최근 보안 관련 뉴스에서 빠지지 않고 등장하는 단어가 '악성코드'다. 보안 업계에 따르면, 세계적으로 연간 6억개, 매일 164만개의 악성코드가 유포되면서 컴퓨터 사용자를 위협하고 있다.
악성코드란 이름 그대로 악의적인 목적으로 실행되는 실행코드를 말한다. 컴퓨터에서 구동되는 소프트웨어는 수 많은 코드로 구성되는데, 개발자가 어떤 의도로 코드를 작성하느냐에 따라 결과물인 소프트웨어의 사용 목적도 달라진다. 악성코드도 결국 하나의 소프트웨어라는 점에서 '악성 프로그램'이라고도 하고, 영어로는 악성 소프트웨어(Malicious Software)를 줄여 '멀웨어(Malware)'라고도 부른다.
사이버 범죄자가 악성코드를 만드는 이유는 다양하지만, 현행법상 악성코드를 정의하는 기준은 그 '목적'에서 찾아볼 수 있다. 정보통신망의 안전에 대해 규정하고 있는 정보통신망법 제48조에서는 악성코드를 '정당한 사유 없이 정보통신 시스템, 데이터 또는 프로그램 등을 훼손·멸실·변경·위조하거나 그 운용을 방해할 수 있는 프로그램'이라고 정의하고 있다.
하지만 악성코드라고 다 같은 악성코드가 아니다. 보안 업계에서는 악성코드를 자기 복제 능력, 감염 방법, 감염 증상에 따라 바이러스(Virus), 웜(Worm), 트로이목마(Trojan), 랜섬웨어(Ransomware) 등으로 다양하게 구분한다. 각각의 악성코드는 형태나 방식에 따라 컴퓨터에 미치는 영향이 조금씩 다르다.
바이러스는 생물학적인 바이러스와 유사한 특성을 지녔다고 해서 이름을 따왔다. 바이러스는 숙주가 되는 컴퓨터의 파일이나 프로그램을 변형시키고, 자기 자신이나 자신의 변형을 복사해 또 다른 대상을 감염시킴으로써 최종적으로 컴퓨터 시스템을 파괴하는 악성코드를 말한다.
웜은 스스로 복제된다는 점에서는 바이러스와 비슷하지만, 숙주 프로그램을 필요로 하지 않고, 독립적으로 실행된다는 점이 다르다. 은밀하게 전파되는 바이러스와 달리 직접 악의적인 행위에 나서는 돌격대장과도 같다.
트로이목마는 그리스 신화의 트로이 전쟁에서 사용된 목마에서 따온 이름이다. 신화에서 그리스는 군인을 매복시킨 목마를 신에게 바치는 선물로 위장해 성 안으로 침투시켜 트로이를 무너뜨렸다. 트로이목마는 이처럼 겉보기에는 유용한 프로그램처럼 보이지만, 실제로는 악의적인 기능이 포함돼 있는 악성코드를 의미한다.
◆ 브레인 바이러스에서 크립토락커까지…악성코드의 진화
최초의 컴퓨터용 악성코드는 1986년 파키스탄 프로그래머 형제가 자신들이 제작한 프로그램이 불법 복제되자, 이에 대한 복수로 유포시킨 '브레인(Brain)' 바이러스로 기록돼 있다. 브레인 바이러스는 국내에도 1988년 유입됐다. 당시만 해도 인터넷이 활성화돼 있지 않아 플로피 디스켓과 같이 휴대 가능한 저장장치를 통해 전파된 탓에 한국으로 건너오는데 시간이 필요했던 셈이다.
인터넷으로 유포된 최초의 웜은 1988년 발견된 '모리스(Morris)'다. 코델대학교 대학원생인 로버트 모리스가 제작한 이 웜은 당시 전세계에 연결된 유닉스 시스템의 10%에 해당하는 6000여대를 감염시켜 큰 피해를 일으킨 것으로 알려졌다.
랜섬웨어는 2000대 중반만 해도 사기성 안티바이러스 성향이 짙었다. 사이버 범죄자는 가짜 백신 프로그램을 유포시킨 후 사용자의 컴퓨터에 문제가 있다고 속여 치료 프로그램 라이선스 구매를 유도했다. 온라인 상품권을 구매한 후 코드를 보내라는 식으로 수익화하는 경우도 적지 않았다.
