멀웨어란?

멀웨어는 일반적인 사이버 공격으로, 최종 사용자 시스템과 서버에 설치되는 다양한 악성 프로그램을 포괄적으로 뜻합니다. 멀웨어 공격은 컴퓨터, 서버, 컴퓨터 네트워크에 해를 끼치도록 설계되었으며 사이버 범죄자들이 금전적 이득을 취하기 위해 데이터를 확보하는 데 사용됩니다.

대부분의 컴퓨터 역사학자들은 첫 번째 바이러스가 1970년에 생성되었다고 주장합니다. 크리퍼 바이러스(Creeper Worm)는 아파넷(ARPANET, 초기 인터넷 버전)을 통해 자기 복제가 가능했습니다. 바이러스가 활성화되면 “나는 크리퍼입니다. 할 수 있다면 잡아보세요!”라는 메시지가 나타났습니다.

'바이러스'라는 용어는 1986년 박사 과정 학생인 프레드 코헨(Fred Cohen)이 컴퓨터 바이러스를 다른 프로그램을 감염시키고 스스로 진화된 버전을 만들 수 있는 프로그램이라고 설명하면서 만들어졌습니다. 대부분의 초기 바이러스는 파일을 파괴하거나 부팅 섹터를 감염시켰습니다. 오늘날의 멀웨어는 훨씬 더 사악하여 데이터를 훔치거나, 기업을 감시하거나, 서비스 운영 거부 상태가 되거나, 파일을 잠가 피해자로부터 돈을 갈취하도록 설계되었습니다.

멀웨어 프로그램은 일반적으로 다음 범주에 속합니다.

• 랜섬웨어: 피해자가 몸값을 지불하지 않으면 복구할 수 없도록 파일을 암호화합니다. 랜섬웨어 공격은 오늘날 아주 일반적입니다.
• 애드웨어: 사용자가 컴퓨터에서 작업하거나 웹을 검색할 때 광고(때로는 악성 광고)를 표시합니다.
• 파일 없는 멀웨어: 파일 없는 멀웨어는 실행 파일을 통해 컴퓨터 시스템을 감염시키는 대신 마이크로소프트 오피스 매크로, WMI(윈도우 관리 도구) 스크립트, 파워셸 스크립트 및 기타 관리 도구를 사용합니다.
• 바이러스: 바이러스는 컴퓨터를 감염시키고 다양한 페이로드를 수행합니다. 파일을 손상시키거나, 운영 체제를 파괴하거나, 파일을 삭제 또는 이동하거나, 특정 날짜에 페이로드를 전달할 수 있습니다.
• 웜: 웜은 자가 복제 바이러스이지만 로컬 파일에 영향을 미치는 대신 다른 시스템으로 확산되어 리소스를 고갈시킵니다.
• 트로이 목마: 트로이 목마는 트로이 도시에 진입하기 위해 트로이 목마를 사용하는 그리스 전쟁 전략 이름을 따서 지어졌습니다. 이 악성코드는 무해한 프로그램으로 가장하여 백그라운드에서 실행된 다음 데이터를 훔치거나 시스템을 원격 제어하거나 공격자의 명령을 기다렸다가 페이로드를 전달합니다.
• 봇: 감염된 컴퓨터는 봇넷의 일부가 되어 특정 호스트에 광범위한 트래픽을 전송하여 분산 서비스를 거부하는 데 사용될 수 있습니다.
• 스파이웨어: 자동으로 데이터를 설치하고 수집하여 공격자에게 전송하여 사용자와 사용자 활동을 지속적으로 “감시”하는 멀웨어입니다. 스파이웨어는 탐지되기 전에 가능한 많은 중요한 데이터를 수집하는 것이 목표입니다.
• 백도어: 원격 사용자는 시스템에 액세스한 다음 물러날 수도 있습니다. 트로이 목마는 설치 중에 백도어 페이로드를 전달합니다.
• 뱅킹 트로이 목마: 계정에 액세스 하기 위해 은행 자격 증명을 보거나 훔칩니다. 일반적으로 웹 브라우저를 조작하여 사용자가 개인 은행 정보를 입력하도록 속입니다.
• 키로거: 사용자가 URL, 자격 증명, 개인 정보 입력 시 키 입력을 캡처하여 공격자에게 전송합니다.
• RAT: “RAT(원격 액세스 도구)” 사용 시 공격자는 대상 장치에 원격으로 액세스 하여 제어할 수 있습니다.
• 다운로더: 로컬 폴더에 다른 악성 코드를 다운로드하여 설치합니다. 멀웨어 종류는 공격자의 목적에 따라 다를 수 있습니다.
• POS: PoS(판매 시점 정보 관리) 기기를 손상시켜 신용 카드 번호, 직불 카드 및 PIN, 거래 내역, 연락처 정보를 훔칩니다.

