본문 바로가기

신동아 로고

통합검색 전체메뉴열기

정보 통신

당신 컴퓨터의 비밀이 샌다

‘정보의 바다’에 판치는 해킹 프로그램 ‘트로이의 목마’

  • 글: 장영준 안철수연구소 시큐리티 대응센터 연구원 zhang95@ahnlab.com

당신 컴퓨터의 비밀이 샌다

2/4
트로이의 목마 프로그램은 대부분 동일한 유형의 형태를 가지고 있다. 그 구조를 흔히 서버와 클라이언트 구조라고 말하는데, 이는 우리가 웹 서버나 기타 다른 여러 서버에 접속을 하여 서비스를 요청하고 그 해당 서버는 서비스를 제공해주는 것과 동일한 형태를 갖고 있다. 여기서 서비스를 받고자 요청하는 컴퓨터가 클라이언트이고, 서비스를 제공하는 컴퓨터가 바로 서버다. 웹 서핑을 하거나 이메일을 주고받는 등 인터넷을 통해 이루어지는 모든 네트워크 행위는 한마디로 ‘서버와 클라이언트 사이에서 일어나는 일’이라고 정리할 수 있다.

트로이의 목마 프로그램에서 서버 파일은 해킹을 하려고 하는 컴퓨터에 몰래 잠입해 실질적으로 실행이 되는 프로그램을 말한다. 만약 개인 컴퓨터에 컴퓨터 바이러스 백신이나 개인용 방화벽이 설치되어 있지 않은 상태에서 이 서버 파일이 실행된다면, 서버 파일은 어떠한 제약없이 마음대로 활동할 수 있다. 이 서버 파일이 실행되고 있는 컴퓨터는 해커에게 자신의 주인과 동일한 모든 권한을 제공한다. 키보드 앞에 앉아 있는 사람과 인터넷을 통해 원격조정하는 해커를 구별할 수 없게 되는 것이다. 즉 서버 파일은 트로이의 목마 안에 숨어 있던 그리스 군인들과 동일한 역할을 맡는 셈이다.

원격지에 있는 해커는 서버 파일에게 서비스를 요청하는 클라이언트 파일을 갖고 있다. 이 클라이언트 파일이 해킹당하는 컴퓨터를 조정하는 일종의 리모컨 역할을 하는 것. 그러므로 아무리 멀리 떨어진 지역에 있는 컴퓨터라해도 서버 파일이 실행 되고 있다면 그 거리에 상관없이 클라이언트 프로그램을 이용해 마음대로 조정할 수가 있게 된다.

컴퓨터와 컴퓨터 사이에 통신이 이루어져 데이터를 전송하기 위해서는 컴퓨터에 포트(Port)라는 가상의 출입구가 열려 있어야 한다. 우리가 인터넷에서 웹 서핑을 하는 경우에는 해당 서버의 80번 포트로 연결을 요청하게 되고 이 포트를 통해 여러 서비스를 받을 수 있다. 한편 이메일을 보낼 때는 해당 메일 서버의 25번 포트에 접속하여 서비스를 받는다.

이처럼 서버는 일정한 출입구가 열려야만 서비스를 제공할 수 있다. 트로이의 목마 프로그램의 서버 파일 역시 동일한 특성을 갖고 있다. 서버 파일이 실행되면 원격지에 있는 해커들이 개인 사용자의 컴퓨터에 침입할 수 있도록 이 가상의 출입구인 특정한 포트를 제 마음대로 열고 닫는다. 출입구가 열리면 해커는 해당 컴퓨터의 CD롬 드라이브를 여닫거나 윈도를 사용하고 있는 사용자를 로그오프 시켜버리는 등 컴퓨터를 마음대로 조정할 수 있다. 물론 S기자의 경우처럼 해당 컴퓨터의 사용자와 실시간으로 메시지나 채팅을 주고받을 수도 있다.



