트로이목마 편집하기

[[파일:트로이목마.png|썸네일|400픽셀|'''트로이 목마'''(Trojan Horse)]]

'''트로이 목마'''<!--트로이 목마, 트로이-->(Trojan Horse)<!--Trojan-->란, 사전적 정의로 정상 파일로 위장한 [[멀웨어]]이다. 좀 더 명확하게 정의하자면, 사이버 공격의 목적을 달성하기 위해 정상 파일로 위장해 보안 검열을 피하고 감염시킨 기기에 은닉하는 멀웨어다. 트로이목마는 그리스 신화에 나오는 트로이목마와 성격이 같다고 할 수 있다. 무장 병사를 숨겨 목마에 숨기고 평범한 목마처럼 위장해 견고한 트로이아 성벽을 뚫었다면, 트로이목마 멀웨어 또한 정상 파일로 위장한 체 공격용 멀웨어를 숨김으로써 견고한 보안 검열을 뚫는다.<ref>유성민 IT칼럼니스트, 〈[https://www.sciencetimes.co.kr/?news=%EC%9D%80%EB%8B%89%ED%95%B4%EC%84%9C-%EB%AC%B4%EC%84%9C%EC%9A%B4-%ED%8A%B8%EB%A1%9C%EC%9D%B4-%EB%AA%A9%EB%A7%88 은닉해서 무서운 트롤이 목마]〉, 《사이언스타임즈》, 2018-02-14</ref>

==개요==
오늘날 트로이목마는 컴퓨터 [[멀웨어]]의 대명사로 더 유명하다. 멀웨어 중에는 마치 유용한 프로그램인 것처럼 위장하여 사용자이 거부감 없이 설치를 유도하는 프로그램들이 있는데, 이들을 트로이목마라고 부른다. 그리스의 트로이목마처럼 치명적인 피해를 줄 수 있는 무언가를 숨겨 놓은 것이다. 이처럼 멀웨어의 상당수를 차지하고 있는 이 트로이목마는 다양한 방법으로 사용자의 보안에 큰 위협을 가하고 있다. 트로이목마의 주 감염 경로는 이메일 첨부파일, P2P 사이트에서 내려받을 수 있는 [[셰어웨어]]나 [[프리웨어]]가 있다. 최근에는 스마트폰에서도 트로이목마가 발견됐다.<ref>보리,〈[https://m.blog.naver.com/PostView.nhn?blogId=bsy9109&logNo=130131275134&proxyReferer=https%3A%2F%2Fwww.google.com%2F 악성코드의 대명사 트로이목마란 무엇인가??]〉, 《네이버 블로그》, 2012-02-13</ref>

==시초==
최초의 트로이목마는 애니멀(Animal)로 불리니 컴퓨터 프로그램이라는 것이 중론이다. 애니멀은 [[유니박]](Univac) 컴퓨터용으로 1974년 [[존 워커]]가 만들었으며 "20개의 질문"을 통해 사용자가 좋아하는 동물을 알아맞히는 프로그램이다. 실행 과정에서 영리한 [[머신러닝]] 기법을 사용해 질문을 개선한다. 워커에 따르면, 애니멀이 유니박 사용자들 사이에서 인기를 끌면서 복사본을 요청하는 사람이 늘어나자 컴퓨터 네트워킹이 흔치 않았던 당시 워커는 복사본 요청에 응대하는 데 많은 시간을 소비하게 됐다. 결국 워커는 퍼베이드(Pervade)라는 서브루틴을 만들었다. 퍼베이드는 사용자가 애니멀의 질문에 답하는 사이 사용자가 액세스할 수 있는 아무 디렉터리나 찾아 그 디렉터리에 애니멀의 복사본을 저장했다. 사실 이런 디렉터리의 상당수는 여러 사무실에서 공유하는 릴 방식의 테이프에 위치했으므로 트로이목마, 즉 퍼베이드는 이 경로를 타고 전파됐다. 워커는 애니멀이 "선량한 프로그램"이며 단순히 자신을 여기저기 복사했을 뿐 아무런 피해도 입히지 않았다고 주장한다. 덕분에 누가 프로그램을 요청하면 '이미 당신 시스템에 애니멀이 있을 것'이라고 알려주는 것으로 이야기를 끝낼 수 있었다.<ref>Josh Fruhhlinger, 〈[http://www.itworld.co.kr/news/124866 트로이목마의 의미와 동작 방법]〉, 《아이티월드》, 2019-06-24</ref>

==종류==
*'''백도어'''(Trojans-Backdoor) : 컴퓨터의 방어망에 [[해커]]가 침투할 수 있는 구멍을 뚫는다.
*'''다운로더'''(Trojans-Downloader) : 다운로더 트로이목마는 해커 사이트에서 더 악의적인 코드를 다운로드해 컴퓨터에 대한 장악력을 더 확대한다.
*'''루트킷'''(Trojans-Rootkit) : 루트킷 트로이목마는 다른 공격자가 이용할 수 있는 숨겨진 [[해킹]] 툴킷을 설치한다.
*'''드롭퍼'''(Trojan-Dropper) : 내부에 포함되어 있던 추가적인 [[멀웨어]]를 설치한다.
*'''패스워드 스틸러'''(Trojan-PWS) : 사용자 계정 및 비밀번호를 외부로 유출한다.
