Malware 악성코드에 대한 종류와 개념

 Malware(악성코드)의 종류와 개념

구분	설명	주요특징
Virus (바이러스)	다른 파일에 자신을 감염시키는 악성코드	실행 파일(.exe 등)에 붙어서 복제. 숙주가 필요함
Worm (웜)	스스로 복제하여 네트워크를 통해 퍼지는 악성코드	별도 파일에 기생하지 않고 독자적으로 실행
Trojan Horse  (트로이 목마)	정상 프로그램인 척 하면서 몰래 악성 기능 수행	백도어 설치, 데이터 탈취 등
Ransomware  (랜섬웨어)	파일을 암호화하거나 시스템을 잠그고 몸값(ransom) 요구	데이터 복호화 대가로 금전 요구
Spyware (스파이웨어)	사용자 몰래 정보를 수집하는 악성코드	키 입력 기록, 브라우징 기록, 개인정보 탈취
Rootkit (루트킷)	시스템 깊숙이 숨어서 악성 행위 은폐	프로세스, 파일, 레지스트리 조작 가능. 탐지 어렵게 함
Botnet (봇넷)	감염된 장치를 공격자의 명령에 따라 원격 조종	DDoS 공격, 스팸 발송, 추가 악성코드 배포 등 사용
Backdoor (백도어)	공격자가 시스템에 몰래 접근할 수 있도록설치하는 프로그램	보통 다른 악성코드에 의해 설치됨
Fileless Malware (파일리스 악성코드)	파일을 남기지 않고 메모리 상에서만 동작하는 악성코드	탐지 어렵고, PowerShell, WMI 등을 악용
Logic Bomb (로직폭탄)	특정 조건이 충족되었을 때 악성 행위를 실행	날짜, 키 입력, 파일 생성 등 조건 감지 후 발동
Rogue Software (가짜 보안 소프트웨어)	가짜 백신이나 최적화 프로그램으로 속여 설치를 유도	“컴퓨터에 바이러스가 있습니다!” 같은 팝업 표시

 

 

 

1.  Virus (바이러스)

• 인간 바이러스처럼, 다른 파일을 숙주로 삼아 복제함.
• 사용자가 감염된 파일을 실행해야 활동을 시작함.

종류	설명	특징
File Infector Virus (파일 감염형)	실행 파일(.exe, .com 등)에 감염되어 실행 시 자신도 실행 ex. Cascade,m CIH	가장 전통적인 바이러스 형태
Macro Virus (매크로 바이러스)	문서 파일(.doc, .xls 등)의 매크로 기능(VBA ;스크립트 등)을 이용해 감염 문서을 실행하면 자동으로 악성 매크로가 실행됨 ex. Melissa, Concept	워드, 엑셀 같은 오피스 파일을 통해 퍼짐
Boot Sector Virus  (부트 섹터 바이러스)	하드디스크나 USB의 부트 섹터(부팅영역, boot sector)를 감염시킴 시스템 부팅 시 자동으로 메모리에 상주하여 감염 확산 ex. Michelangelo, Stoned	부팅할 때 자동 실행됨
Multipartite Virus (혼합형 바이러스)	파일과 부트 섹터 둘 다 감염 둘 중 하나만 제거하더라도 나머지 바이러스로 인해 다시 복구 되어 완전한 제거가 어려움 ex. Tequila	감염 경로가 다양해 제거가 복잡함
Polymorphic Virus  (다형성 바이러스)	자기복제시 마다 암호화 패턴과 구조를 변형하여 시그니처 탐지를 회피함 백신이 한가지 패턴으로 탐지할 수 없음 ex. Strom Worm	시그니처 기반 백신을 회피함
Metamorphic Virus (변형 바이러스)	복제 시마다 스스로 코드를 다시 작성. 단순 패턴 변형이 아닌 전체 코드를 재작성하여 변형하기 때문에 백신입장에서는 완전히 새로운 바이러스로 보임 ex. Zmist	다형성보다 더 고도화된 은폐 기술
Resident Virus (상주 바이러스)	메모리에 상주하여 다른 파일 실행을 가로채 감염 ex. Randex, CMJ	파일 실행 시 즉시 작동
Non-Resident Virus  (비상주 바이러스)	감염될 파일을 직접 찾아다니며 감염시키고 종료 ex. Vienna	메모리에 오래 남지 않음
Overwrite Virus (덮어쓰기 바이러스)	파일 내용을 덮어써서 손상시킴 ex. Trivial.88.D	감염된 파일은 복구 불가
Companion Virus (짝퉁 바이러스)	비슷한 이름의 악성파일을 만들고 사용자가 착각하고 실행하도록 유도 시킴 ex. DOS companion Viruses	예: NOTEPAD.EXE 대신 NOTEPAD.COM

