최초의 컴퓨터 바이러스가 등장한 지 어느덧 20년이 흘렀다.
지금까지 등장했던 ‘최악’의 10대 바이러스와 웜에 대해 소개한다.

1980년대 초반만해도, 다른 프로그램을 감염시킴으로써 자가 복제를 하는 프로그램인 컴퓨터 바이러스는 대부분 실험실 내부에서만 존재했었다. 일부 바이러스가 애플Ⅱ 플랫폼에 대한 침투를 시도했지만 대부분 컴퓨터 연구원들에 의해 통제되었다.
그 이후 브레인(Brain)이 등장했다. 1986년 초에 발견된 이 바이러스는 자가 복제를 하는 소프트웨어로, 최초의 PC 바이러스로 기록되고 있다. 5.25인치 플로피 디스켓을 통해 전파되던 브레인은 현재의 바이러스 전파 속도에 비하면 매우 느렸지만 현재 안티바이러스 업계에서 진행되고 잇는 바이러스와 웜, 멜웨어 등의 싸움을 감안해본다면 당시에도 브레인 바이러스가 매우 대응하기 어려웠던 ‘선구자’ 였음에는 틀림없다. 아래에서는 지금까지 역사상 최악의 바이러스에는 어떤 것들이 있었는지 살펴보도록 한다.

CIH

1998년 6월 대만에서 출현한 CIH는 전세계의 PC 데이터를 파괴하면서 2천만~8천만 달러의 피해를 입힌 것으로 추정된다. 윈도우 95와 98, ME 실행 파일을 감염시켰으며 PC의 메모리에 잠복했다가 다른 실행 파일도 감염시켰다.
CIH의 피해가 컸던 이유는 바이러스가 실행되자마자 PC의 하드 드라이브에 있는 데이터를 덮어씀으로써 운영을 할 수 없도록 만들었기 때문이다. 또한 호스트의 BIOS도 덮어쓸 수 있어 부팅을 할 수 없게 했다. 또한 CIH가 실행 파일을 감염시키기 때문에 게임을 포함한 여러 소프트웨어의 실행 자체가 불가능했다.
CIH는 체르노빌 바이러스로도 불리는데, 체르노빌 원자력발전소 사고가 발생한 날과 CIH가 발생한 날이 일치하기 때문이다. 이 바이러스는 윈도우2000과 XP, NT 등 CIH에 취약하지 않은 버전으로의 업데이트로 인해 현재에는 심각한 위협이 되지는 않고 있다.

멜리사(Melissa)

1999년 3월 26일 금요일, W97M/Melissa 바이러스가 전세계의 뉴스 헤드라인을 장식했다. 모든 기업용 PC의 워드 매크로 스크립트 중 15~20%가 감염되어 3억~6억 달러의 피해를 입었다. 이 바이러스는 급속도로 퍼졌기 때문에 마이크로소프트 아웃룩을 사용하던 인텔과 마이크로소프트 및 수많은 기업들이 피해를 막기 위해 전체 이메일 시스템을 차단해야만 했다.
이 바이러스는 마이크로소프트 아웃룩을 사용해 바이러스가 담긴 파일을 받은 사람이 첨부 파일을 열 경우 즉시 감염되며, 감염된 사용자의 주소록에 있는 50명에게 이메일을 보내 바이러스를 전파시킨다. 멜리사 바이러스는 ‘중요한 메시지’인 것처럼 위장했다. 이메일에 “당신이 요구한 문서입니다. 다른 사람에게는 보여주지 마세요”라고 영어 문구가 있으며, 첨부된 워드 문서와 함께 발송된다. 해당 문서를 클릭하면 바이러스가 호스트를 감염시키고 복제를 반복하게 된다. 멜리사 바이러스는 사용자의 워드 문서의 매크로 기능을 임의대로 변경해 피해를 입힐 수 있다.

ILOVEYOU

레브러터나 러브 버그(Love Bug)로도 알려져 있는 이 바이러스는 비주얼 베이직 스크립트 바이러스로, 연애 편지로 위장해 메일로 발송된다. 2000년 5월3일에 처음 유포된 ILOVEYOU 바이러스는 홍콩에서 처음 발견되었다. ‘ILOVEYOU’라는 제목과 함께 Love-Lettet-For-You.TXT.vbs라는 첨부 파일이 포함되어 이메일로 전송되면 멜리사처럼 마이크로소프트 아웃룩 주소록을 타고 전파된다.
이 바이러스는 또한 음악 파일과 이미지 파일 등을 다른 복제 파일로 덮어쓴다. 아울러 감염된 시스템의 사용자 ID와 비밀번호를 빼내 이메일로 유포자에게 전송하기도 한다. 피해액은 100~150억 달러에 이르는 것으로 추정된다.
흥미로운 것은, 이 바이러스를 제작한 필리핀 청년은 당시 필리핀에서 바이러스 유포에 대한 법적 처벌 규정이 없어 아무런 처벌도 받지 않았다는 점이다.

