트로이목마

트로이목마(Trojan Horse)는 사전적 정의로 정상 파일로 위장한 악성코드이다. 좀 더 명확하게 정의하자면, 사이버 공격의 목적을 달성하기 위해 정상 파일로 위장해 보안 검열을 피하고 감염시킨 기기에 은닉하는 악성코드이다. 트로이목마는 그리스 신화에 나오는 트로이목마와 성격이 같다고 할 수 있다. 무장 병사를 숨겨 목마에 숨기고 평범한 목마처럼 위장해 견고한 트로이아 성벽을 뚫었다면, 트로이목마 악성코드 또한 정상 파일로 위장한 체 공격용 악성코드를 숨김으로써 견고한 보안 검열을 뚫는다.

개요

시초

최초의 트로이목나는 애니멀(Anlmal)로 불리니 컴퓨터 프로그램이라는 것이 중론이다. 애니멀은 유니박(Univac) 컴퓨터용으로 1974년 존 워커가 만들었으며 "20개의 질문"을 통해 사용자가 좋아하는 동물을 알아맞히는 프로그램이다. 실행 과정에서 영리한 머신러닝 기법을 사용해 질문을 개선한다. 워커에 따르면, 애니멀이 유니박 사용자들 사이에서 인기를 끌면서 복사본을 요청하는 사람이 늘어나자 컴퓨터 네트워킹이 흔치 않았던 당시 워커는 복사본 요청에 응대하는데 많은 시간을 소비하게 됐다. 결국 워커는 퍼베이드(Pervade)라는 서브루틴을 만들었다. 퍼베이드는 사용자가 애니멀의 질문에 답하는 사이 사용자가 액세스할 수 있는 아무 디렉토리나 찾아 그 디렉토리에 애니멀의 복사본을 저장했다. 사실 이런 디렉토리의 상당수는 여러 사무실에서 곡ㅇ유하는 릴 방식의 테이프에 위치했으므로 트로이목마, 즉 퍼베이드는 이 경로를 타고 전파됐다. 워커는 애니멀이 "선량한 프로그램"이며 단순히 스스로를 여기저기 복사했을 뿐 아무런 피해도 입히지 않았다고 주장한다. 덕분에 누가 프로그램을 요청하면 '이미 당신 시스템에 애니멀이 있을 것'이라고 알려주는 것으로 이야기를 끝낼 수 있었다.

유형

침입 방법에 따른 분류

• 백도어 트로이목마(Backdoor Trojans) : 백도어 트로이목마는 컴퓨터의 방어망에 해커가 침투할 수 있는 구멍을 뚫는다.
• 다운로더 트로이목마(Downloader Trojans) : 다운로더 트로이목마는 해커 사이트에서 더 악의적인 코드를 다운로드해 컴퓨터에 대한 장악력을 더 확대한다.
• 루트킷 트로이목마(Rootkit Trojans) : 루트킷 트로이목마는 다른 공격자가 이용할 수 있는 숨겨진 해킹 툴킷을 설치한다.

침입 목적에 따른 분류

• 메일파인더(Mailfinders) : 메일파인더는 사용자의 주소록을 훑어 스팸에 이용할 이메일 주소를 확보한다.
• DDoS 트로이목마(DDoS Trojans) : DDoS 트로이목마는 컴퓨터를 탈취해 좀비화해서 다른 공격 목표에 대한 DDoS 공격에 이용한다.
• 뱅킹 트로이목마(Banking Trojans) : 뱅킹 트로이목마는 금융 로그인 정보를 훔친다.
• 랜섬웨어 트로이목마(Ransomwwawre Trojans) : 랜섬웨어 트로이목마는 파일을 암호화한 다음 복원해주는 대가로 비트코인 몸값을 요구한다.

특징

• 목표 대상에 도달할 때까지 아무런 공격 행위를 가하지 않는다. 이에 해당하는 대표 트로이목마로 '스턱스넷(Stuxnet)'이 있다. 스턱스넷은 평상시에는 아무런 공격을 가하지 앙ㄶ는다. 다만 발전소 운영 시스템에 접근하게 되면, 시스템을 비정상적인 행위를 하도록 해서 해당 발전소에 피해를 준다. 2010년 7월 이란 나탄즈 원자력 발전소는 스턱스넷으로 원심 분리기 1,000여 대가 파괴된 적이 있다. 이로 인해 발전소 가동이 약 1년 중단되었다.
• 보안 검열을 피하고자 여러 회피 기술들을 사용한다. 트로이 목마 악성코드를 실제로 분석해본 결과, 여러 우회 기술들이 발견되었다. 대표적으로 가상화 탐지 기술이 최근 트로이목마에서 주로 발견되었다. 대부분의 악성코드 분석은 가상화 시스템 기반에 악성코드를 분석하는데, 이유는 분석용 기기가 악성코드에 감염되게 하지 않기 위해서이다. 참고로 가상화 시스템은 분석용 기기와 별개의 시스템을 만들기 때문에, 가상화 시스템이 감염되어도 분석용 기기에 피해를 주지 않는다. 따라서 트로이 목마는 가상화를 탐지할 시에는 어떠한 악성 행위를 하지 않음으로써 보안 검열을 회피한다.

