트로이목마의 정의
트로이목마 또는 트로이는 일종의 악성 코드로, 적법한 소프트웨어로 위장하는 경우가 많습니다. 트로이목마는 사이버 도둑 및 해커들이 사용자 시스템에 대한 접근 권한을 얻기 위해 사용합니다. 이들은 일종의 소셜 엔지니어링을 통해 사용자를 속여, 트로이목마를 시스템에 다운로드하고 실행하도록 합니다. 사이버 범죄자들은 활성화된 트로이목마를 통해 상대를 훔쳐보고, 민감한 데이터를 훔치고, 상대의 시스템에 접근할 백도어를 확보합니다.
트로이목마란?
"트로이목마"는 고대 그리스의 설화에서 유래한 용어로, 트로이라는 도시의 몰락을 가져온 가짜 목마가 그 유래입니다. 트로이목마 바이러스가 컴퓨터에 침입하는 방법도 그와 유사합니다. 겉으로 보기에 무해한 프로그램에 숨거나 감염된 파일을 다운받도록 사용자를 속입니다. 이 이름은 미 공군이 1974년에 컴퓨터가 악성 프로그램에 감염되는 가상의 경로들을 다룬 보고서에서 처음 사용되었습니다.
사람들이 "트로이 바이러스" 또는 "트로이목마 바이러스"라고 하는 것을 들어보았을 수도 있으나, 이 용어들은 오해의 소지가 있습니다. 바이러스와 달리, 트로이목마는 자가 복제를 하지 않기 때문입니다. 대신, 트로이목마는 악성 명령어를 숨긴 채, 유용한 소프트웨어나 컨텐츠를 가장하여 전파됩니다. "트로이목마"는 해커들이 여러 가지 위협을 위해 악성 코드를 심는 수단을 이르는, 포괄적인 용어로 보는 것이 좋습니다.
트로이목마는 어떻게 작동하나요?
트로이목마가 실행되려면 반드시 피해자가 어떤 행동을 취해야 합니다. 트로이목마 악성 코드가 장치를 감염시키는 방법은 다양합니다.
- 사용자가 감염된 이메일 첨부 파일을 열어보거나 악성 웹사이트의 링크를 클릭하면서 피싱이나 기타 소셜 엔지니어링 공격을 받는 경우.
- 컴퓨터가 감염되었으니 백신 프로그램을 실행해야 한다는 가짜 안티 바이러스 프로그램의 팝업을 사용자가 본 경우. 이런 것을 "스케어웨어"라고 합니다. 여기에 속은 사용자가 실제로 다운로드하는 것은 트로이목마입니다.
- 사용자가 악성 웹사이트를 방문하여, 유용한 소프트웨어를 가장한 드라이브바이 다운로드를 경험하는 경우.
- 사용자가 신뢰할 수 없는 웹사이트에서, 배포자 미상의 프로그램을 다운로드한 경우.
- 공격자는 소프트웨어의 약점을 악용하거나 승인되지 않은 엑세스를 통해 트로이목마를 설치합니다.
- 해커들은 사용자가 연결하고자 하는 Wi-Fi 네트워크처럼 생긴, 가짜 Wi-Fi 네트워크를 만들기도 합니다. 이 네트워크에 연결된 장치는 가짜 웹사이트로 리디렉션 되는데, 여기서는 브라우저의 약점을 악용하여 사용자가 다운로드 하려는 일체의 파일도 리디렉션합니다.
트로이목마와 관련하여 "트로이 드랍퍼"라는 용어가 사용되기도 합니다. 드랍퍼와 다운로더는 트로이목마를 포함한 다양한 악성 코드의 동작을 돕는 프로그램입니다. 대체로 스크립트나 작은 애플리케이션의 형태로 실행 됩니다. 그 자체로는 악성 활동을 하지 않지만 핵심 악성 모듈을 다운로드, 디컴프레스, 설치함으로써 사이버 공격이 이루어질 수 있도록 합니다.
트로이목마의 유형
트로이목마는 감염된 컴퓨터에서 수행하는 활동의 유형에 따라 분류할 수 있습니다. 트로이목마 바이러스의 예는 다음과 같습니다.
백도어
백도어 트로이목마에 감염된 컴퓨터는 해커가 원격으로 조작할 수 있습니다. 파일을 전송, 수신, 실행, 삭제하거나 데이터를 표시하거나 컴퓨터를 리부팅하는 등, 해커는 감염된 컴퓨터로 원하는 모든 것을 할 수 있습니다. 백도어 트로이목마는 피해자들의 컴퓨터를 한데 모아 봇넷이나 좀비 네트워크를 만들어 범죄에 활용하는데 주로 사용됩니다.
