파일의 이름이 바뀌는 등의 증세를 나타낸다. 최근 바이러스는 다음과 같은 특징을 보이고 있으므로, 아래와 같은 경우에는 컴퓨터가 바이러스에 감염되었는지 의심해봐야 한다.[1]

  • 빠른 전파력을 지닌 이메일 바이러스의 스팸메일화 : 초기의 이메일 바이러스는 비교적 간단한 형태의 제목, 본문, 첨부파일을 지닌 형태였으나, 클레즈웜 변종(Klez.H)의 경우, 매우 다양한 제목과 본문, 첨부파일명을 지니고 전파되어 일반 사용자들이 실제 메일과 구별하기가 어려웠고 메일 필터링 기능을 통한 예방에 한계가 있다.
  • 백신 공격형 웜 증가 : 백신 관련 프로그램을 삭제 또는 그 기능을 중지하여 백신으로부터 자기 자신을 탐지 못하도록 하는 백신공격형 웜이 증가한다.
  • 빠른 전파력과 무서운 파괴력을 지닌 웜 바이러스 출현 : 하나의 파일 안에 트로이목마(Trojan horse)나 (worm) 등이 포함된 복합형 웜바이러스들이 생겨나고, 웜의 전파기능과 바이러스의 파괴력을 지니고 있다.
  • 윈도우 취약점 공격형 웜 증가 : 바이러스 제작자들의 공격기법이 날로 지능화되고 제작기술이 고도화되면서, 애플리케이션 프로그램에 존재하는 취약점을 공격대상으로 하는 해킹기법의 공격형 웜들이 많이 나타나고 있으며, 특히 취약점을 많이 지니고 있는 윈도우시스템을 공격대상으로 하는 웜들이 많이 늘어나고 있다.
  • 정보유출형 인터넷 웜의 지속화 : 시스템정보 혹은 엑셀이나 워드문서와 같은 것을 선택 후 자체 메일을 통하여 정보 유출하도록 하는 형태의 웜이 사라지지 않고 있다.

종류[편집]

감염 부위에 따른 분류[편집]

브레인 바이러스(Brain virus)
도스 바이러스(DoS virus)
자바 바이러스(Java virus)

감염 부위란 바이러스 프로그램이 위치하는 영역을 말하는 것으로 크게 4가지로 구분할 수 있다.[1]

  • 부트 바이러스(Boot virus) : 컴퓨터가 처음 가동되면 하드디스크의 가장 처음 부분인 부트섹터에 위치하는 프로그램이 가장 먼저 실행되는데, 이곳에 자리잡는 컴퓨터 바이러스를 부트 바이러스라고 한다. 대표적으로 브레인 바이러스(Brain virus)과 지금까지도 많은 피해를 주고 있는 원숭이 바이러스(Monkey virus) 및 감염 빈도가 높은 Anti-CMOS 등이 있다.
  • 파일 바이러스(File virus) : 실행 가능한 프로그램에 감염되는 바이러스를 말한다. 감염되는 대상은 확장자가 COM, EXE인 실행파일이 대부분이다. 국내에서 발견된 바이러스의 80% 정도가 파일 바이러스에 속할 정도로 가장 일반적인 바이러스 유형이다. 국내에서는 예루살렘 바이러스(Jerusalem virus)과 선데이 바이러스(Sunday virus)을 시작으로, 1997년과 1998년 적지 않은 피해를 준 전갈 바이러스(Scorpion virus), 까마귀 바이러스(Crow virus), FCL이 있다.
  • 부트/파일 바이러스(Multipartite virus) : 부트섹터와 파일에 모두 감염되는 바이러스로 대부분 크기가 크고 피해 정도가 크다. 국내에서 발견된 바이러스는 1990년 처음 발견된 침입자(Invader) 바이러스를 대표로 외국보다 빠른 대처로 인하여 이름에 혼란을 주었던 안락사(Euthanasia)가 있다. 국내 제작 바이러스로는 1998년에 발견된 에볼라(Ebola)가 대표적이다.
  • 매크로 바이러스(Macro virus) : 새로운 파일 바이러스의 일종으로, 감염 대상이 실행 파일이 아니라 마이크로소프트사의 엑셀과 워드 프로그램에서 사용하는 문서 파일이다. 또한 응용 프로그램에서 사용하는 매크로 사용을 통해 감염되는 형태로 매크로를 사용하는 문서를 읽을 때 감염된다는 점이 이전 바이러스들과는 다르다.

