멀웨어, 바이러스, 웜 구분: 헷갈리는 컴퓨터 바이러스 종류

안녕하세요, 아이템파파입니다. 혹시 여러분은 컴퓨터에 문제가 생겼을 때 “바이러스에 걸렸나?”라고 생각해본 적이 있으신가요? 그런데 IT 뉴스를 보면 바이러스, 멀웨어, 웜, 트로이목마 등 다양한 용어가 등장해서 도대체 무엇이 무엇인지 헷갈리기만 합니다.

1. 멀웨어는 모든 악성코드의 총칭

많은 분들이 가장 먼저 이해해야 할 개념이 바로 멀웨어(Malware)입니다. 멀웨어는 악성 소프트웨어(malicious software)의 줄임말로, 시스템을 파괴하거나 정보를 유출하는 등 악의적 활동을 수행하도록 제작된 소프트웨어를 말합니다.

쉽게 말해, 멀웨어는 자동차라는 큰 범주와 같습니다. 자동차 안에 승용차, SUV, 트럭이 포함되듯이, 멀웨어라는 큰 범주 안에 바이러스, 웜, 트로이목마, 랜섬웨어 등이 모두 포함되는 것입니다. 멀웨어는 피해를 입히도록 설계된 모든 소프트웨어를 포괄하는 일반적인 용어입니다.

그런데 많은 사람들이 “멀웨어와 바이러스는 다른 것”이라고 잘못 알고 있습니다. 실제로는 바이러스가 멀웨어의 한 종류일 뿐입니다. 이런 오해가 생기는 이유는 예전에는 주로 ‘바이러스’라는 용어를 사용했지만, 악성코드의 종류가 다양해지면서 ‘멀웨어’라는 포괄적인 용어를 사용하게 되었기 때문입니다.

초기 멀웨어는 이메일 첨부파일이나 플로피디스크를 통해 전파되었지만, 인터넷이 급속도로 보급되면서 특정 웹사이트를 접속하는 것만으로도 악성코드에 감염될 만큼 빠르게 진화하고 있습니다.

2. 바이러스는 숙주가 필요한 기생충 같은 존재

컴퓨터 바이러스 종류 중에서 가장 오래된 형태가 바로 바이러스(Virus)입니다. 바이러스는 다른 대상(정상파일)을 감염시키는 형태로 실행되며, 감염시킬 대상이 존재하지 않을 때에는 실행되지 않습니다.

바이러스의 핵심 특징은 생물학적 바이러스와 매우 유사합니다. 혼자서는 살 수 없고 반드시 숙주(정상 파일)가 필요하다는 점입니다. 예를 들어, 여러분이 스프레드시트 파일을 다운로드했는데 그 안에 바이러스가 숨어있다고 가정해보겠습니다. 단순히 파일을 다운로드하는 것만으로는 감염되지 않습니다. 반드시 사용자가 그 파일을 실행해야만 바이러스가 활성화됩니다.

바이러스는 일반적으로 중요한 데이터를 삭제하고 정상적인 작동을 방해하며 감염된 컴퓨터의 다른 프로그램에 자신의 복사본을 퍼뜨리도록 설계되었습니다. 한 번 활성화되면 컴퓨터 내부의 다른 파일들로 자신을 복제해 나가지만, 네트워크를 통해 다른 컴퓨터로 스스로 전파되지는 않습니다.

과거 유명했던 바이러스로는 ‘미켈란젤로 바이러스’가 있습니다. 이 바이러스는 미켈란젤로의 생일인 3월 6일에 감염 증상이 나타나는 부트 바이러스로, 컴퓨터 부팅에 영향을 주어 많은 사용자들을 공포에 떨게 했습니다.

바이러스는 감염시키는 방식과 위치에 따라 부트바이러스, 파일 바이러스, 메모리 상주 바이러스, 매크로 바이러스 등으로 분류됩니다.

3. 웜은 혼자서도 전파되는 독립적인 악성코드

웜(Worm)은 바이러스와 확연히 다른 특징을 가지고 있습니다. 웜은 감염시킬 대상이 존재하지 않아도, 스스로 실행될 수 있습니다. 자가복제 및 네트워크를 통한 전파도 가능합니다.

가장 큰 차이점은 독립성입니다. 바이러스가 숙주 파일 없이는 활동할 수 없는 반면, 웜은 완전히 독립적인 프로그램으로 작동합니다. 웜은 사용자가 악성 첨부 파일을 열거나 유사한 작업을 수행하는 데 의존하지 않고 스스로 확산됩니다.