 

2. Worm (웜)

• 파일에 기생하지 않고, 스스로 실행하고 퍼짐.
• 네트워크를 통해 퍼지며, 대규모 감염(예: SQL Slammer Worm).

 

바이러스 vs 웜

항목	바이러스(Virus)	웜(Worm)
감염 방식	다른 파일/프로그램에 감염 (숙주 필요)	독립 실행 가능 (숙주 불필요)
전파 방식	사용자가 감염된 파일을 실행해야 전파	네트워크를 통해 자동 확산
목적	복제 + 파괴/정보탈취/장애 유발 등	빠른 확산 + 부하 초래/추가 공격 수행
예시	CIH, Melissa, LoveLetter	Code Red, Slammer, Conficker, WannaCry

 

웜의 종류

종류	설명	특징
Email Worm (이메일 웜)	이메일 첨부파일이나 링크를 통해 전파	주소록을 자동으로 이용
Internet Worm (인터넷 웜)	인터넷을 통해 취약한 시스템을 직접 공격	대량 스캔 + 자동 전파
IM Worm (메신저 웜)	메신저(WhatsApp, MSN 등)를 통해 전파	대화 중 링크 보내기
P2P Worm (P2P 웜)	파일공유 프로그램(P2P) 네트워크 통해 확산	토렌트 같은 공유 네트워크 이용
Network Worm (네트워크 웜)	로컬 네트워크(LAN)에서 전파	회사 내부망 등을 타깃
USB Worm (USB 웜)	USB 드라이브를 통해 퍼짐	오프라인 감염 경로
Hybrid Worm (하이브리드 웜)	여러 경로(이메일+인터넷+P2P)를 혼합	복합 감염, 복합 전파
Payload Worm (페이로드 웜)	웜이 추가적으로 악성 기능(백도어, 랜섬웨어 등)을 내포	감염과 동시에 추가 공격 수행

 

3. Trojan Horse (트로이 목마)

• 정상 소프트웨어처럼 위장하지만, 몰래 악성 기능을 수행.
• 백도어 설치, 정보 탈취 등이 대표적인 목적.

특징	설명
위장	정상 파일, 게임, 업데이트, 문서 파일 등으로 위장
자가 복제 없음	웜이나 바이러스처럼 스스로 복제하거나 전파하지는 않음
수동 설치 유도	사용자가 직접 다운로드하거나 실행하게 만듦 (사회공학 기법 활용)
다양한 악성 기능 포함	백도어 설치, 키로깅, 파일 삭제, 랜섬웨어 설치 등

 

4. Ransomware (랜섬웨어)

• 파일을 암호화하거나 시스템을 잠가 인질로 삼고 돈을 요구함.
• Cryptolocker, WannaCry 등이 유명.

랜섬웨어 명	등장시기	주요 특징
CryptoLocker	2013	최초의 대규모 암호화 랜섬웨어, 파일 암호화 후 비트코인 요구
Locky	2016	이메일 첨부파일(Word Macro) 통한 대규모 확산
Cerber	2016	자동 음성 메시지로 랜섬 요구, RaaS (서비스형 랜섬웨어) 시초
WannaCry	2017	SMB 취약점(EternalBlue) 이용, 전 세계 대규모 감염
NotPetya	2017	랜섬웨어 위장형 파괴 바이러스 (사실상 데이터 복구 불가)
Ryuk	2018	기업과 기관 대상, 고액 몸값 요구 (수백만 달러)
Sodinokibi (REvil)	2019	대규모 공급망 공격(Supply Chain Attack)에 활용, RaaS 운영
Maze	2019	파일 암호화 + 데이터 탈취 후 공개 협박 (이중 갈취 시작)
Conti	2020	Maze 후계자, 이중 갈취 전략 강화, 병원/공공기관 공격
DarkSide	2020	Colonial Pipeline 공격, 국가 기반 인프라 공격 등장
LockBit	2020~2025	자동화된 네트워크 확산, 현재 가장 활동적인 랜섬웨어 그룹
BlackCat (ALPHV)	2021~	Rust 언어로 개발된 고급 랜섬웨어, RaaS 형태
Cl0p	2019~2025	MOVEit Transfer 제로데이 취약점 악용 (2023~2024년 대규모 공격)

 

5. Spyware (스파이웨어)

• 사용자의 행동이나 정보를 몰래 수집.
• 광고 타겟팅, 계정 탈취 목적으로 많이 사용됨.

