"트로이목마"의 두 판 사이의 차이

트로이목마(Trojan Horse)는 사전적 정의로 정상 파일로 위장한 악성코드이다. 좀 더 명확하게 정의하자면, 사이버 공격의 목적을 달성하기 위해 정상 파일로 위장해 보안 검열을 피하고 감염시킨 기기에 은닉하는 악성코드이다. 트로이목마는 그리스 신화에 나오는 트로이목마와 성격이 같다고 할 수 있다. 무장 병사를 숨겨 목마에 숨기고 평범한 목마처럼 위장해 견고한 트로이아 성벽을 뚫었다면, 트로이목마 악성코드 또한 정상 파일로 위장한 체 공격용 악성코드를 숨김으로써 견고한 보안 검열을 뚫는다.

개요

오늘날 트로이목마는 컴퓨터 악성코드의 대명사로 더 유명하다. 악성코드 중에는 마치 유용한 프로그램인 것처럼 위장하여 사용자들로 하여금 거부감 없이 설치를 유도하는 프로그램들이 있는데, 이들을 트로이목마라고 부른다. 그리스의 트로이목마처럼 치명적인 피해를 입힐 수 있는 무언가를 숨겨 놓은 것이다. 이처럼 악성코드의 상당수를 차지하고 있는 이 트로이목마는 다양한 방법으로 사용자의 보안에 큰 위협을 가하고 있다. 트로이목마의 주 감염 경로는 이메일 첨부파일, P2P 사이트에서 내려 받을 수 있는 쉐어웨어나 프리웨어가 있다. 최근에는 스마트폰에서도 트로이목마가 발견됐다.

시초

최초의 트로이목나는 애니멀(Anlmal)로 불리니 컴퓨터 프로그램이라는 것이 중론이다. 애니멀은 유니박(Univac) 컴퓨터용으로 1974년 존 워커가 만들었으며 "20개의 질문"을 통해 사용자가 좋아하는 동물을 알아맞히는 프로그램이다. 실행 과정에서 영리한 머신러닝 기법을 사용해 질문을 개선한다. 워커에 따르면, 애니멀이 유니박 사용자들 사이에서 인기를 끌면서 복사본을 요청하는 사람이 늘어나자 컴퓨터 네트워킹이 흔치 않았던 당시 워커는 복사본 요청에 응대하는데 많은 시간을 소비하게 됐다. 결국 워커는 퍼베이드(Pervade)라는 서브루틴을 만들었다. 퍼베이드는 사용자가 애니멀의 질문에 답하는 사이 사용자가 액세스할 수 있는 아무 디렉토리나 찾아 그 디렉토리에 애니멀의 복사본을 저장했다. 사실 이런 디렉토리의 상당수는 여러 사무실에서 곡ㅇ유하는 릴 방식의 테이프에 위치했으므로 트로이목마, 즉 퍼베이드는 이 경로를 타고 전파됐다. 워커는 애니멀이 "선량한 프로그램"이며 단순히 스스로를 여기저기 복사했을 뿐 아무런 피해도 입히지 않았다고 주장한다. 덕분에 누가 프로그램을 요청하면 '이미 당신 시스템에 애니멀이 있을 것'이라고 알려주는 것으로 이야기를 끝낼 수 있었다.