운영체제에 따른 분류[편집]

IBM 호환 기종중 현재 바이러스가 발견된 운영체제는 도스, 윈도우시리즈, 리눅스 등이며 애플리케이션으로는 MS 오피스(액세스, 엑셀, 워드, 파워포인트)와 mIRC 등의 자체 스크립트 언어를 내장한 프로그램들이다.[1]

  • 도스 바이러스(DoS virus) : 일반적인 부트, 파일, 부트/파일 바이러스는 대부분 도스용 바이러스다. 감염 부위에 따라 부트, 파일, 부트/파일 바이러스로 나뉜다. 80년 중반 이후부터 90년 중반까지 약 10년간 왕성한 활동을 도스 바이러스는 윈도우95의 등장과 도스 사용자가 감소함에 따라 수적으로나 피해 규모면에서 감소할 것으로 예상된다. 그러나 여전히 도스용 파일 바이러스는 윈도우 95에서 문제를 일으킨다. 또한 부트 바이러스의 경우 이미 시중에 많이 퍼져 있고 '윈도우 2000'이 일반화될 때까지 멸종하지 않는다면 지금처럼 많은 문제가 발생할 것이다. 여전히 원숭이, Anti-CMOS, One-Half 바이러스가 기승을 부리고 있다.
  • 윈도우 바이러스(Window virus) : 도스 기능을 사용하는 반쪽자리 윈도우 바이러스로 94년 처음 등장한 윈도우 바이러스는 97년부터는 컴퓨터를 이용하는 최대 바이러스로 부상했다. 현재 가장 문제가 되고 있는 바이러스는 윈도우 95/98용 바이러스인데, 이들 바이러스는 '윈도우 2000'에서는 동작하지 않거나 오동작 할 가능성이 크다. 하지만, 윈도우 2000이 널리 사용되기 전까지는 윈도우 95/98 사용자들에게 많은 피해를 줄 것으로 예상된다. 또한 바이러스 제작 기법과 전파 기법도 매우 다양해지고 있다. 이메일로 바이러스를 전송하는 기법은 이들 윈도우 바이러스들에서 처음 사용됐다. 대표적인 예로 Win95/CIH, Anxiety_Poppy, Win95/Marburg, Win95/Padania, Win32/Parvo 등이 있다.

애플리케이션 파생 바이러스[편집]

애플리케이션에 내장된 매크로 혹은 스크립트 언어를 사용해서 바이러스를 제작 가능하리라는 예상은 지난 91년부터 시작되었다. 그러나 이를 이용한 실제 바이러스는 지난 94년 12월 최초로 발견됐으며, 실제로 문제가 되기 시작한 것은 95년 중반부터였다. 현재 이런 원리를 이용한 매크로 바이러스와 스크립트 바이러스가 사용자를 괴롭히는 최대 바이러스로 부상했다. 매크로 바이러스는 운영체제와 상관없이 응용 프로그램을 플랫폼 삼아 작동한다. 즉 IBM 호환 기종의 운영체제, 매킨토시 기종의 운영체제 등에서 실행되는 워드, 엑셀 등에서만 활동한다. 그러나 매크로 기능이 있는 모든 응용 프로그램에 감염되는 것은 아니다. 매크로 바이러스를 만들 수 있게 된 것은 MS 워드, 엑셀이 인터프리터에 의해 해석되는 프로그래밍 언어 수준의 매크로 언어를 지원하기 때문이다. 이들 매크로 언어는 MS의 비주얼 베이직 프로그래밍 언어와 비슷한 문법 체계를 갖고 있다. 그것이 바로 VBA(Visual Basic for Applications) 환경이다. 매크로 바이러스의 경우 세계적으로 워드, 엑셀 바이러스가 기승을 부리고 있지만, 국내에서는 특히 엑셀 바이러스의 피해가 극심하다. 수가 적기는 하지만 파워포인트와 액세스 바이러스도 등장했다. 이들 바이러스는 이메일을 전파 수단으로 사용하곤 한다. 스크립트 바이러스는 각종 스크립트 언어로 작성된 바이러스를 말한다. 예전에는 도스용 패치파일 스크립트 바이러스 제작에 사용됐으나, 윈도우가 일반적인 운영체제로 자리 잡으면서 mIRC, VBS, HTML 등의 스크립트 언어가 유행을 타고 있다.[1]

  • 유닉스, 리눅스, 맥, OS/2 바이러스 : Linux와 OS/2용으로도 바이러스가 존재하지만 이들 바이러스는 일반에 퍼지지는 않고 대부분 겹쳐쓰기 정도에 이들 OS에서도 바이러스를 제작할 수 있다는 증명을 한 정도의 수준에 머무르고 있다. 하지만, 이들 OS도 사용자가 증가한다면 새로운 바이러스가 등장할 가능성은 매우 높다.
  • 자바 바이러스 : 현재 발견된 자바 바이러스는 2종 정도 된다. 최초 바이러스는 1998년 여름 발견되었다. 이들 바이러스 역시 자바가 디스크에 접근할 권한이 있어야만 하며 자바 애플릿이 아닌 자바 애플리케이션을 감염시킨다. 대부분의 시스템에서는 자바가 디스크에 접근하지 못하게 설정되어 있는 등 제약이 있으므로 이들 바이러스 역시 일반인에게는 크게 문제가 되지 않는다.