종류	설명
Keylogger	사용자의 키보드 입력을 몰래 기록하여 비밀번호, 신용카드 정보 탈취
Password Stealer	저장된 계정과 패스워드를 수집
Infostealer	문서, 쿠키, 브라우저 자동완성 데이터 등 파일 및 민감 데이터 수집
Adware	광고를 무차별로 노출하거나 광고 클릭을 유도 (수익 목적)
Tracking Cookie	사용자의 웹사이트 방문 기록을 추적하고 분석
System Monitor	스크린샷 촬영, 파일 접근 기록, 이메일 활동까지 감시

 

6. Rootkit (루트킷)

• 시스템의 핵심부에 숨어 자신의 존재를 숨김.
• 보안 프로그램, 관리자 권한 확인에서도 보이지 않게 만듦.

 

7. Botnet (봇넷)

• Botnet = Bot + Network 의 합성어입니다.
• 수많은 감염된 컴퓨터(= Bot 또는 Zombie PC) 를 하나의 네트워크로 연결하여,
• 공격자가 원격에서 명령을 내리고 조종할 수 있게 만든 시스템입니다.
• 봇넷은 보통 “사령부” 역할을 하는 C&C 서버(Command & Control Server) 로부터 명령을 받아 동작합니다.

요약: “많은 감염된 기기들을 하나의 군대처럼 다루는 것”

 

봇넷의 주요 구성요소

구성요소	설명
Bot (봇)	악성코드에 감염되어 공격자의 명령을 따르는 감염된 기기
C&C Server (명령제어 서버)	봇에게 명령을 내리고 결과를 수집하는 중심 서버
Dropper	초기 감염을 담당하는 악성코드
Proxy Layer	실제 공격자 대신 다른 봇을 통해 명령을 전달해 추적을 어렵게 함
P2P Botnet (신형)	중앙 서버 없이 봇끼리 직접 통신하는 분산형 구조

 

봇넷의 사용 목적

목적	설명
DDoS 공격	수천 대 기기가 동시에 공격, 서버 다운
스팸메일 발송	대량의 피싱 메일, 스팸 메일 발송
정보 탈취	키로깅, 스니핑 등을 통해 정보 수집
랜섬웨어 배포	대규모 랜섬웨어 감염 확산 수단
광고 클릭 사기(Click Fraud)	봇이 광고를 자동 클릭해서 수익 조작
암호화폐 채굴	감염된 기기의 CPU/GPU를 몰래 이용해 암호화폐 채굴

 

8. Backdoor (백도어)

• 정상적인 인증 절차를 우회해 은밀하게 시스템에 접근할 수 있도록 해줌.
• 다른 악성코드가 설치한 경우가 많음.

 

9.  Fileless Malware (파일리스 악성코드)

• 하드디스크에 파일을 남기지 않고, 메모리 상에서만 활동.
• 탐지가 어려워서 최근 APT(Advanced Persistent Threat) 공격에 자주 활용됨.

 

10. Logic Bomb (로직폭탄)

• 평상시에는 조용히 있다가, 특정 이벤트가 발생하면 활성화됨.
• 예: 특정 날짜에 시스템을 파괴하는 코드.

 

11. Rogue Software (가짜 보안 소프트웨어)

• 사용자에게 “PC가 바이러스에 감염되었습니다!” 경고를 띄우고,
• 엉터리 백신 구매를 유도하거나 추가 악성코드를 설치하게 함.

 

 

대부분의 현대 악성코드는 여러 가지 종류를 조합합니다.

• 예: 트로이 목마 + 백도어 + 스파이웨어
• 특히 랜섬웨어는 요즘은 Spyware 기능까지 통합해서, 암호화 + 정보탈취를 동시에 합니다.