종류

• 백도어(Trojans-Backdoor) : 컴퓨터의 방어망에 해커가 침투할 수 있는 구멍을 뚫는다.
• 다운로더(Trojans-Downloader) : 다운로더 트로이목마는 해커 사이트에서 더 악의적인 코드를 다운로드해 컴퓨터에 대한 장악력을 더 확대한다.
• 루트킷(Trojans-Rootkit) : 루트킷 트로이목마는 다른 공격자가 이용할 수 있는 숨겨진 해킹 툴킷을 설치한다.
• 드롭퍼(Trojan-Dropper) : 내부에 포함되어 있던 추가적인 악성코드를 설치한다.
• 패스워드 스틸러(Trojan-PWS) : 사용자 계정 및 비밀번호를 외부로 유출한다.
• 프록시(Trojan-Proxy) : 프록시의 설정을 변경하거나 프록시를 사용한다.
• 클리커(Trojan-Clicker) : 오류 메시지나 광고를 통해 사용자의 사이트의 접속을 유도한다.
• 스파이(Trojan-Spy) : 각종 시스템 정보를외부로 유출하기 위해 제작됐다.
• 익스플로잇(Trojan-Exploit) : 취약점을 통해 감염시키는 것이 주 목적이다.
• 메일파인더(Trojans-Mailfinders) : 메일파인더는 사용자의 주소록을 훑어 스팸에 이용할 이메일 주소를 확보한다.
• DDoS(Trojans-DDoS) : DDoS 트로이목마는 컴퓨터를 탈취해 좀비화해서 다른 공격 목표에 대한 DDoS 공격에 이용한다.
• 뱅킹(Trojans-Banking) : 뱅킹 트로이목마는 금융 로그인 정보를 훔친다.
• 랜섬웨어(Trojans-Ransomware) : 랜섬웨어 트로이목마는 파일을 암호화한 다음 복원해주는 대가로 비트코인 몸값을 요구한다.

특징

• 목표 대상에 도달할 때까지 아무런 공격 행위를 가하지 않는다. 이에 해당하는 대표 트로이목마로 '스턱스넷(Stuxnet)'이 있다. 스턱스넷은 평상시에는 아무런 공격을 가하지 않는다. 다만 발전소 운영 시스템에 접근하게 되면, 시스템을 비정상적인 행위를 하도록 해서 해당 발전소에 피해를 준다. 2010년 7월 이란 나탄즈 원자력 발전소는 스턱스넷으로 원심 분리기 1,000여 대가 파괴된 적이 있다. 이로 인해 발전소 가동이 약 1년 중단되었다.
• 보안 검열을 피하고자 여러 회피 기술들을 사용한다. 트로이 목마 악성코드를 실제로 분석해본 결과, 여러 우회 기술들이 발견되었다. 대표적으로 가상화 탐지 기술이 최근 트로이목마에서 주로 발견되었다. 대부분의 악성코드 분석은 가상화 시스템 기반에 악성코드를 분석하는데, 이유는 분석용 기기가 악성코드에 감염되게 하지 않기 위해서이다. 참고로 가상화 시스템은 분석용 기기와 별개의 시스템을 만들기 때문에, 가상화 시스템이 감염되어도 분석용 기기에 피해를 주지 않는다. 따라서 트로이 목마는 가상화를 탐지할 시에는 어떠한 악성 행위를 하지 않음으로써 보안 검열을 회피한다.
• 트로이목마는 자료삭제·정보탈취 등을 목적으로 사용되는 악성 프로그램으로, 해킹 기능을 가지고 있어 인터넷을 통해 감염된 컴퓨터의 정보를 외부로 유출하는 것이 특징이다. 그러나 바이러스처럼 다른 파일을 전염시키지 않으므로 해당 파밀만 삭제하면 치료가 가능하다.
• 트로이목마도 일종의 프로그램이므로 컴퓨터 바이러스와 마찬가지로 일반적인 프로그램이 수행하는 모든 일을 할 수 있다. 트로이목마 프로그램은 특정 파일을 지울 수 있으며, 최악의 경우 하드디스크를 포맷해버리는 것도 얼마든지 가능하다. 이런 점에서 트로이목마도 사용자 입장에서는 컴퓨터 바이러스와 함께 조심해야할 악의적인 파괴 프로그램이다.
• 트로이목마는 자체적인 전파 기능을 가지고 있지 않지만, 현재 다수의 웹 해킹을 통해 악의적인 스크립트가 삽입된 웹페이지에 의해 전파괴도 있다. 사용자가 메일, 메신저, 게시판, 자료실 등에서 실행 파일을 다운로드 해 실행하거나 다른 악성코드에서 설치하는 것으로, 유틸리티 프로그램 내에 악의의 긴으을 가지는 코드를 내장하여 배포하거나 그 자체를 유틸리티 프로그램으로 위장하여 배포한다.
• 트로이목마가 설치되면, 공격자는 시스템의 모든 제어권을 가질 수 있다. 따라서 응용프로그램 및 시스템 자체의 정상적인 동작을 방해하는 서비스 거부 공격(DoS 공격:Denial of Service attack)에도 사용될 수 있고, 사용자 ID, 계좌번호, 기밀문서 유출 등 기밀성을 해칠 수도 있다. 트로이목마를 이용하여 사용자 ID, 패스워드, 계좌번호 등의 정보를 빼내는 것이 가장 일반적인 해킹 수법이며, 이로 인한 피해가 많이 접수되고 있다.

