웜
웜(worm)이란 컴퓨터 시스템을 파괴하거나 작업을 지연 또는 방해하는 악성 프로그램이다. 컴퓨터 웜(Computer Worm)이라고도 한다.
개요
웜은 바이러스처럼 다른 실행 프로그램에 기생해 실행되지 않고 독자적으로 실행된다. 웜과 다른 바이러스의 가장 큰 차이점은 네트워크를 사용해 스스로 자신의 복사본을 어떠한 중재 작업 없이 전송할 수 있다는 점과 네트워크를 손상하고 대역폭을 잠식하는 것이 가능하다는 점이다. 웜이라는 이름은 1975년에 존 브루너(John Brunner)가 출판한 공상과학소설 더 쇼크웨이브 라이더(The Shockwave Rider)에서 차용했다. 컴퓨터의 데이터를 먹고 자라는 촌충(Tapeworm)은 마치 기생충처럼 숙주 컴퓨터에 숨어서 데이터를 훔쳐먹고 그 데이터는 그대로 복사되어 촌충의 본체가 된다는 점에서 웜이라고 불리기 시작했다. 시간이 지날수록 촌충의 길이는 점차 길어지고 더 이상 먹을 것이 없으면 네트워크를 통해 다른 숙주 컴퓨터로 옮겨간다는 설정이 초기 분산 컴퓨팅 관련 실험에 대한 논문을 작성하던 연구자들에겐 그들의 소프트웨어와 유사하다는 것을 발견하여 채택하게 되었다.
웜은 자기 복제 외에도 호스트 시스템에서 파일을 지우거나, 파일을 악의적 공격의 목적으로 암호화하거나, 이메일을 통해 문서를 보내는 등의 일을 한다. 마이둠(Mydoom) 같은 웜이 최대로 살포되면 세계 전역의 인터넷 속도를 현저하게 느리게 만들 수 있는 것처럼 자기 복제 과정에서 생성되는 네트워크 트래픽만으로도 피해를 줄 수 있지만, 최근의 웜은 다양한 곳으로 전달되면서 실행 파일을 첨부하기도 한다. 소빅(Sobig)이나 마이둠같은 웜은 일반적으로 감염된 컴퓨터에 백도어를 설치해 만든 좀비 컴퓨터들로 대량의 스팸 메일을 보내거나 웹사이트 주소를 은폐시키는 데 사용된다. 스패머들이 그러한 웜에 대가를 지불하고 있다고 보이며 실제로 감염된 기계의 IP 주소 리스트를 판매하던 웜 개발자들이 붙잡히기도 했다. 다른 웜 개발자들은 회사를 도스(DoS) 공격을 하겠다 공갈 협박을 하기도 했다. 또한 둠주스(Doomjuice)같은 웜처럼 마이둠에 의해 설치된 백도어를 사용해 자신을 확장하는 방법도 있다.
역사
- 1978년 : 제록스 파크(Xerox PARC)의 두 명의 연구자에 의해 최초로 구현되었다. 개발자인 존 쇼크(John Shoch)와 존 허프(Jon Hupp)는 원래 네트워크를 통해 프로세서가 유후 상태인 컴퓨터를 찾아 그들에게 업무를 할당하고 연산 처리를 공유하여 전체적인 네트워크의 효율을 높일 수 있게 설계하였다. 최초의 웜은 컴퓨터의 활용을 극대화하는 유용한 프로그램이었다.
- 1988년 11월 22일 : 코넬대학교의 대학원생이었던 로버트 터팬 모리스(Rovert Tappan Morris)가 개발한 모리스 웜이 인터넷에 연결된 수많은 컴퓨터를 빠른 속도로 감염시키면서 세계적으로 주목을 받았다. 이는 BSD 유닉스와 그것으로부터 파생된 운영체제들의 많은 버그를 통해 확산되었다.
- 2000년 : 필리핀에서 '러브레터(Love Letter)'라고 불리는 '사랑해(I Love You)'라는 웜이 발견되었다.
- 2001년 : 님다 웜(Nimda worm), 클레즈 웜(Klez worm)이 발견되었다.
- 2003년 : 슬래머 웜(SQL Slammer)과 블래스터 웜(Blaster worm), 소빅 웜(SoBig worm)이 발견되었다.
- 2004년 : 둠주스 웜(Doomjuice worm) 마이둠 웜(Mydoom worm)이 발견되었다.