대처 및 예방법[편집]

감염 대처법[편집]

대부분의 사람들이 컴퓨터 바이러스에 걸리면 먼저 불안한 마음과 걱정이 앞선다. 무엇을 어떻게 해야 할지, 치료는 어떻게 하고 포맷을 꼭 해야만 되는 건지 등으로 난감해한다. 다음은 현명하게 컴퓨터 바이러스에 대처할 수 있는 방법이다.[5]

  • 1단계 : 컴퓨터 바이러스에 감염되면 HDD포맷과 FDISK 사용은 가급적 피해야 한다. 바이러스에 걸렸을 때, 자신의 컴퓨터로부터 바이러스를 쉽고, 확실하게 없애기 위해 하드디스크를 포맷하는 사람들이 많이 있지만 이것은 결코 최상의 방법이 아니다. 왜냐하면 대부분의 바이러스는 비교적 쉽게 치료가 가능하고, HDD 포맷이나 운영체제 및 응용프로그램 설치에는 많은 시간이 소비되며, 제대로 백업이 이뤄지지 않은 상태에서 FDISK를 하면 중요한 데이터가 손실될 수 있기 때문이다.
  • 2단계 : 바이러스 감염증상을 정확하게 구별해야 한다. 컴퓨터에 이상이 있을 경우 먼저 소프트웨어상의 문제인지 아니면 하드웨어상의 문제인지 구분할 줄 알아야 한다. 그러나, 전문가가 아닌 일반인이 이를 정확하게 구분하는 것은 어려운 일이다. 하드웨어 혹은 관련뉴스그룹이나 백신 사이트 등을 통해서도 알 수 있지만, 바이러스의 존재여부를 알 수 있는 가장 좋은 방법은 여러분들이 사용하고 있는 백신 프로그램을 일단 한 번 실행하여 보는 것이다.
  • 3단계 : 바이러스를 정확하게 알고 있어야 한다. 자신의 컴퓨터를 괴롭힌 바이러스가 이미 알려져 있는 경우에는 일반적으로 백신 업체나 관련 연구소 바이러스 샘플에 대한 분석정보를 웹에 공지하기 때문에 홈페이지를 방문하면 누구나 손쉽게 알 수 있다. 그리고 백신 프로그램에서 신종 바이러스로 탐지되어 의심이 가는 파일은 백신 업체나 관련 연구소로 송부하여 분석을 의뢰하면 보다 확실하게 알 수 있다.
  • 바이러스 백신 프로그램이 알려지지 않은 바이러스라고 탐지할 경우 : 백신 프로그램이 알려지지 않은 바이러스라고 탐지할 경우가 있다. 이와 같은 경우엔 아래와 같은 사항을 고려했는지 확인하면 바이러스에 대한 오류판정을 최소화 할 수 있다.
  • 바이러스로 의심되는 파일이라고 탐지할 경우 : 최신버전의 백신 프로그램으로 다시 스캔하여도 알려지지 않은 바이러스라고 탐지하는 경우에는 의심되는 특정 파일을 백신 업체나 관련 연구소로 파일을 보내어 분석을 요청한다. 파일에 대한 분석요청 후 답장을 받기 전에는 의심이 가는 파일을 실행하지 않도록 한다.
  • 동일한 파일에 대해 백신프로그램의 결과가 일치하지 않을 경우 : 두 개의 백신 프로그램에서 하나의 파일에 대해 감염 여부가 일치하지 않을 경우가 있다. 이와 같은 경우엔 먼저 두 개의 백신 프로그램의 버전이 최근 것인지 아닌지 확인한 후에 다시 파일검사를 해야 한다. 만약 동일한 결과가 지속적으로 나타나면 백신 업체나 연구소에 파일을 송부하여 분석을 의뢰하는 것이 좋다.
  • 동일한 바이러스가 서로 다른 이름으로 표시될 경우 : 탐지된 동일한 바이러스를 백신 프로그램마다 서로 다른 이름으로 표시하는 경우를 종종 볼 수 있다. 이는 표준화된 바이러스 명명법이 없기 때문에 백신 업체나 연구소들마다 조금씩 차이가 있다. 만약 탐지된 해당 바이러스에 대해 궁금한 사항이 있다면 공개된 웹을 직접 방문하면 쉽게 답을 얻을 수 있다.
  • 한 가지 이상의 바이러스에 감염되었을 경우 : 하나의 파일에 대해 서로 다른 바이러스에 재차 감염될 수도 있는데 보통 실행 파일이 이중으로 감염되는 사례가 많다. 이와 같은 경우에는 감염된 실행파일을 삭제한 후 백업파일에서 복구하는 것을 권한다. 만약 그와 같은 방법으로 복구가 불가능할 경우에는 백신으로 감염된 파일을 치료하고 반드시 한번 더 스캔을 하여 바이러스가 없다는 것을 확인한 후에 사용하여야 한다.
  • 메모리상주형 바이러스를 치료하고자 할 경우 : 메모리상주형 바이러스를 치료하기 위해서는 일반적으로 깨끗한 부팅디스크로 부팅하여 도스 상태에서 탐지도구를 구동하여 치료하는 것이 바람직하다. 왜냐하면 바이러스가 메모리에 상주해 있을 때에 백신으로 치료하면, 감염된 파일에서는 해당 바이러스 코드는 사라져도, 다시 쉽게 파일들을 감염시키기 때문에 근본적인 해결책이 못되기때문이다.
  • 4단계 : 바이러스 관련 정보를 가능한 한 많이 수집해야 한다. 바이러스에 대한 정보는 많이 알고 있으면 있을수록 자기 자신에 도움이 된다. 백신 프로그램 회사, 바이러스 연구소 등에서 제공하고 있는 바이러스 관련 최신의 정보를 자주 접하도록 하고, 가짜 바이러스와 진짜 바이러스를 판별할 수 있도록 하며, 바이러스에 대한 적절한 예방법과 치료법을 숙지한다.
  • 5단계 : 바이러스의 위치를 파악해야 한다. 감염된 파일을 삭제하고 관련 응용 프로그램을 새로이 설치하거나 백업파일로부터 감염된 파일을 복구하는 것을 권고한다. 감염된 파일을 깨끗한 원본파일로 복원하기 위해서는 정기적으로 데이터백업해 놓아야한다. 또한 백신 프로그램으로 모든 드라이브를 스캔할 때 감염된 파일의 이름과 위치를 복구시에 활용할 수 있도록 스캔 결과 파일을 반드시 생성하도록 한다.
  • 6단계 : 바이러스를 제거해야 한다. 원본 파일이나 백업 데이터가 있다면 감염된 파일을 삭제하거나 복구하는 것이 백신으로 치료하는 것보다 더 안전할 수 있다. 감염된 파일에서 악성코드 부분을 분리하여 삭제하는 것은 쉽지가 않아 완전히 치료하지 못할 경우 더 큰 문제를 일으킬 수 있기 때문에 치료는 감염된 파일에 대한 대체가 불가능 경우에만 하는 것도 좋은 방법이다. 만약 감염된 파일이 현재 사용 중이어서 운영체제에 의해서 접근 불가한 경우에는 사용하고 있는 응용프로그램을 중단하고 해당 파일을 삭제한다.
  • 7단계 : 바이러스 제거여부를 확인해야 한다. 두 개 이상의 백신 프로그램을 이용해 바이러스가 완전히 제거되었는지 확인해야 한? 그리고 바이러스 주의 메일을 간단하게 공지하여 더 이상 주변 사람들이 피해를 입지 않도록한다.
  • 8단계 : 재감염을 주의해야 한다. 감염된 파일에서 바이러스를 제거하거나 치료하는 것은 좋다. 그러나 더욱 좋은 방법은 감염되지 않도록 예방하는 것이다.