피해

• 트로이목마의 피해는 단순 개인정보 유출, 운영체제 파괴, 속도 느려짐, 시스템 파일 삭제, 부팅 오류 뿐만 아니라 컴퓨터 하드웨어 자체를 먹통으로 만들어 아예 못 쓸 정도로 손상을 시키기도 한다. 포멧을 해도 복구가 불가능할 정도로 성능이 약화되며 이런 경우에는 컴퓨터 수명 자체가 거의 요절이 난다. 그만큼 일단 컴퓨터에 들어오기만 하면 피해가 걷잡을수 없이 커지게 된다. 컴퓨터 바이러스 같은 경우 대부분 포맷을 하면 컴퓨터 성능 자체에는 큰 문제가 없으나 트로이목마는 일단 걸리면 컴퓨터 성능은 포기해야 된다. 일부 트로이목마의 경우, 트로이목마 본체를 삭제하면 본체 속에 프로그램 중요 작동소스를 집어넣어서 해당 프로그램을 먹통으로 만들어 버리는 경우도 있다. 그러나 자기 집과 동반자살 하는 경우는 나은 편이고, 어떤건 삭제할려고 시도할 경우 컴퓨터를 무한부팅 시켜 버리거나, 커널을 파괴하여 동반자살을 하는 경우도 있고 시스템 자체를 다운시켜버리는 경우도 있으니 주의해야 한다.
• 암호화폐의 트로이목마는 컴퓨터를 모니터링하면서 암호화폐 계좌 번호로 보이는 정보가 나타나길 기다린다. 이런 정보를 발견하면 사용자가 전송하려고 했던 원래의 계좌를 자신의 계좌 번호로 바꾼다. 면밀히 살피지 않고 전송 버튼을 누르는 순간 더 이상 되돌릴 수 없다.

예방법

• 100% 신뢰할 수 없는 사람이 보낸 이메일에서 파일을 가급적 내려받지 않는다. 주로 사용하는 이메일에는 스팸 차단 기능을 설정하고, 신원이 불분명한 사람의 이메일은 아예 열지 안흔 것이 좋다. 드문 경우긴 하지만 아는 사람의 이름으로 메일이 오는 경우도 있으니 의심이 되면 해당인에게 연락을 해보거나 백신 프로그램으로 검사한 후 열어보는 것이 좋다.
• 불법 소프트웨어에는 트로이목마가 숨어 있을 수 있으니 정품 소프트웨어를 사용한다. 쉐어웨어가 필요할 때는 믿을만한 곳에서 다운로드하고, 불가피하게 P2P를 이용할 때는 반드시 백신 프로그램 등의 보안 제품으로 검사해야 한다.
• 백신 프로그램과 윈도우는 항상 치신 버전을 유지할 수 있도록 업데이트에 신경쓴다. 하루가 다르게 신종 트로이목마와 웜이 출현하고 있는 상황이므로 최신 버전의 백신을 사용해야 최신 트로이목마를 막을 수 있다. 또한 MS 윈도 업데이트는 의심스러운 실행파일을 차단하거나 보안상의 취약점을 보완할 수 있으니, 자동으로 업데이트되도록 설정해 둔다. 아울러 인터넷 익스플로러도 쵯니 버전을 사용하되, 가능하면 보안 설정을 높게 유지한다. 파이어폭스나 크롬 등의 웹 브라우저는 인터넷 익스플로러보다 덜 하긴 하지만, 마찬가지로 보안 설정 및 업데이트에 주의해야 한다.