익스플로잇
컴퓨터에서는 애플리케이션 소프트웨어가 작동하는데, 익스플로잇은 이 소프트웨어의 약점을 악용하는 데이터와 코드가 담긴 프로그램입니다.
뱅커 트로이목마
트로이 뱅커는 온라인 뱅킹 시스템, 전자 결제 시스템, 신용 또는 직불카드에 관한 사용자 계좌 데이터를 훔칠 목적으로 만든 프로그램입니다.
클램피 트로이목마
Ligats, Ilomo라고도 알려진 클램피는 사용자가 온라인 뱅킹 서비스에 접근하거나 온라인에서 물건을 구매하기 위해 신용 카드 정보를 입력하는 등, 금융거래를 위해 로그인을 할 때를 기다립니다. 클램피는 방화벽 뒤에 숨어서 오랜 기간 잠복할 수 있을 정도로 정교한 프로그램입니다.
Cryxos 트로이목마
Cryxos는 스케어웨어나 가짜 지원 요청 메세지와 관련된 경우가 흔합니다. 일반적으로 피해자의 컴퓨터에 "디바이스가 해킹당했습니다" 또는 "컴퓨터가 감염되었습니다"라는 팝업을 띄웁니다. 이때 사용자에게 지원 요청 전화번호가 표시됩니다. 그 번호로 전화를 걸면, 돈을 내고 지원을 받으라는 압박을 받게 됩니다. "고객 서비스 직원"에게 컴퓨터 원격 접근 권한을 달라는 안내를 받기도 합니다. 공격자가 사용자의 장치를 하이재킹하거나 데이터를 훔치려고 하는 것입니다.
디도스 트로이목마
특정 웹 주소를 목표로 디도스 공격(Distributed Denial of Service)을 하는 프로그램입니다. 다수의 감염된 컴퓨터를 이용해 수많은 요청 신호를 보내 목표가 되는 웹 주소를 무력화합니다.
다운로더 트로이목마
트로이목마 다운로더는 트로이목마 및 애드웨어 등 새로운 버전의 악성 프로그램들을 사용자의 컴퓨터에 다운로드하고 설치하게 하는 프로그램입니다.
드랍퍼 트로이목마
해커들이 트로이목마나 바이러스를 사용자의 컴퓨터에 설치할 때, 악성 프로그램으로 탐지되지 않도록 사용하는 프로그램입니다. 트로이목마 안에는 다양한 구성 요소들이 있으며, 안티 바이러스 프로그램 중에 이 모든 구성요소를 스캔하지는 못하는 것도 있습니다.
FakeAV 트로이목마
안티 바이러스 소프트웨어의 활동을 흉내내는 프로그램입니다. 존재하지도 않는 사이버 위협을 탐지하고 제거했다면서 사용자에게 비용을 요구합니다.
GameThief 트로이목마
온라인 게임 유저들의 계정 정보를 훔치는 프로그램입니다.
Geost 트로이목마
Android 뱅킹 트로이목마입니다. 서버 호스트명이 무작위로 생성된 비공식 웹사이트에서 배포한 악성 앱에 숨어 있습니다. Google Play에서 지원하지 않는 앱을 찾다가 이 프로그램에 노출되는 경우가 일반적입니다. 앱이 다운로드되면, 장치가 악성 코드에 감염되도록 하는 허가 요청을 띄웁니다. Geost 트로이목마는 이것을 만든 갱단의 실수로 세상에 알려졌습니다. 이들의 보안 실수를 통해 연구진이 이들의 방식을 파악하고, 일부 구성원을 특정해낼 수 있었습니다.
IM 트로이목마
WhatsApp, Facebook Messenger, Skype 등, 사용자의 인스턴트 메세지 프로그램 로그인 데이터와 패스워드를 훔치는 프로그램입니다. 이를 통해 사이버 공격자들은 사용자의 채팅창을 조작하여, 사용자의 연락처에 있는 누구에게든 트로이목마를 보낼 수 있습니다. 사용자의 컴퓨터를 통해 디도스 공격도 할 수 있습니다.
Mailfinder 트로이목마
사용자의 컴퓨터에서 이메일 주소를 추출하여, 사용자의 연락처에 대규모 악성 코드 및 스팸 메일을 보내는 프로그램입니다.