감염 예방법[편집]

정보화에 가속도가 붙는 만큼 그 역기능도 심해지고 있다. 웜, 트로이목마 등의 악성 바이러스로 인한 피해규모가 커지고 있는 것이 대표적인 예이다. 악성 바이 러스는 점차 지능화해 파괴력이 악성화되고 감염 영역이 클라이언트서버를 넘나들고 있다. 또한 바이러스와 해킹용 트로이목마가 결합하거나 웜과 바이러스가 결합되어 복합성을 띠는 것들도 적지 않게 발견되고 있다. 러브레터(ILOVEYOU), 코드레드(Code Red), 님다(nimda)에 이르기까지 악성 바이러스는 예측을 불허하는 진화를 거듭해 왔다. 이에 대한 대비는 이제 선택이 아니라 필수이다. 개방과 공유라는 미덕이 역기능으로 여겨지는 정보 환경에서는 새로운 첨단 시스템을 갖추는 것 못지 않게 정보보호가 중요하다. 다음은 다양한 악성 바이러스에 감염되지 않기 위한 예방법이다.[6]

  • 정품 소프트웨어 사용을 생활화해야 한다. 불법 복사한 소프트웨어는 많은 사람의 손을 거치기 때문에 자연히 악성바이러스에 쉽게 노출되며, 감염되어 피해를 당했을 경우 책임 소재도 가릴 수 없기 때문이다.
  • 출처가 불분명한 이메일은 열어보지 않는다. 이런 메일은 제목이나 첨부 파일 이름이 유난히 구미를 당긴다. 비근한 예로‘I LOVE YOU’라는 제목과 LOVELETTER-FOR-YOU.TXT.VBS라는 첨부 파일을 가진 러브레터 바이러스, ‘Hi, How are you’라는 제목을 가진 웜서캠(Sircam) 등을들수있다. 님다처럼 특별한 제목이 없는 경우도 있다. 아웃룩을 사용할 경우 패치 업데이트를 하지 않은 상태에서는 메일을 읽는 것만으로도 감염되는 바이러스도 종종 등장하고 있기 때문에 마이크로소프트 사이트에 들어가 패치 프로그램을 업데이트하는 것이 좋다. V3Pro 2002는 패치 업데이트의 필요성을 경고하고 MS 사이트의 패치 파일을 제공하는 페이지로 링크해주는 기능이있다.
  • PC 통신이나 인터넷을 통하여 프로그램을 내려받을 때는 신뢰할 수 있는 유명 통신망이나 인터넷 사이트에서 받도록 한다. 이런 곳은 관리자가 불법 복사물인지, 악성 바이러스에 감염된 파일인지 등을 확인한 뒤 등록하기 때문에 위험 확률이 적다. 가장 안전한 방법은 프로그램 제작사 사이트에서 직접 내려받는 것이다. 그러나 믿을 수 있는 인터넷 사이트에서도 프로그램이 악성 바이러스에 감염된 채 등록되는 일이 없지 않으므로 내려받을 때 백신으로 확인해 보는 것이 안전하다.
  • 백신 프로그램을 설치한 후에는 항상 최신 버전으로 업데이트해야 한다. 백신은 악성 바이러스가 나온 후 분석 과정을 거쳐 엔진 업데이트가 되는 것이기 때문에 최신 버전이 아니면 신종 바이러스에는 무용지물이다. 매주, 혹은 긴급 업데이트되는 백신 업체의 정보를 눈여겨보고 항상 대비하는 것이 필요하다. V3Pro 2002는 인터넷에 연결만 되어 있으면 변동 사항을 자동 업데이트해주는 기능이 있어 편리하다.
  • 아웃룩 등의 보안 허점을 이용해 전자 메일 첨부 파일이 자동으로 실행되는 경우가 많으므로, 사용하는 응용 프로그램에 대한 최신 보안 패치 파일을 항상 적용한다. 윈도우나 웹 브라우저, MS 오피스 프로그램 등 많은 사람들이 사용하는 프로그램들의 보안 허점을 악용하는악성 프로그램이 늘어나고 있다. 정기적으로 관련 제품 제작사의 홈페이지를 방문하여 최신 보안 패치 파일을 적용하는 것이 안전하다.
  • 가급적 드라이브 전체를 공유해서 사용하지 않도록 한다. 부득이 공유를 해야 할 경우에는 필요한 폴더만 '읽기' 권한으로 공유한다. 쓰기 권한으로 공유해야 할 경우에는 반드시 암호를 설정해 두도록 한다. 공유한 목적이 달성된 후에는 공유를 반드시 해제한다.
  • 비상 시 데이터 손실을 최소화하기 위해 데이터를 정기적으로 백업해놓고 복구 디스켓을 준비해 놓는 것이 좋다.

한편 PC의 정보를 외부로 유출하거나 해킹을 가능하게 하는 트로이목마가 최근 기승을 부리고 있으므로 이에 대한 예방도 중요하다. PC방이나 대학 전산실처럼 PC를 함께 사용하는 환경에서는 사이버 뱅킹이나 주식 거래, 온라인 쇼핑을 하지 않는다. 아이디패스워드를 가로채는 트로이목마가 설치되어 있는 경우 내 정보가 유출되어 금융 사고가 발생할 수 있기 때문이다. 이런 사고를 막기 위해 PC 방화벽을 사용하는 것이 좋다. PC 방화벽은 인터넷에 접속해 있을 때 이상한 접속이나 해킹 시도를 감시 및 차단해주는 제품이다. 마지막으로 정기적으로 보안 관련 사이트를 방문하여 보안 관련 각종 정보를 확인할 것을 권한다. 이런 곳에서는 최근 문제가 되고 있는 바이러스와 웜, 트로이목마 등에 대한 자세한 정보와 대책을 제공하고 있어 유용하다. 안전에 필요한 노력이나 비용은 처음에는 필요 없는 것처럼 보일 수도 있지만, 장기적으로 발생할 수 있는 사고를 미연에 방지함으로써 적은 노력과 비용으로 큰 손실을 막을 수 있다.[6]