피해

• 트로이목마의 피해는 단순 개인정보 유출, 운영체제 파괴, 속도 느려짐, 시스템 파일 삭제, 부팅 오류 뿐만 아니라 컴퓨터 하드웨어 자체를 먹통으로 만들어 아예 못 쓸 정도로 손상을 시키기도 한다. 포멧을 해도 복구가 불가능할 정도로 성능이 약화되며 이런 경우에는 컴퓨터 수명 자체가 거의 요절이 난다. 그만큼 일단 컴퓨터에 들어오기만 하면 피해가 걷잡을수 없이 커지게 된다. 컴퓨터 바이러스 같은 경우 대부분 포맷을 하면 컴퓨터 성능 자체에는 큰 문제가 없으나 트로이목마는 일단 걸리면 컴퓨터 성능은 포기해야 된다. 일부 트로이목마의 경우, 트로이목마 본체를 삭제하면 본체 속에 프로그램 중요 작동소스를 집어넣어서 해당 프로그램을 먹통으로 만들어 버리는 경우도 있다. 그러나 자기 집과 동반자살 하는 경우는 나은 편이고, 어떤건 삭제할려고 시도할 경우 컴퓨터를 무한부팅 시켜 버리거나, 커널을 파괴하여 동반자살을 하는 경우도 있고 시스템 자체를 다운시켜버리는 경우도 있으니 주의해야 한다.
• 암호화폐의 트로이목마는 컴퓨터를 모니터링하면서 암호화폐 계좌 번호로 보이는 정보가 나타나길 기다린다. 이런 정보를 발견하면 사용자가 전송하려고 했던 원래의 계좌를 자신의 계좌 번호로 바꾼다. 면밀히 살피지 않고 전송 버튼을 누르는 순간 더 이상 되돌릴 수 없다.

사례

• 일본 암호화폐 거래소 코인체크(Coincheck)가 해커의 공격으로 약 580억 엔 규모의 NEM을 도난당했다. 사건 조사 중 한 직원 컴퓨터에서 러시아 해커가 즐겨쓰는 트로이목마 소프트웨어가 발견됐다고 밝혔다. 조사에 참여한 한 관계자는 "조사 결과 직원의 컴퓨터에서 Mokes, Netwire라는 바이러스가 발견됐다. 해당 바이러스에 감염된 컴퓨터는 원격 조종이 가능하다. Mokes는 지난 2011년 6월 처음으로 온라인 네트워크에서 발견된 바 있으며, 러시아 해커들이 주로 사용하는 트로이목마로 지목돼 왔다"고 설명했다.
• 유튜브 동영상을 사용해 무료로 비트코인을 채굴하는 '비트코인 생성기'라며 홍보한느 사기 및 악성코드 영상이 올라왔다. 보안미디어 기업인 블리핑컴퓨터는 포르스트(Forst)의 분석을 인용해 큐랩 트로이잔(Qulab Trojan)이란 악성코드를 숨기고 있는 동영상이 빠르게 확산되고 있다며 주의를 당부했다. 이 비디오는 비디오 내용을 소개하는 링크란에 공짜 비트코인을 얻을 수 있는 툴이라는 설멍열 달고 이 링크를 클릭하면 해당 툴을 다운로드 받을 수 있다고 설명하고 있다. 이 설명을 믿은 시청자가 다운로드하기 위해 링크를 클릭하면 악성코드가 다운로드 되고 코드를 실행해 해당 PC에 숨는 것이다. 이 악성코드는 비트코인, 비트코인 캐시, 이더, 이더리움, 라이트코인, 모네로 등 여러 다양한 암호화폐 주소를 인지하는 것으로 알려졌다.

각주

참고자료

• 유성민 IT칼럼니스트, 〈은닉해서 무서운 트롤이 목마〉, 《사이언스타임즈》, 2018-02-14
• Josh Fruhhlinger, 〈트로이목마의 의미와 동작 방법〉, 《아이티월드》, 2019-06-24
• 〈트로이 목마(악성코드)〉, 《나무위키》
• Coinness,〈외신 "코인체크 직원 컴퓨터서 러시아 해커'트로이목마' 발견"〉, 《토큰포스트》, 2019-06-17

같이 보기

이 트로이목마 문서는 보안에 관한 토막글입니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 이 문서의 내용을 채워주세요.