코드 레드(Codr Red)

코드 레드는 네트워크 서버나 인터넷을 통해 전파되는 바이러스로, 2001년 7월 13일에 처음으로 네트워크 서버에서 발견되었다. 특히, 마이크로소프트의 인터넷 인포메이션 서버(IIS) 웹 서버에 구동하는 컴퓨터를 타깃으로 했기 때문에 치명적인 버그였다. 이 웜은 IIS 운영체제의 특정 취약점을 공략할 수 있었다. 재미있는 점은 마이크로소프트가 6월 중순에 이미 이러한 취약점 해결을 위한 패치를 발표했었다는 것이다.
베이비(Baby)로도 알려진 코드 레드는 막대한 피해를 입히도록 개발되었다. 감염될 경우, 감염된 서버에 의해 통제되는 웹사이트에 “안녕하세요! http://www.worm.com에 오신 것을 환영합니다! 중국인에 의해 해킹 당했습니다!”라는 영어 문구가 뜬다. 그런 다음에는 다른 취약한 서버를 찾아 감염시킨다. 바이러스 공격은 약 20일 동안 지속되었으며, 미국 백악관의 웹 서버를 포함해 특정 IP 주소에 대한 서비스 거부 공격을 감행했다. 일주일도 안되어 40만 대의 서버를 감염시켜 26억 달러 규모의 피해를 입혔으며, 백만 대의 컴퓨터를 감염시켰다.

SQL 슬래머(Slammer)

사파이어(Sapphire)로도 알려진 SQL 슬래머는 2003년 1월 25일에 출현했다. 과도한 인터넷 트래픽을 유발한 이 바이러스는 최종 사용자의 PC가 아닌 서버를 타깃으로 삼았다는 점에서 흥미롭다. 376바이트의 작은 패킷 하나로 임의의 IP 주소들을 생성하고 그러한 IP 주소로 다시 전송함으로써 SQL 서버를 감염시켰으며 이와 동시에 초당 20Mbps의 트래픽을 발생시켰다. 마이크로소프트의 SQL 서버 데스크톱 엔진이 패치를 갖고 있지 않을 경우 순식간에 감염되며 전파된다.
SQL 슬래머는 단 10분만에 75,000대의 컴퓨터를 감염시켰다. 전세계 라우터에 과도한 트래픽을 발생시켜 인터넷을 마비시켰다. SQL 슬래머가 토요일에 발생해 피해는 적었지만 전세게 50만 대의 서버를 공격했으며, 한국의 인터넷 접속이 12시간 동안 불통되는 사태를 초래했다.

블래스터(Blaster)

2003년 여름은 PC를 구동하는 기업들에게 매우 힘든 시기였다. IT 전문가들은 블래스터와 소빅(Sobig) 웜이 잇달아 출현하면서 이에 대응해야 했다. 러브샌(Lovesan)이나 MSBlaster로도 알려진 블래스터가 먼저 등장했다. 이 바이러스는 8월 11일에 처음 탐지되어 이틀 만에 급속히 확산되었다. 네트워크와 인터넷 트래픽을 통해 전송된 이 웜은 윈도우 2000과 윈도우 XP의 취약점을 공격했으며, 활성화 될 경우, 시스템을 재시동한다는 메시지가 뜨며 시스템을 종료하는 경우가 발생한다.
MSBLAST.EXE의 코드에 숨겨진 이 바이러스의 실행 파일에는 마이크로소프트의 빌 게이츠 회장을 겨낭한 다음과 같은 “LOVE YOU SAN(사랑하오 성인군자 나리)!! 빌 게이츠, 당신은 왜 이런 해킹이 가능하게 하는가? 돈 벌 생각 그만하고 소프트웨어부터 손 봐라!!”라는 영문 메시지가 있다.
이 바이러스는 수 십만대의 PC를 감염시켜 20~100억 달러의 피해를 입힌 것으로 추산된다.