사례[편집]

  • CIH
1999년 4월 26일, 전 세계의 수많은 PC를 파괴하면서 사람들에게 컴퓨터 바이러스가 얼마나 무서운지 인식시켜 준 바이러스이다. 이 바이러스는 컴퓨터 내부의 모든 실행 파일을 감염시키는데, 종래의 바이러스와는 달리 파일 속에서 빈 공간을 찾아 덮어쓰는 방식을 썼기 때문에 감염되어도 파일 용량의 차이가 발생하지 않는다. 작업 관리자를 보면 바이러스가 실행되고 있다는 것을 알 수 있다. 그리고 감염이 완료된 실행 파일이 실행되면 CIH 바이러스가 같이 시작되며, 그리고 그 날짜가 4월 26일이면 바이러스가 컴퓨터를 파괴한다. 여담으로, 바이러스 코드의 용량은 고작 1KB이다. CIH의 피해가 컸던 이유는 바이러스가 실행되자마자 PC의 하드 드라이브에 있는 데이터를 덮어씀으로써 운영을 할 수 없도록 만들었기 때문이다. 또한 호스트의 BIOS도 덮어쓸 수 있어 부팅을 할 수 없게 했다. 또한 CIH가 실행 파일을 감염시키기 때문에 게임을 포함한 여러 소프트웨어의 실행 자체가 불가능했다. CIH는 체르노빌 바이러스로도 불리는데, 체르노빌 원자력발전소 사고가 발생한 날과 CIH가 발생한 날이 일치하기 때문이다.[7]
  • 멜리사(Melissa)
1999년 3월 26일 금요일, W97M/Melissa 바이러스가 전세계의 뉴스 헤드라인을 장식했다. 모든 기업용 PC의 워드 매크로 스크립트 중 15~20%가 감염되어 3억~6억 달러의 피해를 입었다. 이 바이러스는 급속도로 퍼졌기 때문에 마이크로소프트 아웃룩을 사용하던 인텔과 마이크로소프트 및 수많은 기업들이 피해를 막기 위해 전체 이메일 시스템을 차단해야만 했다. 이 바이러스는 마이크로소프트 아웃룩을 사용해 바이러스가 담긴 파일을 받은 사람이 첨부 파일을 열 경우 즉시 감염되며, 감염된 사용자의 주소록에 있는 50명에게 이메일을 보내 바이러스를 전파시킨다. 멜리사 바이러스는 '중요한 메시지'인 것처럼 위장했다. 이메일에 "당신이 요구한 문서입니다. 다른 사람에게는 보여주지 마세요"라는 영어 문구가 있으며, 첨부된 워드 문서와 함께 발송된다. 해당 문서를 클릭하면 바이러스가 호스트를 감염시키고 복제를 반복하게 된다. 멜리사 바이러스는 사용자의 워드 문서의 매크로 기능을 임의대로 변경해 피해를 입힐 수 있다.[8]
  • ILOVEYOU
러브레터나 러브 버그(Love Bug)로도 알려져 있는 이 바이러스는 비주얼 베이직 스트립트 바이러스로, 연애 편지로 위장해 메일로 발송된다. 2000년 5월3일에 처음 유포된 ILOVEYOU 바이러스는 홍콩에서 처음 발견되었다. 'ILOVEYOU'라는 제목과 함께 Love-Letter-For-You.TXT.vbs라는 첨부 파일이 포함되어 이메일로 전송되며 멜리사처럼 마이크로소프트 아웃룩 주소록을 타고 전파된다. 이 바이러스는 또한 음악 파일과 이미지 파일 등을 다른 복제 파일로 덮어쓴다. 아울러 감염된 시스템의 사용자 ID와 비밀번호를 빼내 이메일로 유포자에게 전송하기도 한다. 피해액은 100~150억 달러에 이르는 것으로 추정된다. 흥미로운 것은, 이 바이러스를 제작한 필리핀 청년은 당시 필리핀에서 바이러스 유포에 대한 법적 처벌 규정이 없어 아무런 처벌도 받지 않았다는 점이다.[8]
  • 코드레드(Code Red)