그러나 이러한 다양한 가능성 중에서 개인 사용자들이 주의를 기울여야할 가장 위험한 기능은, 트로이의 목마 프로그램이 개인 사용자가 현재 입력하고 있는 모든 키보드 입력 값을 실시간으로 원격지에 있는 해커들에게 전송하거나 키보드 입력 값을 저장하여 그 저장된 정보를 해커들에게 이메일로 전송할 수도 있다는 사실이다. 보통 스크린에는 ‘****’로 처리되어 나타나지 않는 비밀번호나 사이버 증권거래 암호까지도 해커가 확인할 수 있는 것은 이 때문이다.

창과 방패

그렇다면 트로이의 목마 프로그램의 서버 파일을 개인 컴퓨터에 설치하기 위해서는 어떤 방법이 사용될까. 쉽게 말해 컴퓨터가 프로그램을 다운받을 수 있는 모든 경로가 다 해당된다.

첫째는 직접 감염 방식. 트로이의 목마 서버 파일은 그 크기가 상당히 작아서 일반 플로피 디스켓에도 얼마든지 저장이 가능하다. 이렇게 저장이 된 서버 파일을 해커가 직접 상대방의 컴퓨터에 설치하면 가장 확실한 방법이 될 것이다. 남은 일은 원격지에서 해당 컴퓨터를 들여다보거나 직접 조작하는 것뿐이다.

둘째는 앞에서 설명한 바 있는 이메일을 이용한 감염 방법이다. 인터넷에서 쉽게 구할 수 있는 이메일 주소를 통해 불특정 다수에게 트로이의 목마 프로그램의 서버 파일을 뿌리는 방법이 자주 사용된다. 물론 서버 파일은 개인 사용자의 호기심을 유발할 수 있는 프로그램의 명칭으로 변경하거나 유용한 프로그램 내부에 삽입해 보내게 된다. 특별히 보안자료를 열어보고 싶은 컴퓨터가 있는 경우에는 그 사용자에게만 메일을 보내는 방법으로 공격상대를 한정할 수도 있다.

셋째는 와레즈 사이트 등에 불법적으로 게시해놓은 정품 소프트웨어의 설치 파일 사이에 트로이의 목마의 서버 파일을 삽입하는 방식이 있다. 이 경우에도 개인 사용자는 아무런 의심 없이 불법 게시된 정품 소프트웨어를 설치하지만, 이때 그 뒷면에 같이 포함돼 있는 트로이의 목마 서버 파일도 설치됨으로써 침입경로를 만들어주는 것이다.

이제 적의 정체와 공격루트를 알았으니 방어전략을 수립할 차례다. 트로이의 목마 프로그램으로부터 자신의 컴퓨터를 보호하여 해커의 원격조정을 막을 수 있는 가장 좋은 방법은 컴퓨터 바이러스 백신 프로그램과 개인 사용자를 위해 개발된 개인용 방화벽 프로그램을 설치하는 것이다.

대부분의 백신 프로그램은 바이러스뿐 아니라 트로이의 목마 같은 해킹 프로그램 역시 진단하고 삭제할 수 있는 기능들을 포함하고 있다. 한편 개인용 방화벽 프로그램은 외부에서 개인 사용자가 잘 알지 못하는 특정 출입문을 열기 위해 접속을 시도하거나, 반대로 컴퓨터가 사용하지 않는 출입문을 열려 할 때 이를 모두 감지해 사용자에게 통보하고 막는 기능을 갖고 있다.

2/4
글: 장영준 안철수연구소 시큐리티 대응센터 연구원 zhang95@ahnlab.com
목록 닫기

당신 컴퓨터의 비밀이 샌다

댓글 창 닫기

2019/11Opinion Leader Magazine

오피니언 리더 매거진 표지

오피니언 리더를 위한
시사월간지. 분석, 정보,
교양, 재미의 보물창고

목차보기구독신청이번 호 구입하기

지면보기 서비스는 유료 서비스입니다.