사례

• 일본 암호화폐 거래소 코인체크(Coincheck)가 해커의 공격으로 약 580억 엔 규모의 NEM을 도난당했다. 사건 조사 중 한 직원 컴퓨터에서 러시아 해커가 즐겨쓰는 트로이목마 소프트웨어가 발견됐다고 밝혔다. 조사에 참여한 한 관계자는 "조사 결과 직원의 컴퓨터에서 Mokes, Netwire라는 바이러스가 발견됐다. 해당 바이러스에 감염된 컴퓨터는 원격 조종이 가능하다. Mokes는 지난 2011년 6월 처음으로 온라인 네트워크에서 발견된 바 있으며, 러시아 해커들이 주로 사용하는 트로이목마로 지목돼 왔다"고 설명했다.
• 유튜브 동영상을 사용해 무료로 비트코인을 채굴하는 '비트코인 생성기'라며 홍보한느 사기 및 악성코드 영상이 올라왔다. 보안미디어 기업인 블리핑컴퓨터는 포르스트(Forst)의 분석을 인용해 큐랩 트로이잔(Qulab Trojan)이란 악성코드를 숨기고 있는 동영상이 빠르게 확산되고 있다며 주의를 당부했다. 이 비디오는 비디오 내용을 소개하는 링크란에 공짜 비트코인을 얻을 수 있는 툴이라는 설멍열 달고 이 링크를 클릭하면 해당 툴을 다운로드 받을 수 있다고 설명하고 있다. 이 설명을 믿은 시청자가 다운로드하기 위해 링크를 클릭하면 악성코드가 다운로드 되고 코드를 실행해 해당 PC에 숨는 것이다. 이 악성코드는 비트코인, 비트코인 캐시, 이더, 이더리움, 라이트코인, 모네로 등 여러 다양한 암호화폐 주소를 인지하는 것으로 알려졌다.
• 에셋(ESET) 한국 법인 노드32코리아는 에셋 본사 바이러스 랩의 리포트를 인용해 인터넷 뱅킹 트로이목마인 'Hesperbot' 감염이 전세계적으로 크게 늘고 있다고 밝혔다. 에셋 연구 분석 결과에 따르면 Hesperbot이라 불리는 악성코드는 신뢰할 수 있는 기관과 연계된 것처럼 가장하여 유포 활동을 벌이고 있으며 사용자가 악성코드를 실행하도록 유도한다. Hesperbot은 주로 피싱 메일을 통해 유포되어 안드로이드, 심비안 및 블랙베리 기기를 감염시키며 개인키가 저장된 비트코인 지갑으로 접근을 시도하여 비트코인을 훔쳐낸다.
• 마이크로소프트(MS)는 지난 주 '스모크로더(Smoke Loader)' 또는 '도포일(Dofoil)'이라 불리는 트로이목마 악성코드 변종이 등장해 윈도 PC 40여만대를 감염시켰다고 공개했다. 마이크로소프트는 공식 블로그 포스팅을 통해 이 같은 사실을 공개하면서 "백신 프로그램 '윈도디펜더'로 방어하는데 성공했다"고 밝혔다. 마이크로소프트의 진단에 따르면 주요 악성코드 악용기법 툴(익스플로잇킷)이 랜섬웨어 대신 채굴 악성코드를 동원하는 추세다. 사이버사기 범죄자는 가짜 웹사이트에 채굴 스크립트를 끼워넣고 있다. 어떤 금융 트로이목마 악성코드 패밀리는 암호화폐 채굴 동작까지 포함한다. 도포일 역시 이런 추세에서 암호화폐 채굴 악성코드에 통합된 최신 악성 소프트웨어 패밀리다. 우선 감염된 컴퓨터에서 explorer.exe 프로세스에 대한 프로세스 할로윙(process hollowing) 동작이 발생했다. 프로세스 할로윙은 악성 동작을 정상 프로세스로 위장한 다음 정상적 코드를 악성 소프트웨어로 바꿔치기 하는 코드인젝션 긱법의 일종이다. 이 방식으로 생성된 explorer.exe 프로세스는 이후 또다른 악성 인스턴스를 생성해, wuauclt.exe라는 정상 바이너리파일로 위장하는 암호화폐 채굴 악성 소프트웨어를 가져와 구동시킨다. 정상 바이너리 파일 명칭을 쓰긴 하지만 그 이례적인 실행 경로, 바이너리에서 발생하는 네트워크 트래픽, 2가지 의심스러운 동작을 보여준다.