코드 레드는 네트워크 서버나 인터켓을 통해 전파되는 바이러스로, 2001년 7월13일에 처음으로 네트워크 서버에서 발견되었다. 특히, 마이크로소프트의 인터넷 인포메이션 서버(IIS) 웹 서버에서 구동하는 컴퓨터를 타깃으로 했기 때문에 치명적인 버그였다. 이 웜은 IIS 운영체제의 특정 취약점을 공략할 수 있었다. 재미있는 점은 마이크로소프트가 6월 중순에 이미 이러한 취약점 해결을 위한 패치를 발표했었다는 것이다. 베이비(Baby)로도 알려진 코드 레드는 막대한 피해를 입히도록 개발되었다. 감염될 경우, 감염된 서버에 의해 통제되는 웹 사이트에 "안녕하세요! http://www.worm.com에 오신 것을 환영합니다! 중국인에 의해 해킹 당했습니다!"라는 영어 문구가 뜬다. 그런 다음에는 다른 취약한 서버를 찾아 감염시킨다. 바이러스 공격은 약 20일 동안 지속되었으며, 미국 백악관의 웹 서버를 포함해 특정 IP 주소에 대한 서비스 거부 공격을 감행했다. 일주일도 안되어 40만 대의 서버를 감염시켜 26억 달러 규모의 피해를 입혔으며, 백만 대의 컴퓨터를 감염시켰다.[8]
  • SQL 슬래머(SQL Slammer)
사파이어(Sapphire)로도 알려진 SQL 슬래머는 2003년 1월25일에 출현했다. 과도한 인터넷 트래픽을 유발한 이 바이러스는 최종 사용자의 PC가 아닌 서버를 타깃으로 삼았다는 점에서 흥미롭다. 376바이트의 작은 패킷 하나로 임의의 IP 주소들을 생성하고 그러한 IP 주소로 다시 전송함으로써 SQL 서버를 감염시켰으며 이와 동시에 초당 20Mbps의 트래픽을 발생시켰다. 마이크로소프트의 SQL 서버 데스크톱 엔진이 패치를 갖고 있지 않을 경우 순식간에 감염되며 전파된다. SQL 슬래머는 단 10분만에 75,000대의 컴퓨터를 감염시켰다. 전세계 라우터에 과도한 트래픽을 발생시켜 인터넷을 마비시켰다. SQL 슬래머가 토요일에 발생해 피해는 적었지만 전세계 50만 대의 서버를 공격했으며, 한국의 인터넷 접속이 12시간 동안 불통되는 사태를 초래했다.[8]
  • 블래스터(Blaster)
IT 전문가들은 블래스터와 소빅(Sobig) 웜이 잇달아 출현하면서 이에 대응해야 했다. 러브샌(Lovsan)이나 MSBlast로도 알려진 블래스터가 먼저 등장했다. 이 바이러스는 8월11일에 처음 탐지되어 이틀 만에 급속히 확산되었다. 네트워크와 인터넷 트래픽을 통해 전송된 이 웜은 윈도우 2000과 윈도우 XP의 취약점을 공격했으며, 활성화될 경우, 시스템을 재시동한다는 메시지가 뜨며 시스템을 종료하는 경우가 발생한다. MSBLAST.EXE의 코드에 숨겨진 이 바이러스의 실행 파일에는 마이크로소프트의 빌 게이츠 회장을 겨냥한 다음과 같은 "LOVE YOU SAN(사랑하오 성인군자 나리)!! 빌 게이츠, 당신은 왜 이런 해킹이 가능하게 하는가? 돈 벌 생각 그만 하고 소프트웨어부터 손 봐라!!"라는 영문 메시지가 있다. 이 바이러스는 수십만대의 PC를 감염시켜 20~100억 달러의 피해를 입힌 것으로 추산된다.[8]
  • 소빅.F(Sobig.F)