보다 정교한 형태의 멀웨어는 주로 공격을 성공하기 위해 위의 여러 유형을 조합하여 페이로드를 전달합니다. 대부분의 멀웨어는 바이러스 백신 프로그램의 탐지를 피하기 위해 회피 기능을 갖추어서 개발됩니다.

멀웨어 회피 기법을 알아차리는 것은 이 기법이 성공할 경우 보안 도구 효율성을 약화시키기 때문에 매우 중요합니다. Proofpoint는 멀웨어 공격 하위 집합을 포함하는 포괄적인 멀웨어 보호 제품군을 제공합니다. 멀웨어 회피 기법은 다음과 같습니다.

• 코드 난독화: 인코딩하여 코드 구문이 감지되지 않도록 숨깁니다.
• 코드 압축: gzip, zip, rar 등과 같은 압축 형식을 사용하여 바이러스 백신 및 이메일 메시지 탐지로부터 코드를 숨깁니다.
• 코드 암호화: 다양한 암호화 기술을 적용하여 코드 구문을 숨깁니다.
• 스테가노그래피: 이미지에 코드나 프로그램을 숨깁니다.
• 도메인 또는 IP 범위 회피: 보안 회사가 소유한 도메인 또는 IP를 식별하고 해당 위치에서 멀웨어를 비활성화합니다.
• 사용자 동작 감지: 오른쪽 또는 왼쪽 클릭, 마우스 이동 등과 같은 동작을 감지합니다.
• 시간 지연: 일정 시간 동안 휴면 상태로 있다가 활성화됩니다.
• 최근 파일 감지: 여러 애플리케이션에서 파일 열기 및 닫기 등의 과거 작업을 찾습니다.
• 장치 핑거프린팅: 특정 시스템 구성에서만 실행됩니다.

공격자는 한 가지 이상의 회피 기술을 사용하여 멀웨어가 탐지를 피하고 사람이 실행하는 시스템에만 배포되도록 만들 수 있습니다.

사이버 공격자는 다양한 악의적인 의도로 멀웨어를 사용합니다. 대부분의 경우 금전적 이득을 위해 중요한 정보나 자원을 훔치는 것이 목적입니다. 예를 들어, 해커는 멀웨어로 컴퓨터 네트워크나 특정 장치를 손상시켜 신용 카드 정보나 기밀 로그인 자격 증명 등의 민감한 데이터를 훔치거나 손상시킵니다. 그러나 일부 시나리오에서는 단순히 멀웨어가 피해자의 컴퓨터 시스템을 혼란스럽게 방해하여 시스템 작동을 방해하려는 의도로 사용되기도 합니다.

팬데믹 봉쇄 조치 이후 멀웨어 제작자들은 열악한 사이버 보안 관행을 악용하기 위해 공격을 늘려왔습니다. AV-TEST 연구원들은 매일 45만 개 이상의 새로운 멀웨어를 탐지합니다. 2013년에는 1억 8,200만 개가 조금 넘는 멀웨어가 등록되었던 것에 비해 2021년에는 13억 개가 넘는 멀웨어가 AV-TEST에 등록되었습니다. 멀웨어 개수는 2022년에 2021년 대비 두 배 증가할 것으로 예상됐습니다. 실제로 포네몬 피싱 비용 연구에 따르면, 멀웨어를 막지 못해 발생하는 비용은 310만 달러에서 530만 달러로 거의 두 배나 증가했습니다.