Sobig.F

소빅 웜 중에서 파괴력이 가장 큰 변종은 Sobig.F로, 후에 마이둠(MyDoom)에 의해 기록이 깨지긴 했지만 역사상 가장 빠른 속도로 전파된 웜으로서, 8월 19일에 출현한 지 24시간 동안 1백만 개의 복제판을 만들어냈다.
이 바이러스는 application.pif와 thank_you.pif 등의 이름이 붙은 이메일 첨부파일을 통해 호스트 컴퓨터를 감염시켰다. 활성화될 경우, 이 웜은 로컬 파일 형태의 호스트에 위치한 이메일 주소록을 통해 전송된다. 2003년 10얼 10일, 50~100억 달러 규모의 피해를 입히고 백만 대 이상의 PC를 감염시킨 다음 자체적으로 비활성화되었다. 마이크로소프트는 Sobig.F의 유포자를 제보하는 사람에게 25만 달러의 현상금을 지불하겠다고 발표했지만 지금까지 체포되지 않고 있다.

베이글(Bagle)

고전적이지만 정교한 웜인 베이글은 2004년 1월 18일에 등장했다. 이 악성 코드는 전통적인 메커니즘인 이메일 첨부파일을 통해 사용자의 시스템을 감염시킨 다음에 복제로 사용되는 이메일 주소를 위해 윈도우 파일을 검색한다.
베이글 및 베이글의 60~100여종의 변종에 PC가 감염될 경우 감염된 시스쳄에서의 데이터 접근을 위해 원격지 사용자들과 애플리케이션에 의해 사용되는 TCP 포트에 대한 백 도어를 제공한다는 점에서 위험성이 크다. 이 웜은 일반적으로 자신의 이름을 알리고자 하는 해커에서 금전적인 이득을 취하려는 ‘범죄자’로 이동하는 멀웨어(Malware)의 본격적인 활동을 알리는 ‘신호탄’이 되었다.
베이글.B 변종은 2004년 1월 28일 이후에 활동을 중지하도록 개발되었지만 그 이후에도 수많은 변종이 연이어 등장하면서 현재까지도 활동을 계속하고 있다. 베이글 웜은 수천만 달러의 피해액을 입힌 것으로 추산된다.

마이둠(MyDoom)

2006년 1월 26일, 마이둠은 불과 몇 시간 만에 이메일을 통해 인터넷을 타고 엄청난 속도로 전파되어 전세계를 충격으로 몰아넣었다. 이 웜은 특정한 우회 방법을 통해 전파되었는데, “메일 송수신 오류(Mail Transaction Failed)”라는 제목으로 이메일 에러 메시지처럼 보이게 위장하면서 첨부파일을 통해 전송되었다. 첨부파일을 클릭하면서 주소록의 이메일 주소로 웜이 전파된다. 마이둠은 또한 사용자의 카자(Kazza) P2P 네트워킹 계정의 공유 폴더를 타고 전파될 수도 있다.
전파 속도가 절정에 올랐을 때, 마이둠은 전세계 인터넷 속도를 크게 떨어뜨렸으며, 웹 로드 시간도 50%로 줄어들게 했다. 보안 전문가들은 마이둠이 퍼지기 시작한 몇 시간 동안 발송된 10개의 이메일 메시지 중 하나당 이 바이러스가 포함되어 있는 것으로 추정하고 있다. 마이둠은 2004년 2월 12일 활동을 중단하도록 프로그래밍되었다.

사세르(Sasser)

사세르는 2004년 4월 30일에 퍼지기 시작했으며, 일부 프랑스의 뉴스 방송국의 위성 통신을 중단시킬 만큼 파괴력이 높았다. 또한 델타 항공의 일부 운항을 취소시켰으며, 전세계 수많은 기업들의 시스템을 중단시키는 결과를 초래했다.
이전에 등장했던 대부분의 웜과는 달리, 사세르는 이메일을 통해 전파되지 않으며, 사용자의 상호작용을 요구하지도 않는다. 대신에, 윈도우 2000과 윈도우 XP 시스템이 갖고 있는 보안의 취약점을 공략했다. 성공적으로 복제될 경우, 이 웜은 보안이 취약한 다른 시스템을 찾아낸 다음, 자가 복제를 계속한다. 감염된 시스템은 시스템이 계속 중단되며 수천만 달러의 피해를 입게 되었다.
사세르는 17세의 독일 고등학생에 의해 제작되었는데, 그는 이 바이러스를 자신의 18번째 생일에 유포했다. 당시 미성년자였기 때문에 독일 법원은 그에게 집행 유예의 판결을 내렸다. @

George Jones(InformationWeek)


흥미로운 자료예열.