*'''프록시'''(Trojan-Proxy) : 프록시의 설정을 변경하거나 프록시를 사용한다.
*'''클리커'''(Trojan-Clicker) : 오류 메시지나 광고를 통해 사용자의 사이트 접속을 유도한다.
*'''스파이'''(Trojan-Spy) : 각종 시스템 정보를 외부로 유출하기 위해 제작됐다.
*'''익스플로잇'''(Trojan-Exploit) : 취약점을 통해 감염시키는 것이 주 목적이다.
*'''메일파인더'''(Trojans-Mailfinders) : 메일파인더는 사용자의 주소록을 훑어 스팸에 이용할 이메일 주소를 확보한다.
*'''DDoS'''(Trojans-DDoS) : DDoS 트로이목마는 컴퓨터를 탈취해 좀비화해서 다른 공격 목표에 대한 [[DDoS]] 공격에 이용한다.
*'''뱅킹'''(Trojans-Banking) : 뱅킹 트로이목마는 금융 로그인 정보를 훔친다.
*'''랜섬웨어'''(Trojans-Ransomware) : [[랜섬웨어]] 트로이목마는 파일을 암호화한 다음 복원해주는 대가로 [[비트코인]] 몸값을 요구한다.

==특징==
*목표 대상에 도달할 때까지 아무런 공격 행위를 가하지 않는다. 이에 해당하는 대표 트로이목마로 '스턱스넷(Stuxnet)'이 있다. 스턱스넷은 평상시에는 아무런 공격을 가하지 않는다. 다만 발전소 운영 시스템에 접근하게 되면, 시스템을 비정상적인 행위를 하도록 해서 해당 발전소에 피해를 준다. 2010년 7월 이란 나탄즈 원자력 발전소는 스턱스넷으로 원심 분리기 1,000여 대가 파괴된 적이 있다. 이로 인해 발전소 가동이 약 1년 중단되었다.
*보안 검열을 피하고자 여러 회피 기술들을 사용한다. 트로이목마 [[멀웨어]]를 실제로 분석해본 결과, 여러 우회 기술들이 발견되었다. 대표적으로 가상화 탐지 기술이 최근 트로이목마에서 주로 발견되었다. 대부분의 멀웨어 분석은 가상화 시스템 기반에 멀웨어를 분석하는데, 이유는 분석용 기기가 멀웨어에 감염되게 하지 않기 위해서이다. 참고로 가상화 시스템은 분석용 기기와 별개의 시스템을 만들기 때문에, 가상화 시스템이 감염되어도 분석용 기기에 피해를 주지 않는다. 따라서 트로이목마는 가상화를 탐지할 시에는 어떠한 악성 행위를 하지 않음으로써 보안 검열을 회피한다.
*트로이목마는 자료삭제·정보 탈취 등을 목적으로 사용되는 악성 프로그램으로, [[해킹]] 기능을 가지고 있어 [[인터넷]]을 통해 감염된 컴퓨터의 정보를 외부로 유출하는 것이 특징이다. 그러나 [[바이러스]]처럼 다른 파일을 전염시키지 않는다.
*트로이목마도 일종의 [[프로그램]]이므로 [[컴퓨터 바이러스]]와 마찬가지로 일반적인 프로그램이 수행하는 모든 일을 할 수 있다. 트로이목마 프로그램은 특정 파일을 지울 수 있으며, 최악의 경우 [[하드디스크]]를 포맷해버리는 것도 얼마든지 가능하다. 이런 점에서 트로이목마도 사용자 입장에서는 컴퓨터 바이러스와 함께 조심해야 할 악의적인 파괴 프로그램이다.
*트로이목마는 자체적인 전파 기능을 가지고 있지 않지만, 현재 다수의 웹 해킹을 통해 악의적인 [[스크립트]]가 삽입된 [[웹페이지]]에 의해 전파되고 있다. 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드해 실행하거나 다른 뭘에어에서 설치하는 것으로, 유틸리티 프로그램 내에 악의의 기능을 가지는 코드를 내장하여 배포하거나 그 자체를 유틸리티 프로그램으로 위장하여 배포한다.
*트로이목마가 설치되면, 공격자는 시스템의 모든 제어권을 가질 수 있다. 따라서 [[응용프로그램]] 및 시스템 자체의 정상적인 동작을 방해하는 [[서비스 거부 공격]](DoS 공격:Denial of Service attack)에도 사용될 수 있고, 사용자 ID, 계좌번호, 기밀문서 유출 등 기밀성을 해칠 수도 있다. 트로이목마를 이용하여 사용자 ID, 패스워드, 계좌번호 등의 정보를 빼내는 것이 가장 일반적인 해킹 수법이며, 이로 인한 피해가 많이 접수되고 있다.

===감염 경로===
*'''첨부파일''' : 대부분의 사람이 이메일에 첨부된 파일에 의해 감염이 되는 경우가 가장 많다. 이메일의 첨부 파일은 성인물, 유료 사이트의 계정과 패스워드, 사용하는 [[프로그램]]의 패치 등 사람의 호기심을 끌 만한 것으로 위장하고 있다. 그래서 사용자들은 이러한 형태의 첨부 파일로 인해 시스템에 감염될 수 있다고 생각하지 못하고 첨부 파일을 실행하게 되는 것이다.