구글은 악성 웹사이트를 찾아 색인화 되지 않도록 차단하는 멀웨어 크롤러를 일반 대중에게 제공합니다. 이러한 안전한 검색 노력을 통해 웹사이트의 7%가 멀웨어를 호스팅 하거나 멀웨어에 감염된 것을 확인했습니다. 2020년 상반기에만 2,000만 건의 IoT 멀웨어 공격이 감지되었으며 그 수는 계속해서 증가하고 있습니다. 시만텍은 감염된 IoT 장치 4개 중 3개가 라우터를 통해서인 것으로 추정합니다.

안타깝게도 많은 조직에서 멀웨어와 관련된 치명적인 사이버 공격을 효과적으로 예방하고 처리할 수 있는 역량을 갖추지 못했습니다. 2022년 ISACA 사이버 보안 현황 보고서에 따르면 사이버 보안 전문가의 69%가 소속 조직의 팀 인력이 매우 부족하다고 생각합니다. 이는 기존 직원의 부담을 가중시키고 파괴적인 멀웨어 공격으로 인한 위험을 더욱 악화시킬 수 있습니다.

이러한 사이버 위협은 줄어들 기미가 보이지 않습니다. 멀웨어 공격의 규모와 정교함이 계속 증가함에 따라 사이버시큐리티 벤처스의 보고서에 따르면 향후 5년 동안 전 세계 사이버 범죄 비용은 전년 대비 15% 증가하여 2025년까지 피해액은 10조 5000억 달러 이상에 달할 것으로 추산됩니다. 주원인은 랜섬웨어입니다. 관련 공격으로 인해 이러한 추세는 역사상 가장 큰 부의 이전을 나타냅니다. 멀웨어 성장세를 강화하는 놀라운 데이터와 추세는 다음과 같습니다.

멀웨어 공격 사례는 수십 년 전 최초의 개인용 컴퓨터가 개발된 초창기까지 거슬러 올라갑니다. 최초의 PC 기반 멀웨어 공격인 “브레인(Brain)”은 1986년에 출시되어 IBM 개인용 컴퓨터의 5.2인치 플로피 디스크를 감염시켰습니다. 이 초창기 컴퓨터 바이러스는 시간이 지남에 따라 점점 더 정교해지는 신종 멀웨어 공격의 해로움을 촉발했습니다.

다음은 다른 주목할만한 역사적인 멀웨어 공격 사례입니다.

• 1999년 멜리사 바이러스는 감염된 워드 첨부 파일을 사용하여 피해자를 속이는 이메일 기반의 멀웨어 공격이었습니다. 멜리사는 사회 공학을 사용한 최초의 악성 코드 중 하나였으며 8천만 달러의 피해를 입혔습니다.
• 2000년대 초 아이러브유(ILOVEYOU) 웜은 러브레터로 위장한 또 다른 사회 공학적 이메일 공격이었습니다. 아이러브유 웜은 4,500만 명 이상의 사람들을 감염시키고 1,500만 달러의 금전적 피해를 낳았습니다.
• 2018 이모텟(Emotet) 트로이 목마는 스팸과 피싱 확산을 통해 정부 기관의 민감한 금융 정보를 훔쳐 미국 국토안보부에서 “가장 위협적이고 파괴적인 악성 코드 공격”으로 간주되었습니다. 이모텟 멀웨어 공격 복구 비용은 수많은 사례에서 사건당 약 100만 달러의 비용이 소요됐습니다.
• 2017년 워너크라이(WannaCry) 공격은 당시 가장 정교하고 비용이 많이 드는 공격 중 하나였습니다. 이 멀웨어는 의심스러운 파일 수정 없이 자체 복제되는 형태를 보였습니다. 워너크라이는 하루도 채 안 되어 230,000대 이상의 컴퓨터를 감염시키며 40억 달러에 달하는 랜섬웨어 손실을 초래했습니다.
• 2020년의 코비드락(CovidLock) 랜섬웨어 공격은 해커들이 가장 활동적으로 코로나19 팬데믹을 악용했음을 증명합니다. 질병에 대한 정보를 제공하는 것으로 위장한 코비드락 랜섬웨어는 감염된 파일을 설치해 장치의 모든 데이터를 암호화하고 사용자의 접근을 거부했습니다. 감염된 각 장치를 복구하려면 100달러의 몸값을 지불해야 했습니다.