특징
대부분의 사람들이 웜, 트로이목마, 컴퓨터 바이러스를 혼동하는데, 이 셋은 완전히 다른 악성코드이다. 트로이목마는 유용한 프로그램으로 가장하고 피투피 사이트나 웹페이지에 숨어있는 악성코드로, 복제능력이 없어 사용자가 내려받기만을 기다리는 수동적인 존잰다. 반면 컴퓨터 바이러스는 사용자 몰래 컴퓨터 시스템에 침입해 파일이나 부트 섹터를 감염시키고 그 시스템의 일부가 되는 악성코드이며 스스로를 복제할 수 있다. 컴퓨터 바이러스에 감염된 파일을 저장매체나 네트워크를 통해 다른 컴퓨터에서 사용하면 그 컴퓨터도 감염된다.
웜도 컴퓨터 바이러스처럼 사용자 몰래 활동하는 악성코드지만, 기존 프로그램에 융합되는 컴퓨터 바이러스와는 달리 독립적인 실체로 존재한다. 복제능력이 매우 뛰어나 사용자의 이메일, 인스턴트 메신저 등의 주소록을 뒤지고 스스로를 첨부해 네트워크를 통해 퍼진다. 외국에서 발견된지 몇 시간 만에 한국에서도 발견될 정도로 전염성이 강한다. 일반적으로 웜은 컴퓨터 바이러스보다 덜 위험한 존재로 간주된다. 그러나 최근 등장한 웜들은 강력한 전염성을 무기로 네트워크 전반에 치명적인 타격을 입히기도 한다. 또 바이러스처럼 개인 컴퓨터에 손상을 입히는 웜이 등장하면서 웜바이러스라는 신조어도 생겨났따. 웜 중에는 마이크로소프트의 보안패치를 사용자 대신 내려받아주는 웰치아 웜처러 유용해보이는 웜도 있는데, 이러한 웜도 사용자의 동의를 받지 않는다는 점과 네트워크에 과부하를 줄 수 있다는 점은 다른 웜과 다를 바가 없다.[1]
트로이 목마, 컴퓨터 바이러스, 웜의 차이 트로이목마 컴퓨터 바이러스 웜 복제 및 전염 능력 없음 있음 매우 강함 형태 유틸리티로 위장하거나
유틸리티 안에 코드 형태로 삽입파일이나 부트섹터 등 감염 대상이 필요 독자적으로 존재 전파 경로 사용자가 내려받음 사용자가 감염된 파일을 옮김 네트워크를 통해
스스로 전파주요 증상 PC 성능 저하, 좀비 PC 해당 컴퓨터의 시스템 및
파일 손상네트워크 성능 저하
종류
MASS Mailer형 웜
자기 자신을 포함하는 대량 메일 발송을 통해 확산되는 웜이다. 제목이 없거나 특정 제목으로 전송되는 메일을 읽었을 때 감염되며, 시스템 내부에서 메일 주소를 수집하여 끊임없이 메일을 발송하는 형태이다. 대표적으로 베이글(Bagle), 넷스카이(Netsky), 두마루(Dumaru), 소빅(Sobig) 등이 있다.[2]
- 러브레터 웜(ILOVEU)
- 2000년 필리핀에서 아이러브유 또는 러브레터 웜이라 불리는 웜이 발견되었다. 'ILOVEU'라는 이메일 제목과 'LOVE-LETTER-FOR-YOU.txt'라는 첨부파일이 특징이며 이 첨부파일을 여는 순간 웜이 활성화되어 이미지 파일과 음악 파일을 덮어씌워버린다. 피해자가 마이크로소프트의 아웃룩을 쓰고 있으면 해당 주소록에 있는 50명에게 같은 이메일을 전송하기도 한다. 수신자들은 발신자의 이름을 보고 첨부파일을 열어버림으로써 피해가 확산된다.