*'''물리적인 접근''' : 이 감염 방식은 [[인터넷]]과 같은 온라인이 아닌 로컬에서 일어나는 형태이므로 시스템의 보안에 심각한 문제를 일으키게 된다. 예를 들어, 화장실을 가거나 또는 잠시 쉬기 위해 시스템을 몇 분 정도 어떠한 안전장치 없이 방치하게 될 경우 이 몇 분은 [[해커]]에게 시스템을 트로이목마에 감염시키기에 충분한 시간이다. 또 다른 방식으로 CD-ROM의 자동 실행 기능을 이용하는 것이 있다. 이 방식은 콤팩트 디스크나 USB를 사용할 때 'Autorun.inf' 파일의 설정을 감염된 파일이나 감염되도록 조작된 프로그램이 설치되도록 변경한다. 그리고는 시스템에 콤팩트 디스크를 CD-ROM에 넣거나 USB를 꽂게 되면 설치 파일이 자동으로 실행되어 감염된다.
*'''소프트웨어의 취약점''' : 사용하는 [[소프트웨어]]를 최신 버전으로 업데이트하지 않거나 패치를 설치하지 않아 소프트웨어의 취약점이나 버그 등으로 인해 트로이목마에 쉽게 감염이 될 수 있다. 예를 들어 사용자가 오래된 버전의 [[인터넷 익스플로러]]를 사용해 특정 웹 사이트를 접속하게 될 경우, 인터넷 익스플로러를 최신 버전으로 업데이트해야만 정상적인 이용이 가능한 것처럼 사용자를 속여 감염된 파일을 다운로드하도록 한다.
*'''셰어웨어''' : 가장 손쉽게 시스템을 감염시킬 방법의 하나가 인터넷에서 배포되는 [[셰어웨어]]다. 그리고 이것으로 인해 시스템이 매우 위험해질 수 있어 셰어웨어를 사용하기 전에는 항상 유명 사이트의 공개 자료실에 등록이 되어 있는 것이나, 이것을 공개한 회사의 웹 사이트에서 관련 자료를 찾아보는 것이 좋다.
*'''관리 목적 공유 폴더 이용''' :2002년 말부터 발견되고 있는 트로이목마 중 [[IRC]](Internet Relay Chat) 관련 프로그램들은 관리 목적으로 공유된 폴더가 존재하는 [[OS]] 로그인 계정의 취약한 암호를 사용하는 시스템을 별도 프로그램의 도움을 받아 스스로 찾고 트로이목마를 설치해두는 형태로 발전했다. 이런 종류의 트로이목마는 점점 증가하는 추세이며, 자동으로 [[IP]] 주소 대역을 검색하여 이런 시스템을 찾아 트로이목마를 설치하는 형태도 발견되었다. 이러한 전파 및 설치 방법은 트로이목마에만 국한되지 않고 [[바이러스]]나 [[웜]] 등의 악성 프로그램들도 이용하고 있다.

===목적===
*'''원격 제어''' : 대부분의 트로이목마가 이 상황에 해당되며, 해커는 트로이목마에 감염된 시스템을 통해서 모든 것을 원격 조정할 수 있다.
*'''패스워드 가로채기''' : 트로이목마의 주된 목적은 감염된 시스템에 존재하는 캐시된 패스워드를 찾아내는 것이다. 주로 메신저, [[인터넷]]에 존재하는 웹사이트, 기타 [[응용 프로그램]] 사용 시에 요구되는 사용자 계정과 패스워드를 사용자 모르게 공격자의 이메일 주소로 전송한다. 이러한 유형들 대부분이 윈도가 재시작할 때 자동 실행되지 않으나, 특정한 악용 행위의 상황 등에 따라 달라질 수 있다.
*'''키보드 입력 가로채기''' : 시스템에서 사용자가 입력하는 키보드 입력을 임의의 로그 파일에 복사한 후, 해커가 설정해 놓은 특정한 이메일 주소나 메신저로 전송한다. 해커는 그 로그 파일에서 패스워드, 사용자 계정과 같이 민감한 데이터를 찾아내게 되는 것이다. 온, 오프라인 로그의 두 가지 모두 기록을 할 수가 있으며 하루나 특정 시간 단위로 로그 파일을 편집하여 미리 설정해 놓은 메일 주소로 전송할 수 있다.
*'''시스템 파일 파괴''' : 트로이목마는 감염된 시스템에 있는 파일이나 [[데이터]]들을 삭제하는 기능을 가지고 있으며, 쉽게 이용할 수 있다. 그리고 핵심적인 시스템 파일들인 '.dll', '.ini', '.exe' 파일들을 자동으로 삭제할 수 있다. 이러한 유형은 [[해커]]에 의해 작동되거나 논리 폭탄(Logic Bomb)처럼 특정한 실행으로 인해 특정한 날짜나 시간대에 자동으로 활성화되도록 지정할 수 있다.
*'''서비스 거부 공격'''(Denial of Service Attack) : 감염된 숙주를 이용해 공격 대상이 되는 시스템에 [[서비스 거부 공격]](Dos)을 가한다. 주된 악용 행위는 고속 [[네트워크]]를 사용하는 다수의 시스템을 감염 시켜 동시에 많은 트래픽을 공격 대상이 되는 시스템으로 전송하고 이로 인해 시스템의 리소스를 고갈 시켜 일시적으로 시스템을 마비시키는 [[분산 서비스 거부 공격]](DDoS; Distributed Denial of Service Attack)을 들 수 있다. 주된 공격 목적은 무작위로 제목과 본문을 설정한 메일을 감염된 시스템에서 생성해 특정 메일주소로 동시에 보내는 것이다.