• IBM은 몇 주 전 트릭봇(TrickBot)이라는 트로이목마가 웹 주입 방식을 통해 암호화폐 코인을 훔쳐내는 것을 발견했다. 피해자가 보유하고 있는 정상적인 지갑 주소를 해커의 것으로 바꿔치기 하는 방식이 사용되고 있었다. 이번에 IBM이 발견한 모바일 멀웨어 역시 스크린 오브레이 기술을 써서 사용자가 공격자에게 송금하도록 유도하고 있었다고 한다.
• 시스코인 깃허브 릴리즈 페이지를 통해 제공된 윈도우 시스코인 3.0.4.1 설치프로그램에 악성코드가 발견됐다. 시스코인 개발팀에 따르면 이날 해커는 깃허브 계정을 해킹해 시스코인의 윈도우용 공식 설치프로그램을 악성코드가 포함된 버전으로 바꿔 놓았다. 문제가 된 악성코드는 아르케이스틸러(ArkeiStealeer)로, 암호화페 지갑 열쇠와 비밀번호를 해킹하는 트로이목마 바이러스로 알려져 있다.
• 중국 온라인 보안 기업'360'이 최근 빠르게 확산되고 있는 암호화폐 트로이목마를 발견했다고 밝혔다. 해당 트로이목마는 사용자의 클립보드에 복사된 내용 중 비트코인, 이더리움 등 암호화폐 주소를 감지, 거래가 진행될 때 다른 주소로 바꿔치기해 암호화폐를 가로챈다. 360은 해당 악성 프로그램을 '클립보드 고스트'라고 명명한 상태다.
• 맥 보안 전문업체 '시유커맥(SecureMac)'은 맥을 겨냥한 신종 트로이목마가 발견됐다고 전했다. 맥으로 비트코인을 채굴하는 사용자를 노린 맞춤형 트로이목마이다. 'OSX/CoinThief.A'이라는 이름으로 명명된 이 악성코드는 '스텔스비트(StealthBit)'라는 오픈소스 공유 프로그램을 변조해 웹상에서 무차별 배포되고 있으며, 개인키가 저장된 비트코인 지갑에 관련된 정보를 뒷문을 통해 사용자 몰래 원격지의 서버로 전송하는 형태로 작동한다고 한다. 크래커가 이 악성코드로 훔친 정보를 이용해 비트코인을 한번 내다팔면 비트코인의 원 소유주가 되찾을 길이 없어 속수무책 당할 수 밖에 없다. 시큐어맥에 따르면 이미 해당 악성코드로 인해 미화 12,000불 상당의 비트코인을 도난당했다는 사용자의 피해사례도 보고되고 있다. 또 겉으로는 신뢰할 수 있는 프로그램으로 가장하여 'Pop-up Blocker'라는 사파리, 크롬용 확장 프로그램을 같이 설치하는데, 명목상으로는 팝업 창을 차단하는 기능을 한다고 사용자를 속이지만 실제로는 웹 트래픽을 모니터링해 비트코인 거래와 관련된 정보를 빼내는 역할을 한다.
• 라자루스 그룹(Lazarus group)은 트로이목마로 제작된 암호화폐 거래 소프트웨어를 활용해 아시아 지역 암호화페 거래소 한 곳의 네트워크에 침투했다. 윈도우 기반 멀웨어를 비롯해, 맥OS 플랫폼을 겨냥한 신종 멀웨어를 제작해 감행한 공격이었다. 공격 목표는 암호화폐를 빼내는 것이었다. 카스퍼스키랩 분석에 따르면, 암호화폐 거래소 직원 한 명이 암호화폐 거래 소프트웨어 개발사 웹사이트에서 서드파티 애플리케이션을 다운로드 받은 것이 발단이 됐다. 정당한 웹사이트처럼 보였으나 사실은공격자가 꾸며옿은 가짜 웹사이트였던 것이다. 정당한 소프트웨어의 경우, 업데이트 컴포넌트는 새 버전의 프로그램을 다운로드 받는 데 쓰인다. 하지만, 이 업데이트 컴포넌트는 애플리케이션이 설치된 컴퓨터의 기본 정보를 수집한 뒤, 해당 정보를 명령 및 제어(C&C) 서버로 보냈다. 감염 컴퓨터가 공격할 만한 가치가 있다고 판단되면, 공격자는 소프트웨어 업데이트의 형태로 악성코드를 컴퓨터에 다시 보냈다. 악성코드로 업데이트가 진행되면 '폴칠(Fallchill)'이라고 알려진 트로이목마가 설치됐다.