랜섬 트로이목마
컴퓨터상의 데이터를 변조하여, 컴퓨터가 올바르게 작동하지 못하게 하거나 특정 데이터를 쓸 수 없게 합니다. 이들은 컴퓨터의 몸값을 요구하고, 이를 받은 후에야 컴퓨터의 기능을 복원시켜 주거나 특정 데이터를 다시 쓸 수 있도록 해줍니다.
원격 엑세스 트로이목마
RAT(Remote Access Trojans)로 줄여 쓰기도 하는 이 프로그램을 쓰면, 해커들이 사용자의 컴퓨터를 원격으로 조작할 수 있습니다. 사용자의 정보를 훔치거나, 사용자를 감시할 때 사용합니다. 감염된 호스트 시스템을 통해 다른 취약한 컴퓨터에도 RAT을 배포해서, 봇넷을 만듭니다.
루트킷
시스템상의 특정 객체나 활동을 감추는 프로그램입니다. 감염된 컴퓨터에서 프로그램이 작동하는 동안은 악성 프로그램이 탐지되지 않도록 하는 게 주된 목적입니다.
SMS 트로이목마
사용자의 모바일 장치가 할증 요금이 붙는 전화번호에 문자를 보내도록 해서 비용을 청구합니다.
스파이트로이목마
사용자가 감염된 컴퓨터로 하는 활동을 감시하는 프로그램 입니다. 키보드로 입력하는 데이터를 추적하거나, 사용자의 화면을 가지고 스크린샷을 찍거나 실행 중인 어플리케이션의 목록을 만드는 등의 작업을 수행합니다.
Qakbot 트로이목마
정교한 뱅킹 트로이목마 입니다. 최초로 뱅킹 정보를 탈취하도록 고안된 악성 코드라고 알려져 있습니다. 잘 알려진 다른 도구와 함께 사용되는 경우가 많습니다.
Wacatac 트로이목마
감염된 시스템을 대상으로 다양한 악성 행위를 하는, 아주 위험한 프로그램입니다. 피싱 이메일, 감염된 네트워크를 통해 공유받은 파일, 소프트웨어 패치 등을 통해 사용자의 시스템에 침입합니다. 사용자의 기밀 데이터를 훔쳐 나눠 가지려는 해커들이 사용합니다. 해커들이 사용자의 컴퓨터에 악성 작업을 수행하도록 원격 액세스를 제공할 수도 있습니다.
다른 트로이목마의 종류는 다음과 같습니다.
- 트로이목마-ArcBomb
- 트로이목마-Clicker
- 트로이목마-Notifier
- 트로이목마-Proxy
- 트로이목마-PSW
트로이목마에 감염되면 일어나는 일
트로이목마는 정말 잘 숨습니다. 사용자를 속여 컴퓨터에 침입하고, 사용자 몰래 목적을 수행합니다. 트로이목마에 감염되었다는 사실을 깨달았을 때는 이미 너무 늦었을 수도 있습니다. 트로이목마 악성 코드 감염이 의심된다면, 다음의 징후가 있는지 살펴보아야 합니다.
- 장치 성능 저하: 동작이 느려지거나 오류가 자주 발생(악명 높은 "죽음의 블루 스크린" 포함)
- 데스크톱의 변화: 모니터 해상도가 바뀌거나 색상이 변경
- 작업 표시줄 변화: 작업 표시줄이 바뀌거나 완전히 사라짐
- 작업 관리자에 못 보던 프로그램이 표시: 설치하지 않은 프로그램이 표시
- 팝업 빈도 증가: 광고 뿐만 아니라 상품 광고를 하는 브라우저 팝업, 안티 바이러스 검사 팝업이 표시되며, 이를 클릭하면 악성 코드를 다운로드
- 인터넷 사용 중 낯선 웹사이트로 리다이렉트
- 스팸 이메일 증가
일부 트로이목마는 신뢰할 수 없는 출처의 시작 프로그램을 삭제함으로써 제거할 수 있습니다. 사용자가 트로이목마를 제거하려할 때, 해당 프로그램의 방해를 받을 수 있습니다. 장치를 안전모드로 재부팅하면 이를 예방할 수 있습니다.
컴퓨터 기능에 필수적인 기본 프로그램을 삭제하면, 작동이 느려지거나 시스템을 사용할 수 없게될 수 있으니 정확히 어떤 프로그램을 제거해야 하는 지 명확히 알아야 합니다.
휴대전화도 트로이목마에 감염될 수 있나요?