*'''시스템 보호 기능 삭제''' : 백신이나 개인용 방화벽과 같이 시스템 보호를 목적으로 사용되는 프로그램의 주요 파일을 삭제하여 그 기능을 하지 못하도록 하는 형태이다. 일반적으로 특정한 트로이목마 내부에 포함되어 하나의 기능으로 사용되고 있다. 백신이나 개인용 방화벽의 주요 파일이 삭제되어 정상적인 기능을 수행하지 못하게 되면 해커는 트로이목마에 있는 다른 기능을 이용한다.
*'''FTP'''(File Transfer Protocol) : 이 유형은 가장 단순하며 가장 오래된 형태이다. 단순하게 감염된 시스템에서 파일 전송을 위해 20번과 21번 포트를 오픈하여 공격자뿐만이 아니라 일반 사용자도 접속할 수 있게 만든다. 하지만 최근의 경향은 미리 설정해 놓은 패스워드를 통해 감염된 시스템에 해커만 접속할 수 있도록 하고 있다.

===피해===
*트로이목마의 피해는 단순 개인정보 유출, 운영체제 파괴, 속도 느려짐, 시스템 파일 삭제, 부팅 오류뿐만 아니라 컴퓨터 [[하드웨어]] 자체를 먹통으로 만들어 아예 못 쓸 정도로 손상 시키기도 한다. 포맷을 해도 복구가 불가능할 정도로 성능이 약화되며 이런 경우에는 컴퓨터 수명 자체가 거의 요절이 난다. 그만큼 일단 컴퓨터에 들어오기만 하면 피해가 걷잡을 수 없이 커지게 된다. [[컴퓨터 바이러스]] 같은 경우 대부분 포맷을 하면 컴퓨터 성능 자체에는 큰 문제가 없으나 트로이목마는 일단 걸리면 컴퓨터 성능은 포기해야 한다. 일부 트로이목마의 경우, 트로이목마 본체를 삭제하면 본체 속에 프로그램 중요 작동 소스를 집어넣어서 해당 프로그램을 먹통으로 만들어 버리는 경우도 있다. 그러나 자기 집과 동반 자살 하는 경우는 나은 편이고, 어떤 건 삭제하려고 시도할 경우 컴퓨터를 무한 부팅 시켜 버리거나, 커널을 파괴하여 동반 자살을 하는 예도 있고 시스템 자체를 다운시켜버리는 예도 있으니 주의해야 한다.
*[[암호화폐]]에서의 트로이목마는 컴퓨터를 모니터링하면서 암호화폐 계좌 번호로 보이는 정보가 나타나길 기다린다. 이런 정보를 발견하면 사용자가 전송하려고 했던 원래의 계좌를 자신의 계좌 번호로 바꾼다. 면밀히 살피지 않고 전송 버튼을 누르는 순간 더 되돌릴 수 없다.

==예방==
*100% 신뢰할 수 없는 사람이 보낸 이메일에서 파일을 가급적 내려받지 않는다. 주로 사용하는 이메일에는 스팸 차단 기능을 설정하고, 신원이 불분명한 사람의 이메일은 아예 열지 않는 것이 좋다. 드문 경우긴 하지만 아는 사람의 이름으로 메일이 오는 경우도 있으니 의심이 되면 해당인에게 연락을 해보거나 백신 프로그램으로 검사한 후 열어보는 것이 좋다.
*불법 소프트웨어에는 트로이목마가 숨어 있을 수 있으니 정품 [[소프트웨어]]를 사용한다. [[셰어웨어]](Shareware)가 필요할 때는 믿을만한 곳에서 다운로드하고, 불가피하게 [[P2P]]를 이용할 때는 반드시 백신 프로그램 등의 보안 제품으로 검사해야 한다.
*백신 프로그램과 윈도는 항상 최신 버전을 유지할 수 있도록 업데이트에 신경쓴다. 하루가 다르게 신종 트로이목마와 [[웜]]이 출현하고 있는 상황이므로 최신 버전의 백신을 사용해야 최신 트로이목마를 막을 수 있다. 또한 [[MS]] [[윈도]] [[업데이트]]는 의심스러운 실행파일을 차단하거나 보안상의 취약점을 보완할 수 있으니, 자동으로 업데이트되도록 설정해 둔다. 아울러 [[인터넷 익스플로러]]도 최신 버전을 사용하되, 가능하면 보안 설정을 높게 유지한다. [[파이어폭스]]나 [[크롬]] 등의 [[웹 브라우저]]는 인터넷 익스플로러보다 덜 하긴 하지만, 마찬가지로 보안 설정 및 업데이트에 주의해야 한다.