해킹은 사업이며 멀웨어는 해커가 데이터를 훔치거나 장치를 제어하는 ​​데 사용하는 도구 중 하나입니다. 사이버 범죄자는 특정 기능을 수행하기 위해 특정 멀웨어를 사용합니다. 예를 들어, 랜섬웨어는 기업으로부터 돈을 갈취하는 데 도움이 되는 반면, 미라이(Mirai)는 DDoS(디도스, 분산 서비스 거부) 공격에서 IoT 장치를 제어하는 ​​데 사용됩니다.

공격자가 멀웨어를 사용하는 이유

• 사용자를 속여 개인 식별 정보(PII)를 입력하도록 유도합니다.
• 신용카드 번호, 은행 계좌 등 금융 데이터를 훔칩니다.
• 공격자에게 기기에 대한 원격 액세스 및 제어 권한을 부여합니다.
• 컴퓨터 리소스를 사용하여 비트코인이나 기타 암호화폐를 채굴합니다.

좋은 바이러스 백신이 멀웨어가 컴퓨터에 감염되는 것을 막기 때문에 멀웨어 제작자는 네트워크에 설치된 사이버 보안을 우회하기 위해 여러 전략을 개발합니다. 사용자는 다양한 경로로 멀웨어의 피해자가 될 수 있습니다.

멀웨어의 피해자가 되는 경로

• 합법적인 프로그램 설치 프로그램을 다운로드했지만 설치 프로그램에 악성 코드도 포함되어 있는 경우.
• 취약한 브라우저(예: 인터넷 익스플로러 6)를 사용하여 웹사이트를 탐색하고 웹사이트에 악성 설치 프로그램이 포함된 경우.
• 피싱 이메일을 열고 멀웨어를 다운로드한 다음 설치하는 데 사용되는 악성 스크립트를 여는 경우.
• 비공식 공급업체로부터 설치 프로그램을 다운로드하고 합법적인 애플리케이션 대신 멀웨어를 설치한 경우.
• 멀웨어를 다운로드하도록 유도하는 웹페이지 광고를 클릭한 경우.

멀웨어는 백그라운드에서 조용히 실행되지만 멀웨어가 사용하는 리소스와 페이로드가 표시되는 것은 컴퓨터가 감염되었다는 명백한 신호입니다. 일부 감염 탐지에는 숙련된 사용자의 도움이 필요할 수 있지만, 특정 징후를 인식하여 추가 조사를 진행할 수 있습니다.

다음은 멀웨어가 있음을 나타내는 몇 가지 신호입니다.

• 느린 컴퓨터: 크립토재커와 같은 일부 멀웨어는 실행에 많은 CPU와 메모리가 필요합니다. 재부팅 후에도 컴퓨터가 비정상적으로 느리게 실행됩니다.
• 지속적인 팝업: 애드웨어는 운영 체제에 내장되어 브라우저에 지속적으로 광고를 표시합니다. 광고를 닫으면 또 다른 광고가 팝업됩니다.
• BSOD(블루 스크린): 윈도우가 블루 스크린으로 나타나며 오류를 표시합니다. 하지만 이러한 현상은 일반적으로 거의 발생하지 않습니다. 지속적으로 BSOD를 경험할 경우 컴퓨터가 멀웨어에 감염되었음을 의미할 수 있습니다.
• 디스크 저장 공간 초과 또는 손실: 멀웨어가 데이터를 삭제하여 대량의 저장 공간을 확보하거나 몇 기가바이트의 데이터를 저장소에 추가할 수 있습니다.
• 알 수 없는 인터넷 활동: 인터넷 연결을 사용하지 않을 때에도 라우터에 과도한 활동이 표시됩니다.
• 브라우저 설정 변경: 멀웨어가 브라우저 홈 페이지나 검색 엔진 설정을 변경하여 사용자를 스팸 웹사이트나 악성 프로그램이 포함된 사이트로 리디렉션 합니다.
• 바이러스 백신 비활성화됨: 페이로드를 전달하기 위해 일부 멀웨어는 바이러스 백신을 비활성화하여 활성화된 후에도 백신을 비활성화된 상태로 유지합니다.