결론부터 말하자면, 맞습니다. 모바일 장치, 노트북, 데스크탑 모두 트로이목마에 감염될 수 있습니다. 보통 악성 코드를 담고 있는 가짜 앱을 적법한 프로그램으로 착각하고 다운로드하여 감염됩니다. 비공식 앱 마켓이나 해적판 앱 마켓에서 다운로드한 앱을 통해 감염되는 경우가 대부분입니다. 최근 사례로는, 가짜 클럽하우스 앱으로 감염된 건이 있습니다. 트로이목마가 담긴 앱은 사용자의 휴대전화에서 정보를 훔칠 수 있습니다. 해커들이 수익을 목적으로 사용자의 휴대전화를 조작해, 할증 요금이 붙는 전화번호로 문자를 보내게 만들기도 합니다.
하지만 아이폰이 트로이목마에 감염되는 경우는 드뭅니다. iOS상의 앱들이 샌드박스 기반이기도 하고, 애플의 월드 가든(walled garden) 때문이기도 합니다. 서드 파티 앱을 앱 스토어에 등록하려면 반드시 허가와 검증을 거쳐야 합니다. 즉, 서드 파티 앱이 다른 앱과 상호 작용 하거나 사용자 휴대전화 OS에 심층적으로 엑세스할 수 없다는 뜻입니다. 하지만 탈옥된 아이폰이라면, 이전과 같은 수준의 악성 코드 방지 조치를 이용할 수 없습니다.
트로이목마를 어떻게 예방하나요
늘 그렇듯, 트로이목마 악성 코드를 막는 가장 좋은 방법은 포괄적인 안티 바이러스 보호 조치와 철저한 사이버 보안 위생관념을 함께 하는 것입니다.
- 다운로드는 신중히 진행하세요. 출처를 완전하게 신뢰할 수 없는 소프트웨어는 절대 다운로드하거나 설치하지 마세요.
- 피싱 위협에 대해 인지하세요. 모르는 사람이 보낸 메일에 첨부된 파일, 링크, 프로그램은 절대 열어보지 마세요.
- 사용 중인 운영 체제의 소프트웨어 업데이트가 발생하면 신속히 진행하세요. 운영 체제 업데이트에 더해, 컴퓨터에서 사용하는 다른 소프트웨어의 업데이트들도 확인해야 합니다. 업데이트는 새로운 사이버 위협으로부터 사용자를 보호해주는 보안패치도 포함하는 경우가 많습니다.
- 안전하지 않은 웹사이트는 방문하지 마세요. 웹사이트에 보안 인증서가 있는지 확인하세요. 방문하는 사이트의 URL은 http://가 아니라 https://로 시작해야 합니다. https의 s는 보안(secure)을 의미하며, 주소창에 자물쇠 아이콘도 떠 있어야 합니다.
- 팝업과 배너는 가급적 클릭하지 마세요. 신뢰할 수 없는 낯선 팝업 경고창이 떠서, 장치가 감염되었다거나 이를 해결해 줄 마법 같은 프로그램이 있다고 하면 클릭하지 마세요. 트로이목마가 흔히 쓰는 전략입니다.
- 복잡하고 흔치 않은 암호를 사용해서 계정을 보호하세요. 강력한 암호는 추측하기 어려운 것이어야 하고, 대소문자, 특수 문자, 숫자를 혼용한 것이 이상적입니다. 가급적이면 동일한 암호를 여러 계정에 적용하지 마시고, 암호를 주기적으로 변경하세요. 암호 관리자 도구는 암호를 관리하기 좋은 방법입니다.
- 방화벽으로 개인정보를 안전하게 지키세요. 인터넷에서 사용자의 장치로 들어오는 데이터를 방화벽이 걸러줍니다. 대부분의 운영체제가 자체적인 방화벽을 갖고 있지만, 완벽한 보안을 위해 하드웨어 방화벽을 사용하는 것도 좋습니다.
- 주기적으로 백업하세요. 파일을 백업하더라도 트로이목마 다운로드를 막을 수는 없습니다. 하지만 악성 코드 공격으로 중요한 데이터를 잃어버린 경우에는 도움이 될 것입니다.
효과적인 안티 바이러스 소프트웨어를 설치하는 것도, PC, 노트북, 맥, 태블릿, 스마트폰 등의 장치를 트로이목마로부터 보호하는 방법입니다. Kaspersky Premium와 같은 강력한 안티 바이러스 솔루션은, 트로이목마 공격을 탐지하고, 여러분의 장치를 보호하고, 더 안전한 온라인 경험을 제공합니다.