- 소빅 웜(Sobig Worm)
- 2003년 해외에서 처음 신고되었으며 6월 2일 국내로 유입된 소빅 웜은 북미 지역을 중심으로 빠르게 확산하였고 이메일과 윈도우 2000 계열(NT, XP 포함)의 IPC$ 공유(관리 목적의 공유), 일반 읽기/쓰기 공유 폴더를 통해 감염되는 것이 알려졌다. 메일의 제목과 첨부 파일명은 웜이 임의로 선택하지만, 본문은 'Please see the attached file.'이라는 문구와 함께 *.scr이나 *.pif 파일이 첨부된 형태이다. 관리 목적 공유인 'IPC$ 공유기능'을 이용해 확산하는 것이 특징이다. 사용자들이 편의를 위해 PC의 아이디나 패스워드를 설정하지 않거나 단순하고 쉬운 형태인 'abc', '123', 'guest', 'administrator', 'admin', '111111' 등을 감염 대상 PC에 임의로 대입하고 내용이 맞으면 관리자 권한을 획득하면서 감염을 일으킨다. 따라서 PC 계정과 패스워드 설정 시 자신만이 알고 있는 특별한 숫자나 문자의 조합으로 등록하는 것이 가장 안전하다고 전문가들은 충고하고 있다. 소빅 웜은 시스템에 치명적인 영향을 미치는 파괴 동작은 하지 않지만 메일 발송과 일일이 아이디 및 패스워드를 대입하는 작업을 백그라운드에서 실행하기 때문에 시스템이 느려지거나 과부하가 발생할 가능성이 크다.[1]
- 님다 웜(Nimda Worm)
- 2001년 등장한 님자 웜은 발생 22분 만에 인터넷을 장악하며 악명을 떨쳤다. 님다(Nimda)는 어드민(Admin)의 철자를 거꾸로 한 것이다. 이 웜은 이메일을 통해 배포될 경우가 많고 'README.EXE' 등의 첨부파일을 통해 감염된다. 마이크로소프트 아웃룩 사용자의 경우에는 첨부파일을 실행하지 않고 본문 내용을 보는 것만으로도 감염된다고 알려져 있다. 웹사이트나 공개자료에서도 발견되었는데 마이크로소프트의 인터넷 익스플로어 초기 버전은 보안이 취약했었기에 단순히 메시지를 읽기만 해도 님다에 감염되곤 했다.
- 마이둠 웜(Mydoom Worm)
- 2004년 1월 26일 마이둠 웜이 최초로 발견되었다. '소빅-F' 웜의 확산 속도를 능가하여 제2의 바이러스 대란 우려가 일었다. 28일 핀란드의 컴퓨터 보안업체인 F-시큐어사에서 마이둠 웜에 의해 전 세계로 발송되는 이메일의 15%가 피해를 본 것으로 추정된다고 발표했으며 또 다른 보안업체인 메시지랩사는 전 세계적으로 170만 통의 감염된 메일을 차단했다. 당시 보안자료에 따르면 평균 12통 중 1통이 감염된 메일로 확인되었으며 168개국에서 발생한 이 웜은 시간당 10만 건의 유입속도를 보였다. 미국에서는 71%가 넘었고 캐나다(7%) 및 호주(6%)를 통틀어 평균 15% 정도의 국가별 감염률을 보였다. 토종 백신 업체 안랩(AhnLabs)에서는 "이메일 첨부파일뿐 아니라 피투피 프로그램을 통한 두 가지 감염경로를 가져 확산속도가 빠르다."고 밝혔다. 국내 보안업체인 코코넛의 관계자는 "2월 12일에 자동 소멸하도록 프로그래밍이 되어있으나 확산 속도가 엄청나기 때문에 그 시기까지 네트워크 관리에 신중을 기해야한다."고 강조했다.[3]
시스템 공격형 웜
운영체제 고유의 취약점을 이용해 내부 정보를 파괴하거나 컴퓨터를 사용할 수 없는 상태로 만들거나, 혹은 외부의 공격자가 시스템 내부에 접속할 수 있도록 백도어를 설치하는 웜이다. 간단한 패스워드 크래킹 알고리즘을 포함하고 있어 패스워드가 취약한 시스템을 공격하는 웜도 있다. 대표적으로 아고봇(Agobot), 블래스터(Blaster.worm), 웰치아(Welchia) 등이 있다.[4]
- 모리스 웜(Morris Worm)
- 인터넷을 통해 전파된 최초의 웜이자 대중들에게 웜에 대한 관심을 끌어모은 계기이다. 1988년 코넬대학교에 재학 중이던 로버트 모리스가 인터넷 크기를 파악하려는 의도로 웜을 배포했다고 주장했다. 모리스 웜이 새로운 컴퓨터에 침입할 때마다 이미 해당 웜이 실행되고 있는지를 묻도록 설계했으나 시스템 운영자가 거짓으로 'YES'를 선택하는 상황을 우려해 결국 'YES'라고 대답해도 7분의 1의 확률로 웜이 강제적으로 복제되도록 수정했다. 이로 인해 일부 컴퓨터에 여러 번 설치되면서 문제를 일으키기 시작했고 당시 인터넷에 접속된 6만 대의 컴퓨터 중 약 10%에 달하는 유닉스 머신을 감염시키기에 이르렀다. 미국 연방 회계 검사원이 추정한 총 피해액을 10만~1천만 달러에 달했고 로버트 모리스는 집행유예 3년, 봉사활동 400시간, 벌금 1만 달러를 선고받았다. 그러나 이 일로 인해 사람들의 인터넷 보안 관념을 일깨웠다는 점에서 위대한 웜(Great Worms)라고 불리며 추앙받기도 한다.