각주

참고자료

• 유성민 IT칼럼니스트, 〈은닉해서 무서운 트롤이 목마〉, 《사이언스타임즈》, 2018-02-14
• Josh Fruhhlinger, 〈트로이목마의 의미와 동작 방법〉, 《아이티월드》, 2019-06-24
• 〈트로이 목마(악성코드)〉, 《나무위키》
• Coinness,〈외신 "코인체크 직원 컴퓨터서 러시아 해커'트로이목마' 발견"〉, 《토큰포스트》, 2019-06-17
• 강덕중 객원기자,〈공짜 채굴기 위장한 악성코드 유튜브 통해 확산〉, 《더비체인》, 2019-05-30
• 윤현기 기자,〈(초점) 가상화폐 '비트코인' 훔치는 트로이목마 등장〉, 《아이티데일리》, 2014-01-06
• 임민철 기자,〈'암호화폐 채굴' 악성코드, PC 48만대 덮쳐〉, 《지디넷코리아》, 2018-03-13
• 문기용 기자,〈암호화폐 노리는 모바일 멀웨어, 수법 바꾸기 시작했다.〉, 《보안뉴스》, 2018-03-06
• 김혜정 기자,〈깃허브 통해 악성코드 유포...시스코인 '곤욕'〉, 《데일리토큰》, 2018-06-18
• Danlel Lee,〈오늘의 암호화폐 뉴스 Sum up in a Single Line on Crypto News(6/14)〉, 《코인프레스》, 2018-06-14
• ONE™,〈맥으로 비트코인 채굴하는 사용자 겨냥한 신종 트로이목마 등장〉, 《티스토리》, 2014-02-11
• 보리,〈악성코드의 대명사 트로이목마란 무엇인가??〉, 《네이버 블로그》, 2012-02-13
• 서동민,〈양의 탈을 쓴 늑대 바이러스? - 트로이 목마〉, 《아이티동아》, 2010-12-24
• 스윗봉봉,〈트로이 목마의 종류 및 특징과 예방법〉, 《네이버 블로그》, 2009-04-30

같이 보기

이 트로이목마 문서는 보안에 관한 토막글입니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 이 문서의 내용을 채워주세요.