웜의 주요 목적은 네트워크 트래픽에 영향을 미치는 것입니다. 바이러스와 달리 웜은 파일 자체에 직접적인 피해를 주기 보다 네트워크 트래픽에 영향을 미치려는 목적이 큽니다. 따라서 웜에 감염된 컴퓨터들을 이용해 대규모 사이버 공격을 일으킬 수 있어 더욱 위험합니다.

대표적인 예로 2017년 전 세계를 공포에 떨게 했던 워너크라이(WannaCry) 랜섬웨어를 들 수 있습니다. 약 40억 달러의 피해를 입힌 WannaCry 랜섬웨어는 연결된 디바이스 간에 자동으로 확산되어 그 영향력을 극대화하는 웜이었습니다.

웜은 다양한 방법으로 전파될 수 있습니다. 이메일 웜은 악성 첨부파일이 포함된 이메일을 전송하여 확산되고, P2P 웜은 P2P 네트워크를 통해 다른 사용자에게 자신을 복제합니다. 넷 웜은 네트워크 드라이브 같은 공유 리소스를 활용하며, 인터넷 웜은 웹 브라우저의 취약점을 악용하여 웹사이트를 감염시킵니다.

4. 트로이목마는 위장의 달인

트로이목마(Trojan)는 그리스 신화의 트로이 목마에서 이름을 따온 만큼, 정상적인 프로그램으로 위장하는 것이 특징입니다. 트로이목마는 정상 파일을 가장하거나, 정상 파일 안에 삽입되어 실행되는 것이 특징입니다.

트로이목마는 바이러스나 웜과 달리 자기 복제 기능이 없습니다. 대신 사용자를 속여서 직접 설치하게 만든 후, 컴퓨터에 백도어를 생성하여 해커가 원격으로 접근할 수 있게 합니다. 트로이 목마는 바이러스나 웜처럼 컴퓨터에 직접적인 피해를 주지는 않지만, 공격자가 사용자의 컴퓨터를 원격 통제할 수 있는 특징이 있습니다.

가장 악명 높았던 트로이목마 중 하나는 ‘제우스(Zeus)’입니다. 2007년부터 2009년까지 금융 서비스 영역에서 큰 피해를 입힌 이 악성코드는 인증서를 훔치거나 자동결제시스템을 악용하는 등 금융 범죄에 활용되었습니다.

   

5. 제로데이 공격: 방어할 수 없는 투명한 적

악성코드 중에서 가장 위험한 형태 중 하나가 바로 제로데이(Zero-day) 공격입니다. 제로데이는 특정 소프트웨어의 아직까지 공표되지 않은, 혹은 공표되었지만 아직까지 패치되지 않은 보안 취약점을 이용한 해킹의 통칭입니다.

제로데이라는 이름이 붙은 이유는 매우 직관적입니다. “Zero-day”는 해당 취약점이 공표 혹은 발견된 날을 뜻하므로 개발사는 공격이 행해진 시점에서 이 취약점을 해결할 시간을 채 하루도 가지지 못했음을 뜻합니다. 즉, 방어할 수 있는 시간이 0일이라는 뜻입니다.

제로데이 공격이 특히 무서운 이유는 그 정의에 따라 해당 취약점에 대한 대책이 전혀 없기 때문입니다. 어떤 백신 프로그램도, 어떤 보안 솔루션도 아직 존재하지 않는 위협을 막을 수는 없습니다. 해커는 실행 가능한 제로데이 익스플로잇을 개발하면 곧바로 이를 사용하여 사이버 공격을 시작합니다. 보안 팀이 패치를 개발하는 것보다 더 빨리 해커가 익스플로잇을 개발하는 경우가 많습니다.

실제로 2024년에는 여러 중요한 제로데이 취약점들이 발견되었습니다. 2024년 첫 번째 제로데이 취약점인 CVE-2024-0519는 크롬 브라우저의 V8 자바스크립트 엔진에서 발견됐다. 이 취약점은 아웃 오브 바운드(Out-of-bounds) 메모리 접근 문제로, 하나의 프로그램이 자신의 메모리 영역을 벗어나 다른 프로그램의 메모리까지 접근할 수 있는 취약점이었습니다.

더욱 놀라운 사실은 제로데이 취약점이 하나의 산업으로 자리잡았다는 점입니다. 제로 데이 취약점은 그 악용 가능성이 무궁무진하기 때문에 블랙해커들 사이의 다크 웹 암시장(일명 블랙 마켓)에서 고가의 가격으로 팔리기도 한다고 합니다. Apple은 위험성에 따라 최대 200만 달러까지 사례하기도 한다는 점에서 제로데이 취약점의 가치를 짐작할 수 있습니다.