대부분의 데스크톱 PC에는 이미 타사 또는 운영 체제에서 제공하는 바이러스 백신이 있습니다. 스마트폰과 태블릿에는 이러한 형태의 기본 보호 기능이 없기 때문에 공격자의 완벽한 타깃이 될 수 있습니다. 스마트폰에 멀웨어를 설치하는 것은 공격자들이 점점 더 많이 사용하는 전략입니다. 애플과 안드로이드는 운영 체제에 보안 기능을 포함하고 있지만 모든 멀웨어를 완전히 차단하기에는 충분하지 않습니다.

극히 드물지만 아이폰도 멀웨어에 감염될 수 있습니다. 이는 일반적으로 아이폰을 수동으로 “탈옥”하고 기본 제공되는 보호 기능을 비활성화하여 iOS가 승인하지 않은 앱을 설치하여 취약해지는 결과입니다. 그러나 대부분의 소유자는 사용자 안전을 보장하기 위해 애플의 앱스토어에서 심사하고 승인한 앱만 다운로드할 수 있기 때문에 아이폰에서 멀웨어가 발생할 가능성은 거의 없습니다.

예, 안드로이드 기기는 멀웨어 공격에 훨씬 더 취약합니다. 일부 앱은 다운로드 및 설치될 때까지 멀웨어를 숨길 수 있기 때문에 비공식 타사 앱 스토어에서 앱을 다운로드하는 것은 안드로이드 사용자가 겪는 주요 위험 중 하나입니다. 이러한 앱을 다운로드하면 기기에 멀웨어가 감염되어 배터리가 빨리 소모되고 데이터 사용량이 증가하며 무작위 팝업이 나타나는 등 여러 증상이 나타날 수 있습니다.

스마트폰은 대중적인 인기 때문에 컴퓨터보다 더 많은 개인 데이터를 담고 있습니다. 사용자는 휴대폰을 어디든 가지고 다니기 때문에 휴대폰에는 금융 정보, 여행 위치, GPS 추적, 쇼핑 기록, 검색 기록 등 공격자에게 유용할 수 있는 많은 정보가 담겨 있습니다. 사용자는 데스크톱에 소프트웨어를 설치하는 것보다 스마트폰에 애플리케이션을 설치하는 것이 더 안전하다고 생각하는 경향이 있습니다. 이러한 모든 요인으로 인해 일부 위협에 있어서 스마트폰이 데스크톱보다 더 큰 타깃이 되기도 합니다.

위협은 스마트폰이 와이파이나 셀룰러 데이터에 지속적으로 연결되어 있어 인터넷을 항상 사용할 수 있다는 점을 이용합니다. 멀웨어는 백그라운드에서 실행되므로 공격자는 스마트폰 소유자의 위치에 관계없이 훔친 데이터와 자격 증명을 제어하는 ​​서버에 조용히 업로드할 수 있습니다.

개인과 기업은 데스크톱과 모바일 기기를 보호하기 위해 필요한 조치를 취해야 합니다. 즉, 컴퓨터와 모바일 기기에서 바이러스 백신 소프트웨어를 실행하여 멀웨어 위협의 위험을 크게 줄여야 합니다.