==사례==
*'''모크스'''(Mokes) : 일본 [[암호화폐 거래소]] [[코인체크]](Coincheck)가 해커의 공격으로 약 580억 엔 규모의 [[NEM]]을 도난당했다. 사건 조사 중 한 직원 컴퓨터에서 러시아 해커가 즐겨 쓰는 트로이목마 [[소프트웨어]]가 발견됐다고 밝혔다. 조사에 참여한 한 관계자는 "조사 결과 직원의 컴퓨터에서 Mokes, Netwire라는 바이러스가 발견됐다. 해당 [[바이러스]]에 감염된 컴퓨터는 원격 조종이 가능하다. 모크스는 지난 2011년 6월 처음으로 온라인 [[네트워크]]에서 발견된 바 있으며, 러시아 해커들이 주로 사용하는 트로이목마로 지목돼 왔다"라고 설명했다.<ref>Coinness,〈[https://www.tokenpost.kr/article-12053 외신 "코인체크 직원 컴퓨터서 러시아 해커'트로이목마' 발견"]〉, 《토큰포스트》, 2019-06-17</ref>
*'''큐랩 트로이잔'''(Qulab Trojan) : [[유튜브]] 동영상을 사용해 무료로 [[비트코인]]을 채굴하는 '비트코인 생성기'라며 홍보하는 사기 및 [[멀웨어]] 영상이 올라왔다. 보안 미디어 기업인 [[블리핑컴퓨터]]는 포르스트(Forst)의 분석을 인용해 큐랩 트로이잔(Qulab Trojan)이란 멀웨어를 숨기고 있는 동영상이 빠르게 확산하고 있다며 주의를 당부했다. 이 비디오는 비디오 내용을 소개하는 링크란에 공짜 비트코인을 얻을 수 있는 툴이라는 설명을 달고 이 링크를 클릭하면 해당 툴을 다운로드 받을 수 있다고 설명하고 있다. 이 설명을 믿은 시청자가 다운로드하기 위해 링크를 클릭하면 멀웨어가 다운로드 되고 코드를 실행해 해당 PC에 숨는 것이다. 이 멀웨어는 비트코인, [[비트코인 캐시]], [[이더]], [[이더리움]], [[라이트코인]], [[모네로]] 등 여러 다양한 암호화폐 주소를 인지하는 것으로 알려졌다.<ref>강덕중 객원기자,〈[http://www.thebchain.co.kr/news/articleView.html?idxno=4505 공짜 채굴기 위장한 악성코드 유튜브 통해 확산]〉, 《더비체인》, 2019-05-30</ref>
*'''헤스페르봇'''(Hesperbot) : 에셋(ESET) 한국 법인 노드32코리아는 에셋 본사 바이러스 랩의 리포트를 인용해 인터넷 뱅킹 트로이목마인 '헤스페르봇(Hesperbot)' 감염이 전세계적으로 크게 늘고 있다고 밝혔다. 에셋 연구 분석 결과에 따르면 헤스페르봇이라 불리는 멀웨어는 신뢰할 수 있는 기관과 연계된 것처럼 가장하여 유포 활동을 벌이고 있으며 사용자가 멀웨어를 실행하도록 유도한다. 헤스페르봇은 주로 피싱 메일을 통해 유포되어 [[안드로이드]], [[심비안]] 및 [[블랙베리]] 기기를 감염시키며 개인키가 저장된 비트코인 지갑으로 접근을 시도하여 비트코인을 훔쳐낸다.<ref>윤현기 기자,〈[http://www.itdaily.kr/news/articleView.html?idxno=46974 (초점) 가상화폐 '비트코인' 훔치는 트로이목마 등장]〉, 《아이티데일리》, 2014-01-06</ref>
*'''도포일'''(Dofoll) : [[마이크로소프트]](MS)는 지난주 '스모크로더(Smoke Loader)' 또는 '도포일(Dofoil)'이라 불리는 트로이목마 멀웨어 변종이 등장해 윈도 PC 40여만 대를 감염시켰다고 공개했다. 마이크로소프트는 공식 블로그 포스팅을 통해 이 같은 사실을 공개하면서 "백신 프로그램 '윈도디펜더'로 방어하는 데 성공했다"고 밝혔다. 마이크로소프트의 진단에 따르면 주요 멀웨어 악용기법 툴(익스플로잇킷)이 [[랜섬웨어]] 대신 채굴 멀웨어를 동원하는 추세다. 사이버사기 범죄자는 가짜 [[웹사이트]]에 채굴 [[스크립트]]를 끼워 넣고 있다. 어떤 금융 트로이목마 멀웨어 패밀리는 암호화폐 채굴 동작까지 포함한다. 도포일 역시 이런 추세에서 암호화폐 채굴 멀웨어에 통합된 최신 악성 소프트웨어 패밀리다. 우선 감염된 컴퓨터에서 'explorer.exe' 프로세스에 대한 프로세스 할로윙(process hollowing) 동작이 발생했다. 프로세스 할로윙은 악성 동작을 정상 프로세스로 위장한 다음 정상적 코드를 악성 소프트웨어로 바꿔치기하는 코드인젝션 기법의 일종이다. 이 방식으로 생성된 'explorer.exe' 프로세스는 이후 또 다른 악성 인스턴스를 생성해, 'wuauclt.exe'라는 정상 바이너리 파일로 위장하는 암호화폐 채굴 악성 소프트웨어를 가져와 구동시킨다. 정상 바이너리 파일 명칭을 쓰긴 하지만 그 이례적인 실행 경로, 바이너리에서 발생하는 네트워크 트래픽, 2가지 의심스러운 동작을 보여준다.<ref>임민철 기자,〈[http://www.zdnet.co.kr/view/?no=20180312162507 '암호화폐 채굴' 악성코드, PC 48만대 덮쳐]〉, 《지디넷코리아》, 2018-03-13</ref>