역사상 가장 유명한 제로데이 공격 사례는 스턱스넷(Stuxnet)입니다. Stuxnet은 Microsoft Windows 운영 체제의 제로데이 소프트웨어 취약점 네 가지를 악용한 정교한 컴퓨터 웜입니다. 핵 시설에 대한 일련의 공격에 Stuxnet이 사용되었습니다.

6. 실제 피해 사례와 현재 동향

최근 몇 년간 컴퓨터 바이러스 종류별 피해 양상이 크게 변화했습니다. 과거에는 단순히 파일을 파괴하거나 시스템을 마비시키는 것이 목적이었다면, 현재는 경제적 이익을 추구하는 방향으로 진화했습니다.

특히 2024년에는 클라우드 리소스를 활용해 암호화폐를 채굴하는 다양한 사례가 있었습니다. 공격자들은 허위 기업을 등록해 클라우드 서비스 제공 업체를 속여 그래픽 카드가 장착된 대규모 컴퓨팅 자원에 대한 액세스 권한 획득 후  암호화폐를 채굴하기도 했습니다.

또한 기업을 대상으로 한 공격이 급격히 증가하고 있습니다. 해커들이 조직을 공격하는 것이 더 수익성이 높다는 것을 알게 되면서 개인 사용자보다는 기업을 대상으로 하는 멀웨어 공격이 점점 더 증가하고 있습니다.

랜섬웨어의 경우 더욱 정교해지고 있습니다. 단순히 파일을 암호화하는 것을 넘어서 중요한 데이터를 먼저 유출한 후 이를 공개하겠다고 협박하는 이중 갈취 방식이 보편화되었습니다. 이런 방식으로 피해 기업들은 복호화 비용뿐만 아니라 정보 유출로 인한 추가적인 손실까지 감수해야 하는 상황에 놓이게 됩니다.

정보 탈취형 악성코드인 InfoStealer의 활동도 매우 활발합니다. 이들은 주로 브라우저에 저장된 비밀번호, 쿠키, 암호화폐 지갑 정보 등을 훔쳐내어 다크웹에서 판매합니다. 한 번의 감염으로도 수십 개의 계정 정보가 유출될 수 있어 개인 사용자들에게 심각한 위협이 되고 있습니다.

7. 효과적인 대응 방법과 예방책

이렇게 다양한 형태의 악성코드로부터 컴퓨터를 보호하려면 어떻게 해야 할까요? 가장 중요한 것은 예방입니다.

먼저 백신 프로그램을 항상 최신 버전으로 업데이트하고 정기 검사를 실시해야 합니다. 컴퓨터와 소프트웨어도 최신 상태로 유지하는 것이 중요합니다. 워너크라이(WannaCry)와 같은 웜은 패치되지 않은 취약점을 악용하여 확산됩니다. 패치와 보안 업데이트를 즉시 적용하면 웜이 악용하기 전에 이러한 보안 격차를 해소하는 데 도움이 될 수 있습니다.

방화벽은 실시간으로 활성화시키고, 출처를 모르는 수상한 메일을 열거나 링크를 클릭하지 않는 것도 중요합니다. 신뢰할 수 없는 웹사이트에서 파일을 다운받거나 실행하지 말고, 이메일 첨부파일이나 이미지 파일을 열 때도 주의해야 합니다.

특히 기업의 경우 엔드포인트 보안 솔루션을 통해 멀웨어 감염을 식별하고 치료할 수 있어야 하며, 이메일 보안 솔루션으로 악성 콘텐츠를 사전에 차단하는 것이 필요합니다.

결론: 정확한 이해가 최고의 방어책

지금까지 헷갈리기 쉬운 멀웨어, 바이러스, 웜의 차이점에 대해 자세히 알아보았습니다. 핵심을 정리하면 다음과 같습니다.

멀웨어는 모든 악성코드를 포괄하는 상위 개념이고, 바이러스는 숙주 파일이 필요한 기생형 악성코드, 웜은 독립적으로 네트워크를 통해 전파되는 악성코드, 트로이목마는 정상 프로그램으로 위장하여 백도어를 생성하는 악성코드입니다.

각각의 특징과 위험성을 정확히 이해하고 적절한 대응책을 마련하는 것이 사이버 보안의 첫걸음입니다. 기술이 발전할수록 악성코드도 함께 진화하고 있지만, 기본적인 보안 수칙을 철저히 지키고 항상 경계심을 늦추지 않는다면 충분히 안전한 디지털 환경을 만들 수 있을 것입니다.