멀웨어가 기기에 영향을 미치는 것을 방지하는 더 많은 방법

• 생체 인식(예: 지문 또는 얼굴 인식) 또는 문자 메시지 PIN과 같은 다단계 인증(MFA)을 포함합니다.
• 강력한 비밀번호 복잡성과 길이 규칙을 적용하여 사용자가 효과적인 비밀번호를 만들도록 통제합니다.
• 사용자에게 30~45일마다 비밀번호를 변경하도록 유도하여 공격자가 손상된 계정을 사용할 수 있는 기회를 줄입니다.
• 필요한 경우에만 관리자 계정을 사용하고 관리자 권한을 사용하여 타사 소프트웨어를 실행하지 않도록 합니다.
• 공급업체가 최신 패치를 출시하는 즉시 운영 체제와 소프트웨어를 최신 패치로 업데이트합니다.
• 데이터 도청을 방지하기 위해 침입 탐지 시스템, 방화벽, 통신 암호화 프로토콜을 설치합니다.
• 이메일 보안을 사용하여 의심스러운 메시지나 피싱으로 판단된 메시지를 차단합니다.
• 의심스러운 트래픽이 있는지 회사 네트워크를 모니터링합니다.
• 악성 이메일을 식별하고 비공식 소스에서 소프트웨어를 설치하지 않도록 직원을 교육합니다.

컴퓨터에 멀웨어가 있다고 생각되면 이를 제거하기 위한 조치를 취해야 합니다. 기업용 워크스테이션의 경우 비즈니스 바이러스 백신 도구를 사용하여 원격으로 멀웨어를 제거할 수 있습니다. 바이러스 백신을 회피하는 멀웨어의 경우 더욱 정교한 형태의 제거가 필요할 수 있습니다.

제거의 첫 번째 단계는 시스템의 바이러스 백신 소프트웨어를 업데이트하고 전체 시스템에서 검사를 실행하는 것입니다. 일부 멀웨어는 바이러스 백신을 비활성화하므로 검사를 시작하기 전에 바이러스 백신이 활성화되어 있는지 확인해야 합니다. 컴퓨터 검색에 몇 분 정도 소요될 수 있으므로 업무에 필요한 경우 밤새도록 실행하는 것이 가장 좋습니다.

바이러스 백신은 검사를 완료한 후 결과 보고서를 생성합니다. 대부분의 바이러스 백신 소프트웨어는 의심스러운 파일을 격리하고 격리된 파일을 어떻게 처리할지 묻는 메시지를 표시합니다. 검사 후 컴퓨터를 재부팅합니다. 바이러스 백신 소프트웨어는 매주 정기적으로 컴퓨터를 검사하도록 하는 설정이 있어야 합니다. 설정된 일정에 따라 컴퓨터를 검사하면 멀웨어가 무의식적으로 다시 설치되는 것을 방지할 수 있습니다.

최악의 경우 컴퓨터를 다시 이미지화하거나 공장 초기화로 재설정해야 할 수도 있습니다. 운영 체제 및 파일 전체 백업이 있는 경우 이미지를 다시 생성할 수 있습니다. 이미지를 다시 설치하면 파일을 포함한 모든 것이 설치되므로 마지막 저장소 지점에서 복구할 수 있습니다. 이러한 유형의 백업이 없으면 PC를 공장 설정으로 초기화할 수 있습니다. 이렇게 하면 모든 파일과 소프트웨어가 손실되며 컴퓨터는 처음 구입했을 때의 상태로 돌아갑니다.

멀웨어가 완전히 제거되었는지 확인하는 것이 중요합니다. 환경에서 멀웨어를 완전히 제거하지 않으면 새로 검사하고 치료한 컴퓨터를 다시 감염시키도록 코딩되어 있을 수 있습니다. 멀웨어가 컴퓨터를 다시 감염시키는 것을 방지하려면 항상 모든 네트워크 리소스에 걸쳐 모니터링 및 데이터 보호를 실행해야 합니다. 침입 탐지 시스템은 네트워크에서 의심스러운 트래픽 패턴을 적극적으로 모니터링하고 관리자에게 잠재적 위협에 대해 경고하여 사이버 보안 사고가 데이터 침해로 이어지는 것을 방지합니다.

외부 문서 교환에 의존하는 기업은 공격자가 노리는 훌륭한 타깃입니다. 모든 조직이 사람에 의존하기 때문에 범죄자들은 ​​멀웨어 공격을 회사의 HR 부서로 향하게 합니다. 공격자는 채용 사이트를 통해 이력서를 직접 업로드하거나 전송함으로써 핵심 탐지 메커니즘인 보안 이메일 게이트웨이를 피하면서 HR 직원에게 직접 이력서를 전달합니다.