*'''트릭봇'''(Trickbot) : IBM은 몇 주 전 트릭봇(TrickBot)이라는 트로이목마가 웹 주입 방식을 통해 암호화폐 [[코인]]을 훔쳐내는 것을 발견했다. 피해자가 보유하고 있는 정상적인 지갑 주소를 해커의 것으로 바꿔치기하는 방식이 사용되고 있었다. 이번에 IBM이 발견한 모바일 멀웨어 역시 스크린 오브레이 기술을 써서 사용자가 공격자에게 송금하도록 유도하고 있었다고 한다.<ref>문기용 기자,〈[https://www.boannews.com/media/view.asp?idx=67283 암호화폐 노리는 모바일 멀웨어, 수법 바꾸기 시작했다.]〉, 《보안뉴스》, 2018-03-06</ref>
*'''아르케이스틸러'''(ArkeiStealeer) : [[시스코인]] [[깃허브]] 릴리즈 페이지를 통해 제공된 [[윈도]] 시스코인 3.0.4.1 설치프로그램에 멀웨어가 발견됐다. 시스코인 개발팀에 따르면 이날 해커는 깃허브 계정을 해킹해 시스코인의 윈도용 공식 설치 프로그램을 멀웨어가 포함된 버전으로 바꿔 놓았다. 문제가 된 멀웨어는 아르케이스틸러(ArkeiStealeer)로, 암호화폐 지갑 열쇠와 비밀번호를 해킹하는 트로이목마 바이러스로 알려져 있다.<ref>김혜정 기자,〈[http://www.dailytoken.kr/news/articleView.html?idxno=335 깃허브 통해 악성코드 유포...시스코인 '곤욕']〉, 《데일리토큰》, 2018-06-18</ref>
*'''클립보드 고스트'''(Clipboard Gost) : 중국 온라인 보안 기업 '360'이 최근 빠르게 확산하고 있는 암호화폐 트로이목마를 발견했다고 밝혔다. 해당 트로이목마는 사용자의 클립보드에 복사된 내용 중 비트코인, 이더리움 등 암호화폐 주소를 감지, 거래가 진행될 때 다른 주소로 바꿔치기해 암호화폐를 가로챈다. 360은 해당 악성 프로그램을 '클립보드 고스트'라고 명명한 상태다.<ref>Danlel Lee,〈[https://www.coinpress.co.kr/2018/06/14/5913/ 오늘의 암호화폐 뉴스 Sum up in a Single Line on Crypto News(6/14)]〉, 《코인프레스》, 2018-06-14</ref>
*'''스텔스비트'''(StealthBit) : 맥 보안 전문업체 '시유커맥(SecureMac)'은 맥을 겨냥한 신종 트로이목마가 발견됐다고 전했다. 맥으로 비트코인을 채굴하는 사용자를 노린 맞춤형 트로이목마이다. 'OSX/CoinThief.A'라는 이름으로 명명된 이 멀웨어는 '스텔스비트(StealthBit)'라는 오픈소스 공유 프로그램을 변조해 웹상에서 무차별 배포되고 있으며, 개인키가 저장된 비트코인 지갑에 관련된 정보를 뒷문을 통해 사용자 몰래 원격지의 서버로 전송하는 형태로 작동한다고 한다. 크래커가 이 멀웨어로 훔친 정보를 이용해 비트코인을 한번 내다 팔면 비트코인의 원소유주가 되찾을 길이 없어 속수무책 당할 수밖에 없다. 시큐어맥에 따르면 이미 해당 멀웨어로 인해 미화 12,000불 상당의 비트코인을 도난당했다는 사용자의 피해사례도 보고되고 있다. 또 겉으로는 신뢰할 수 있는 프로그램으로 가장하여 'Pop-up Blocker'라는 [[사파리]], [[크롬]]용 확장 프로그램을 같이 설치하는데, 명목상으로는 팝업 창을 차단하는 기능을 한다고 사용자를 속이지만 실제로는 웹 트래픽을 모니터링해 비트코인 거래와 관련된 정보를 빼내는 역할을 한다.<ref>ONE™,〈[https://macnews.tistory.com/1962 맥으로 비트코인 채굴하는 사용자 겨냥한 신종 트로이목마 등장]〉, 《티스토리》, 2014-02-11</ref>
*'''폴칠'''(Fallchill) : 라자루스 그룹(Lazarus group)은 트로이목마로 제작된 암호화폐 거래 소프트웨어를 활용해 아시아 지역 암호화폐 거래소 한 곳의 네트워크에 침투했다. 윈도 기반 [[멀웨어]]를 비롯해, 맥OS [[플랫폼]]을 겨냥한 신종 멀웨어를 제작해 감행한 공격이었다. 공격 목표는 암호화폐를 빼내는 것이었다. 카스퍼스키랩 분석에 따르면, 암호화폐 거래소 직원 한 명이 암호화폐 거래 소프트웨어 개발사 웹사이트에서 서드파티 [[애플리케이션]]을 다운로드받은 것이 발단됐다. 정당한 웹사이트처럼 보였으나 사실은공격자가 꾸며옿은 가짜 웹사이트였다. 정당한 소프트웨어의 경우, 업데이트 컴포넌트는 새 버전의 프로그램을 다운로드 받는 데 쓰인다. 하지만, 이 업데이트 컴포넌트는 애플리케이션이 설치된 컴퓨터의 기본 정보를 수집한 뒤, 해당 정보를 명령 및 제어(C&C) 서버로 보냈다. 감염 컴퓨터가 공격할 만한 가치가 있다고 판단되면, 공격자는 소프트웨어 업데이트의 형태로 멀웨어를 컴퓨터에 다시 보냈다. 멀웨어로 [[업데이트]]가 진행되면 '폴칠(Fallchill)'이라고 알려진 트로이목마가 설치됐다.<ref> 오다인,〈[https://blog.naver.com/ohdain/221350917401 라자루스, 암호화폐 탈취 위해 맥OS 노린 신종 뭘에어 제작]〉, 《네이버 블로그》, 2008-09-02</ref>