소빅 웜 중에서 파괴력이 가장 큰 변종은 Sobig.F로, 후에 마이둠(MyDoom)에 의해 기록이 깨지긴 했지만 역사상 가장 빠른 속도로 전파된 웜으로서, 8월19일에 출현한지 24시간 동안 1백만 개의 복제판을 만들어냈다. 이 바이러스는 application.pif와 thank_you.pif 등의 이름이 붙은 이메일 첨부파일을 통해 호스트 컴퓨터를 감염시켰다. 활성화될 경우, 이 웜은 로컬 파일 형태의 호스트에 위치한 이메일 주소록을 통해 전송된다. 그 결과, 엄청난 양의 인터넷 트래픽이 범람하게 된다. 2003년 10월10일, 50~100억 달러 규모의 피해를 입히고 백만 대 이상의 PC를 감염시킨 다음 자체적으로 비활성화되었다. 마이크로소프트는 Sobig.F의 유포자를 제보하는 사람에게 25만 달러의 현상금을 지불하겠다고 발표했지만 지금까지 체포되지 않고 있다.[8]
  • 베이글(Bagle)
고전적이지만 정교한 웜인 베이글은 2004년 1월18일에 등장했다. 이 악성 코드는 전통적인 메커니즘인 이메일 첨부파일을 통해 사용자의 시스템을 감염시킨 다음에 복제로 사용되는 이메일 주소를 위해 윈도우 파일을 검색한다. 베이글 및 베이글의 60~100여종의 변종에 PC가 감염될 경우 감염된 시스템에서의 데이터 접근을 위해 원격지 사용자들과 애플리케이션에 의해 사용되는 TCP 포트에 대한 백 도어를 제공한다는 점에서 위험성이 크다. 이 웜은 일반적으로 자신의 이름을 알리고자 하는 해커에서 금전적인 이득을 취하려는 '범죄자'로 이동하는 멀웨어(malware)의 본격적인 활동을 알리는 '신호탄'이 되었다. 베이글.B 변종은 2004년 1월28일 이후에 활동을 중지하도록 개발되었지만 그 이후에도 수많은 변종이 연이어 등장하면서 현재까지도 활동을 계속하고 있다. 베이글 웜은 수천만 달러의 피해액을 입힌 것으로 추산된다.[8]
  • 마이둠(MyDoom)
2006년 1월26일, 마이둠은 불과 몇 시간 만에 이메일을 통해 인터넷을 타고 엄청난 속도로 전파되어 전세계를 충격으로 몰아넣었다. 이 웜은 특정한 우회 방법을 통해 전파되었는데, "메일 송수신 오류(Mail Transaction Failed)"라는 제목으로 이메일 에러 메시지처럼 보이게 위장하면서 첨부파일을 통해 전송되었다. 첨부파일을 클릭하면 주소록의 이메일 주소로 웜이 전파된다. 마이둠은 또한 사용자의 카자(Kazza) P2P 네트워킹 계정의 공유 폴더를 타고 전파될 수도 있다. 전파 속도가 절정에 올랐을 때, 마이둠은 전세계 인터넷 속도를 크게 떨어뜨렸으며, 웹 로드 시간도 50%로 줄어들게 했다. 보안 전문가들은 마이둠이 퍼지기 시작한 몇 시간 동안 발송된 10개의 이메일 메시지 중 하나당 이 바이러스가 포함되어 있는 것으로 추정하고 있다. 마이둠은 2004년 2월12일 활동을 중단하도록 프로그래밍되었다.[8]
  • 사세르(Sasser)
사세르는 2004년 4월30일에 퍼지기 시작했으며, 일부 프랑스의 뉴스 방송국의 위성 통신을 중단시킬 만큼 파괴력이 높았다. 또한 델타 항공의 일부 운항을 취소시켰으며, 전세계 수많은 기업들의 시스템을 중간시키는 결과를 초래했다. 이전에 등장했던 대부분의 웜과는 달리, 사세르는 이메일을 통해 전파되지 않으며, 사용자의 상호작용을 요구하지도 않는다. 대신에, 윈도우 2000과 윈도우 XP 시스템이 갖고 있는 보안의 취약점을 공략했다. 성공적으로 복제될 경우, 이 웜은 보안이 취약한 다른 시스템을 찾아낸 다음, 자가 복제를 계속한다. 감염된 시스템은 시스템이 계속 중단되며 수천만 달러의 피해를 입게 되었다. 사세르는 17세의 독일 고등학생에 의해 제작되었는데, 그는 이 바이러스를 자신의 18번째 생일에 유포했다. 당시 미성년자였기 때문에 독일 법원은 그에게 집행 유예의 판결을 내렸다.[8]