- 둠주스 웜(Doomjuice Worm)
- 둠주스 웜은 기하급수적인 메일을 보내는 등의 피해를 준 마이둠 웜에 감염된 컴퓨터만을 공격하는 것이 특징이다. 마이둠 웜에 감염되면 3,127번 포트가 열리는데 둠주스 웜은 이 경로를 통해 퍼지게 된다. 사용자의 의도와 상관없이 마이둠 웜에 감염된 경험이 있으면 둠주스 웜에 다시 감염될 수 있다. 메일이나 메신저 등 기존 웜의 확산 경로는 이용하지 않는다. 백신으로 진단 및 치료를 할 수 있지만 원천봉쇄는 불가능해 웜을 사전에 막기 위해서는 방화벽에서 3,127번 포트를 봉쇄해야 한다. 둠주스 웜에는 마이둠 웜의 소스가 들어있기 때문에 소프트웨어에 지식이 있는 사람들은 이를 이용해 마이둠 웜의 변종을 쉽게 만들 수 있다. 백신 업계에서는 마이둠 웜과 둠주스 웜의 제작자를 동일인으로 추정하고 있다.[5]
- 블래스터 웜(Blaster Worm)
- 2003년 8월 중에 윈도우XP, 윈도우2000 등의 운영 체제를 실행 중인 컴퓨터에 확산된 웜이다. 2003년 8월 11일을 시작으로 13일에 감염 수가 최고조에 이를 때까지 전파 속도가 빨라졌다. 블래스터 웜은 컴퓨터에 침입한 후 메모리를 과다 사용하게 만들고 궁극적으로 운영체제를 파손시킨다. 보통 RPC(Remote Procedure Call) 서비스가 예기치 않게 종료되어 윈도우를 지금 다시 시작해야 합니다."라는 메시지와 함께 컴퓨터가 재부팅되지만, 이미 윈도우 레지스트리가 수정된 상태라 컴퓨터를 재시작해도 똑같은 상황이 반복될 뿐이다. 이 웜은 전 세계적으로 20만 대가 넘는 시스템을 감염시켰고 국내에도 창궐해 슬래머 웜의 악몽을 다시 불러일으켰다. 기업이나 대학교 같은 네트워크가 감염되면 방화벽이 일반적으로 내부 머신의 중앙 포트 사용을 막아두지 않았기 때문에 더욱 빠르게 감염되었다. 인터넷 서비스 제공자(ISP, Internet Service Provider)에 의한 필터링, 그리고 웜에 대한 대중성으로 인해 확산이 억제되었다. 2004년 3월 12일 미네소타 주 홉킨수 출신의 제프리 리 파슨(Jeffrey Lee Parson)이 B형 블래스터 웜을 개발하여 체포되었으며 2005년 1월에 18개월 형을 선고받았다.[6]
네트워크 공격형 웜
특정 네트워크나 시스템에 대해 서비스 거부(DoS) 공격을 수행한다. 분산 서비스 거부(DDoS) 공격을 위한 봇(Bot)과 같은 형태로 발전하고 있으며 네트워크가 마비, 급속도의 속도 저하, 네트워크 장비가 비정상적으로 동작하는 증상을 보인다. 이 유형의 웜은 적은 수의 시스템이 감염되어도 파급효과가 매우 크기 때문에 피해를 막기 위해 안정적인 네트워크 설계와 시스템의 취약점에 대한 지속적인 패치 관리가 필요하다. 대표적으로는 져봇(Zerbo), 클레즈(Klez) 등이 있다.[7]
- 슬래머 웜(SQL Slammer)
- 2003년에 등장해 10분 만에 7만 5천여 대의 컴퓨터를 감염시킨 슬래머 웜은 다양한 인터넷 호스트에 서비스 거부 공격을 하는 웜으로, 개인 컴퓨터보다는 네트워크에 더 위협적인 웜이다. 이메일이나 메신저로 전파되던 기존 웜과는 달리 시스템이 취약점이 발견되자마자 웜 코드가 실행되어 확산 속도가 빠르다. 보안패치를 실시할 시간적 여유가 없어 피해 규모가 커질 수밖에 없었으며 특히 국내에서는 1.25 인터넷 대란을 일으키며 큰 피해를 입었다.
