악성코드 (Malware)

악성코드 (Malware)

시스템에 피해를 주거나 비인가 접근을 수행할 목적으로 제작된 악의적 소프트웨어의 총칭

특징: 다양한 유형과 전파 방법, 지속적 진화(다형성/메타모픽), 탐지 회피 기법 발전

구성요소: 페이로드(Payload): 실제 악성 행위 수행, 전파 메커니즘(Propagation): 감염 확산 방법, C2 통신(Command and Control): 공격자와 통신 채널

유형: 바이러스(Virus): 숙주 파일 감염/자가 복제, 웜(Worm): 네트워크 통해 독자 전파/숙주 불필요, 트로이목마(Trojan): 정상 프로그램 위장/백도어, 랜섬웨어(Ransomware): 파일 암호화/금전 요구, 루트킷(Rootkit): OS 수준 은폐/탐지 회피, 스파이웨어(Spyware): 정보 수집/키로거, 파일리스(Fileless): 메모리 상주/디스크 미사용

유형별 상세 분류

• •바이러스(Virus): 숙주 파일에 자신을 삽입하여 감염, 실행 시 자가 복제, 부트 바이러스/파일 바이러스/매크로 바이러스
• •웜(Worm): 숙주 파일 없이 네트워크 취약점 통해 독자 전파, 자가 복제하며 대역폭/시스템 자원 소진, 예: WannaCry(SMB)/Conficker/Stuxnet
• •트로이목마(Trojan): 정상 프로그램으로 위장, 자가 복제 안 함, 백도어/RAT/다운로더/뱅킹 트로이목마
• •루트킷(Rootkit): OS 커널/부트로더 수준에서 자신과 악성 활동 은폐, 커널 루트킷(드라이버 후킹)/사용자 모드 루트킷/부트킷(MBR 감염), 탐지 극히 어려움
• •스파이웨어/키로거: 사용자 활동 감시, 키 입력/화면/클립보드 캡처, 정보 외부 전송
• •파일리스(Fileless): 디스크에 파일 미생성, PowerShell/WMI/레지스트리 등 정상 도구 악용(Living off the Land), 메모리 상주로 안티바이러스 탐지 회피

분석 방법

• •정적 분석: 실행 없이 코드 분석, 해시값 확인/문자열 추출/디스어셈블리(IDA Pro/Ghidra), PE 헤더 분석, 패커/난독화 탐지
• •동적 분석: 격리 환경(샌드박스)에서 실행, 파일/레지스트리/네트워크/프로세스 행위 모니터링, 도구: Cuckoo Sandbox/Any.Run/Joe Sandbox
• •행위 분석: 실행 시 시스템 변경 사항 추적, API 호출 모니터링, C2 통신 패턴 분석

대응: 안티바이러스(시그니처 기반), EDR(행위 기반), 샌드박스(격리 분석), 네트워크 격리

적용사례: 안티바이러스 탐지, EDR 대응, 샌드박스 분석, 침해사고 조사

비교: 바이러스(숙주 필요/파일 감염) vs 웜(독자 전파/네트워크) vs 트로이목마(위장/비복제) vs 랜섬웨어(암호화/금전) vs 파일리스(메모리 상주/탐지 어려움)

연관: 랜섬웨어, EDR, 샌드박스, 침해 대응