*'''Linux.BtcMine.174''' : [[리눅스]] 시스템 전용으로 설계된 백도어 기능을 가진 모네로 암호화폐 [[채굴기]]가 발견됐다. Linux.BtcMine.174라고 이름이 붙여진 트로이목마는 1,000줄 이상의 코드가 포함된 셀 스크립트로 설명되어 있다. 공격자는 악의적인 명령을 받기 위해 'Linux.BackDoor.Gates.9'라는 두 번째 트로이목마를 다운로드하여 실행한다. 이 트로이목마는 리눅스 커널을 사용하여 'DirtyCow (CVE-2016-5195)' 및 'Linux.Exploit.CVE-2013-2094'를 사용하여 루트 권한을 얻어 특정 권한을 얻는다. 루트 사용 권한을 얻은 'Linux.BtcMine.174'는 실행 중인 바이러스 백신 서비스를 차단하고 파일을 제거한다. 그리고 다른 채굴 프로그램을 찾아 제거한다. 또한 트로이목마는 감염된 사용자가 이전에 SSH(Secure Shell)를 통해 연결된 여러 호스트에 대한 데이터를 수집한 다음 해당 호스트를 공격하여 다른 시스템으로 분산하려고 시도한다.<ref>ezclean,〈[http://www.ezclean.info/?mid=security_issue&search_target=tag&search_keyword=%EB%AA%A8%EB%84%A4%EB%A1%9C&listStyle=gallery&document_srl=8332 리눅스 전용 가상화폐 채굴기]〉, 《이지클린》, 2018-11-28</ref>
*'''인피랫'''(InnfiRAT) : 암호화폐 지갑 데이터를 훔치기 위해 피해자의 시스템을 감염시키는 새로운 멀웨어 인피랫이 발견됐다. 이 멀웨어는 사용자 컴퓨터의 개인 정보 탈취를 위해 설계되었다. 인피랫은 저장된 사용자 계정과 비밀번호, 세션 데이터를 훔치기 위해 브라우저 쿠키를 수집하고, 실행 시 파일이 '%AppData%' 디렉터리에서 실행되는지, 파일 이름이 'NvidiaDriver.exe'인 상태에서 실행되는지 확인한다. 이후 'iplogger[.]co,/1HEt47'로 요청을 보내 [[네트워크]] 연결을 확인하고, 실행 중인 모든 프로세스를 기록해 하나라도 'NvidiaDriver.exe'라는 이름으로 실행되는지 확인한다. 해당 이름으로 실행된 프로세스가 있다면 그 프로세스를 종료시키고 멀웨어 자신도 실행을 종료한다. 이 멀웨어는 'Base64'로 인코딩된 PE 파일을 메모리에 쓰기 전에 메인 [[컴포넌트]]를 실행하기 위해 'AppData' 디렉터리에서 자기 자신의 복사본을 만든다. 그리고 멀웨어가 시작되면 보안 연구원들이 멀웨어를 분석하는데 사용할 수 있는 가상환경이 존재하는지 확인한다. 이 멀웨어는 자신이 샌드박스에서 실행되고 있지 않으면 C2 서버에 접속해 시스템에서 탈취한 정보를 전송하고 추가 명령을 기다린다. 또 사용자 시스템의 데이터 탈취, 브라우저 쿠키 탈취, 오픈 세션 탈취를 위해 추가 페이 로드를 배포할 수도 있다. 또한 일반적인 안티바이러스 프로세스를 종료시킬 수도 있다. 최종적으로 타깃 시스템에서 비트코인과 라이트코인 암호화폐 지갑과 관련된 파일을 찾아 해당 파일의 내용을 탈취한다.<ref>길민권 기자,〈[https://www.dailysecu.com/news/articleView.html?idxno=69846 비트코인과 라이트코인 훔치는 악성코드 발견돼...주의]〉, 《데일리시큐》, 2019-09-16</ref>
*'''젠킨스마이너'''(JenkinsMiner) : 작년에 발견된 암호화폐 채굴 멀웨어는 이터널블루(EternalBlue)를 악용하여 퍼지고, 지속성을 위해 WMI(Windows Management Instrumerntation)를 악용했다. 실제로 [[모네로]] 채굴 멀웨어인 아딜커즈(Adylkuzz)는 워너크라이(WannaCry)보다 더 이전에 이터널블루를 악용한 최초의 멀웨어 중 하나였다. 시스템이나 네트워크가 패치되지 않은 채로 있는 시간이 길어지면 길어질수록, 재감염될 가능성은 더욱 커진다. 실제로 취약성은 암호화폐 채굴 멀웨어가 침입하는 주 경로 중 하나가 될 것이다. 이는 아파치 카우치DB(Apache CCouchDB) 데이터베이스 관리 시스템에서 최근에 시도한 침입 시도를 통해 밝혀졌다. 젠킨스마이너(JenkinsMiner)는 원격 액세스 트로이목마로 모네로 채굴기를 겨냥하고 젠킨스 서버를 대상으로 3백만 달러 이상의 모네로를 채굴하는 것으로 밝혀졌다.<ref>Trend Micro,〈[https://www.trendmicro.co.kr/kr/blog/cryptocurrency-mining-malware-2018-new-menace/index.html 가상화폐 채굴 멀웨어:2018년도의 새로운 위협?]〉, 《보안 블로그》, 2018-03-15</ref>