- 클레즈 웜(Klez Worm)
- 2001년 10월 26일 외국에서 처음 발견되었다. 이 웜은 마이크로소프트 아웃룩에서 이메일을 열지 않고 미리보기 기능을 이용해도 감염되는 것으로 알려졌다. 감염이 되면 네트워크 트래픽을 증가시켜 시스템 속도를 저하시키고 매월 13일이 되면 감염된 시스템 내의 모든 실행 파일을 0바이트(byte)로 만들어 프로그램이 작동되지 않도록 한다. 공유된 폴더를 통해서도 감염이 가능하기 때문에 폴더 공유를 해제하고 출처불명의 이메일은 열지 말고 바로 삭제해야 피해를 최소화할 수 있다. 클레즈 웜은 변형된 형태로 계속해서 나타나고 있다.[8]
평가와 전망
컴퓨터 과학과 인공지능 분야의 일반적인 이론적 질문으로 웜이 유용한지에 대한 여부를 묻는 게 있다. 예를 들어 나치(Nachi) 웜은 마이크로소프트 웹사이트에서 패치를 다운로드한 후 설치해 그들이 사용했던 취약성을 포함한 호스트 시스템의 다양한 취약성을 패치하려고 시도해, 결과적으로 시스템을 더 안전하게 만들지만 종종 패치를 통해 막고자 한 웜의 네트워크 트래픽보다 더 많은 네트워크 트래픽을 발생시키고 패치로 인해 시스템을 리부팅하게 만들기 때문이다. 결정적으로 컴퓨터 소유자 또는 사용자의 동의 없이 무단으로 진행되어 문제가 된다.
따라서 보안 전문가는 웜이 어떤 걸 수반하던지 간에 웜에 반대해야 한다. 초창기 웜과 싸울 때는 출처가 불분명한 이메일을 차단하는 것만으로도 효과적인 방어가 가능했지만 님다와 같은 복잡한 웜이 등장하면서 바이러스 백신의 중요성이 커지고 있다. 현재 대부분의 백신은 컴퓨터 바이러스 뿐만 아니라 트로이목마, 웜, 스파이웨어 등의 당양한 악성코드로부터 컴퓨터를 지킬 수 있도록 설계되었다. 바이러스 백신과 윈도우 보안 업데이트를 항상 최신 버전을 유지시키고 허가된 사용자만 시스템에 접근할 수 있도록 방화벽을 활성화시키는 것이 좋다.[9][10]
각주
- ↑ 1.0 1.1 서동민 기자, 〈컴퓨터에 숨어있는 기생충 - 웜(worm)〉, 《아이티동아》, 2012-02-10
- ↑ 〈MASS Mailer형 웜〉, 《네이버 지식백과》
- ↑ 신익수 기자, 〈'마이둠 웜' 세계 15% 감염〉, 《매일경제》, 2004-01-28
- ↑ 〈시스템 공격형 웜〉, 《네이버 지식백과》
- ↑ julietsong, 〈신종 '둠주스' 웜 바이러스 출현〉, 《네이버 블로그》, 2004-02-11
- ↑ 〈블래스터 (컴퓨터 웜)〉, 《위키백과》
- ↑ 〈네트워크 공격형 웜〉, 《네이버 지식백과》
- ↑ 김주현 기자, 〈'클레즈 웜 바이러스' 주의보〉, 《경향신문》, 2001-10-29
- ↑ 〈웜〉, 《위키백과》
- ↑ 서동민 기자, 〈컴퓨터에 숨어있는 기생충 - 웜(worm)〉, 《IT동아》, 2012-02-10
참고자료
- 〈웜〉, 《위키백과》
- 서동민 기자, 〈컴퓨터에 숨어있는 기생충 - 웜(worm)〉, 《IT동아》, 2012-02-10
- julietsong, 〈신종 '둠주스' 웜 바이러스 출현〉, 《네이버 블로그》, 2004-02-11
- 〈공유 기능 악용해 전염되는「소빅」웜 국내 유입〉, 《제트디넷 코리아》, 2003-06-02
- 신익수 기자, 〈'마이둠 웜' 세계 15% 감염〉, 《매일경제》, 2004-01-28
- 〈MASS Mailer형 웜〉, 《네이버 지식백과》
- 〈시스템 공격형 웜〉, 《네이버 지식백과》
- 〈네트워크 공격형 웜〉, 《네이버 지식백과》
- 〈블래스터 (컴퓨터 웜)〉, 《위키백과》
- 김주현 기자, 〈'클레즈 웜 바이러스' 주의보〉, 《경향신문》, 2001-10-29
같이 보기