각주[편집]

  1. 1.0 1.1 1.2 1.3 1.4 1.5 월간 정보통신윤리, 〈(컴퓨터 바이러스 유포현황 및 대책) ① 컴퓨터 바이러스 개념 및 종류〉, 《안랩》, 2003-07-01
  2. 컴퓨터 바이러스〉, 《위키백과》
  3. 3.0 3.1 컴퓨터 바이러스〉, 《나무위키》
  4. mstonsd7, 〈세계 최초 컴퓨터바이러스 중 하나인 Elk Cloner 바이러스 분석〉, 《블로그》, 2017-04-01
  5. 월간 정보통신윤리, 〈(컴퓨터 바이러스 유포현황 및 대책) ② 컴퓨터 바이러스 감염 대처법〉, 《안랩》, 2013-07-01
  6. 6.0 6.1 월간 정보통신윤리, 〈(컴퓨터 바이러스 유포현황 및 대책) ③ 컴퓨터 바이러스 예방법〉, 《안랩》, 2003-07-02
  7. CIH 바이러스〉, 《나무위키》
  8. 8.0 8.1 8.2 8.3 8.4 8.5 8.6 8.7 8.8 관리자, 〈역대 최악의 10대 바이러스〉, 《컴퓨터월드》, 2006-09-14

참고자료[편집]

같이 보기[편집]


  검수요청.png검수요청.png 이 컴퓨터 바이러스 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.