양의 탈을 쓴 늑대 바이러스? - 트로이 목마
호메로스의 일리아드(Homer’s lliad)를 보면, 그리스가 트로이를 무너트릴 때 결정적인 역할을 한 트로이 목마(Trojan Horse)가 등장한다. 그리스는 트로이를 둘러싸고 10여 년간 공성전을 벌였으나 성을 함락시키지 못하자 커다란 목마를 만들어 30여 명의 군인을 그 안에 매복시켰다. 그리스가 이 목마를 버리고 거짓으로 퇴각한 척 하자 트로이 사람들은 목마를 승리의 상징으로 여기고 기뻐하며 성 안으로 들여놓았다. 그날 밤 목마 속의 군인들은 성문을 열어 그리스 군대를 성 안으로 들여놓았고, 이로 인해 긴 전쟁은 그리스의 승리로 막을 내릴 수 있었다.
오늘날 트로이 목마는 컴퓨터 악성 코드(malware)의 대명사로 더 유명하다. 악성 코드 중에는 마치 유용한 프로그램인 것처럼 위장하여 사용자들로 하여금 거부감 없이 설치를 유도하는 프로그램들이 있는데, 이들을 ‘트로이 목마’라고 부른다. 그리스의 트로이 목마처럼 치명적인 피해를 입힐 수 있는 무언가를 숨겨 놓은 것이다. 이처럼 악성 코드의 상당수를 차지하고 있는 이 트로이 목마는 다양한 방법으로 사용자의 보안에 큰 위협을 가하고 있다.
바이러스, 웜, 트로이 목마의 차이점
많은 사람들이 바이러스, 웜, 트로이 목마를 혼동해서 사용한다. 사실 일반 사용자 입장에서는 어차피 이들 모두 PC에 해악을 끼치는 악성코드라는 점에서 똑 같은 것으로 여길 수 있다. 그러나 엄밀히 따지면 바이러스, 웜, 트로이 목마는 명확히 구분된다.
바이러스(Virus)는 전염성이 강하다. 일단 PC 안에 들어오면 다른 파일에까지 급속도로 감염된다. 이러한 바이러스는 특정 파일을 지우거나 형태를 바꾸고, PC 전체를 먹통으로 만들기도 한다. 일부 바이러스는 화면에 ‘당신은 바이러스에 걸렸다’는 메시지를 공개적으로 띄우기도 한다. 주로 바이러스에 감염된 사실을 깨닫지 못한 사용자들이 이동식 저장장치나 이메일 등으로 바이러스에 감염된 파일을 주고받게 되면 순식간에 다른 PC로 전파된다.
웜(Worm) 역시 전염성이 강하다. 그러나 다른 파일을 감염시키는 바이러스와는 달리, 감염대상이 없는 독자적인 프로그램이다. 따라서 바이러스에 감염되면 ‘치료’가 필요하고 웜에 감염되면 ‘삭제’가 필요하다. 또한 웜은 스스로 증식한다. 웜은 주로 네트워크를 통해 활동하는데, 일반적으로 웜에 감염되면 사용자의 의지와는 관계 없이 컴퓨터 내 주소록에 등록된 사람들에게 웜이 첨부된 이메일을 보내 번식한다.
트로이 목마는 앞의 두 악성코드와는 달리 다른 프로그램이나 PC를 통해 전염되지 않는다. 주로 웹페이지, 이메일, P2P 다운로드 사이트 등에서 유용한 프로그램으로 가장해 사용자의 선택을 기다린다. 전파 방식은 단순하지만 위험성은 바이러스나 웜 못지 않다. 신용카드 번호나 게임 비밀번호를 빼내가기도 하고 파일을 지우거나 PC 성능을 저하시킬 수 있다. 또한 디도스 공격(DDoS 공격, 분산서비스거부)시 좀비 PC로 활용되기도 한다.
트로이 목마의 유입 과정
트로이 목마의 주 감염 경로는 이메일 첨부파일이다. 따라서 검증되지 않은 첨부문서의 확장자가 exe, vbs, com, bat, zip 등의 실행파일이라면 가급적 파일을 열지 않는 게 좋다. 하지만 많은 사용자들이 트로이 목마의 지능적인 수법에 걸려 첨부파일을 열어보곤 하는데, 이메일로 전파되는 트로이 목마들은 카드사의 결제 명세서, 마이크로소프트의 윈도우 업데이트 권유 메일, 관공서의 협조공문 등 ‘열어보지 않을 수 없게 만드는’ 가짜 파일로 위장하고 있기 때문이다.