{{각주}}

==참고자료==
* 유성민 IT칼럼니스트, 〈[https://www.sciencetimes.co.kr/?news=%EC%9D%80%EB%8B%89%ED%95%B4%EC%84%9C-%EB%AC%B4%EC%84%9C%EC%9A%B4-%ED%8A%B8%EB%A1%9C%EC%9D%B4-%EB%AA%A9%EB%A7%88 은닉해서 무서운 트롤이 목마]〉, 《사이언스타임즈》, 2018-02-14
* Josh Fruhhlinger, 〈[http://www.itworld.co.kr/news/124866 트로이목마의 의미와 동작 방법]〉, 《아이티월드》, 2019-06-24
* 〈[https://namu.wiki/w/%ED%8A%B8%EB%A1%9C%EC%9D%B4%20%EB%AA%A9%EB%A7%88(%EC%95%85%EC%84%B1%EC%BD%94%EB%93%9C) 트로이 목마(악성코드)]〉, 《나무위키》
* Coinness,〈[https://www.tokenpost.kr/article-12053 외신 "코인체크 직원 컴퓨터서 러시아 해커'트로이목마' 발견"]〉, 《토큰포스트》, 2019-06-17
* 강덕중 객원기자,〈[http://www.thebchain.co.kr/news/articleView.html?idxno=4505 공짜 채굴기 위장한 악성코드 유튜브 통해 확산]〉, 《더비체인》, 2019-05-30
* 윤현기 기자,〈[http://www.itdaily.kr/news/articleView.html?idxno=46974 (초점) 가상화폐 '비트코인' 훔치는 트로이목마 등장]〉, 《아이티데일리》, 2014-01-06
* 임민철 기자,〈[http://www.zdnet.co.kr/view/?no=20180312162507 '암호화폐 채굴' 악성코드, PC 48만대 덮쳐]〉, 《지디넷코리아》, 2018-03-13
* 문기용 기자,〈[https://www.boannews.com/media/view.asp?idx=67283 암호화폐 노리는 모바일 멀웨어, 수법 바꾸기 시작했다.]〉, 《보안뉴스》, 2018-03-06
* 김혜정 기자,〈[http://www.dailytoken.kr/news/articleView.html?idxno=335 깃허브 통해 악성코드 유포...시스코인 '곤욕']〉, 《데일리토큰》, 2018-06-18
* Danlel Lee,〈[https://www.coinpress.co.kr/2018/06/14/5913/ 오늘의 암호화폐 뉴스 Sum up in a Single Line on Crypto News(6/14)]〉, 《코인프레스》, 2018-06-14
* ONE™,〈[https://macnews.tistory.com/1962 맥으로 비트코인 채굴하는 사용자 겨냥한 신종 트로이목마 등장]〉, 《티스토리》, 2014-02-11
* 보리,〈[https://m.blog.naver.com/PostView.nhn?blogId=bsy9109&logNo=130131275134&proxyReferer=https%3A%2F%2Fwww.google.com%2F 악성코드의 대명사 트로이목마란 무엇인가??]〉, 《네이버 블로그》, 2012-02-13
* 서동민,〈[http://it.donga.com/4094/ 양의 탈을 쓴 늑대 바이러스? - 트로이 목마]〉, 《아이티동아》, 2010-12-24
* 스윗봉봉,〈[https://blog.naver.com/itexpert2007/30047023439 트로이 목마의 종류 및 특징과 예방법]〉, 《네이버 블로그》, 2009-04-30
* 오다인,〈[https://blog.naver.com/ohdain/221350917401 라자루스, 암호화폐 탈취 위해 맥OS 노린 신종 뭘에어 제작]〉, 《네이버 블로그》, 2008-09-02
* ezclean,〈[http://www.ezclean.info/?mid=security_issue&search_target=tag&search_keyword=%EB%AA%A8%EB%84%A4%EB%A1%9C&listStyle=gallery&document_srl=8332 리눅스 전용 가상화폐 채굴기]〉, 《이지클린》, 2018-11-28
* 길민권 기자,〈[https://www.dailysecu.com/news/articleView.html?idxno=69846 비트코인과 라이트코인 훔치는 악성코드 발견돼...주의]〉, 《데일리시큐》, 2019-09-16
* Trend Micro,〈[https://www.trendmicro.co.kr/kr/blog/cryptocurrency-mining-malware-2018-new-menace/index.html 가상화폐 채굴 멀웨어:2018년도의 새로운 위협?]〉, 《보안 블로그》, 2018-03-15

==같이 보기==
*[[멀웨어]]
*[[컴퓨터 바이러스]]
*[[웜]]
{{보안|검토 필요}}