또한 이메일에 특정 웹페이지로 연결하는 가짜 링크를 건 후 마치 사이트 이용에 필요한 프로그램인 것처럼 속여 설치를 유도하는 방식도 있다. 예를 들면 동영상 실행 시 필요한 코덱 프로그램이나 가짜 백신 프로그램으로 위장하는 경우다. 이는 특히 MS 윈도우 보안 업데이트에 무관심한 사용자들에게 특히 위험하다. 따라서 윈도우 운영체제의 인터넷 익스플로러의 보안 업데이트에 지속적인 관심을 가질 필요가 있다.
P2P 사이트에서 내려 받을 수 있는 쉐어웨어(체험판 프로그램)나 프리웨어(무료 프로그램) 등에 트로이 목마가 숨어있는 경우도 있다. 따라서 이들 프로그램이 필요할 때는 믿을 수 있는 사이트의 자료실이나 해당 개발사의 홈페이지에서 내려 받는 것이 권장된다.
최근에는 스마트폰에서도 트로이 목마가 발견됐다. 글로벌 보안업체 카스퍼스키랩에 따르면, 안드로이드 플랫폼 기반에서 미디어 플레이어 애플리케이션(이하 앱)으로 위장한 트로이 목마가 많은 스마트폰을 감염시켰다고 한다. 이 앱을 설치하면 사용자의 동의 없이 유료 서비스 번호에 문자메시지를 발송해 요금을 갈취 당한다. 아직 국내에서는 피해 사례가 보고되지는 않았지만, 공식 안드로이드 마켓이 아닌 외부에서 앱을 구해 설치했을 경우 특히 주의해야 한다.
예방 및 제거 방법
트로이 목마를 예방하는 방법은 다음과 같다. 첫째, 100% 신뢰할 수 없는 사람이 보낸 이메일에서 파일을 가급적 내려 받지 않는다. 주로 사용하는 이메일에는 스팸 차단 기능을 설정하고, 신원이 불분명한 사람의 이메일은 아예 열지 않는 것이 좋다. 드문 경우긴 하지만 아는 사람의 이름으로 메일이 오는 경우도 있으니 의심이 되면 해당인에게 연락을 해보거나 백신 프로그램으로 검사한 후 열어보는 것이 좋다.
둘째, 불법 소프트웨어에는 트로이 목마가 숨어 있을 수 있으니 정품 소프트웨어를 사용한다. 쉐어웨어가 필요할 때는 믿을만한 곳에서 다운로드하고, 불가피하게 P2P를 이용할 때는 반드시 백신 프로그램 등의 보안 제품으로 검사해야 한다.
셋째, 백신 프로그램과 윈도우는 항상 최신 버전을 유지할 수 있도록 업데이트에 신경 쓴다. 하루가 다르게 신종 트로이 목마와 웜이 출현하고 있는 상황이므로 최신 버전의 백신을 사용해야 최신 트로이 목마를 막을 수 있다. 또한 MS 윈도우 업데이트는 의심스러운 실행파일을 차단하거나 보안 상의 취약점을 보완할 수 있으니, 자동으로 업데이트되도록 설정해 둔다. 아울러 인터넷 익스플로러도 최신 버전을 사용하되, 가능하면 보안 설정을 높게 유지한다. 파이어폭스나 크롬 등의 웹 브라우저는 인터넷 익스플로러보다 덜 하긴 하지만, 마찬가지로 보안 설정 및 업데이트에 주의해야 한다.
만일 백신 프로그램의 실시간 감시 기능을 통해 트로이 목마의 감염 여부가 파악되면 즉시 치료하도록 한다. 트로이 목마는 전염되지 않기 때문에 해당 프로그램을 삭제하는 방식으로 쉽게 제거할 수 있다. 따라서 백신 프로그램에서 치료(삭제)를 클릭하는 것만으로도 대부분의 트로이 목마 문제는 해결된다. 이 방법으로 해결되지 않는 경우 사용중인 백신 고객센터나 한국인터넷진흥원 보호나라(www.boho.or.kr)에 원격점검을 신청할 수 있다.
글/IT동아 서동민(cromdandy@itdonga.com)