1. 개요
Trojan horse정상적인 프로그램으로 위장한 악성코드. 이름의 유래는 트로이 전쟁의 트로이 목마다.[1] 한국에 처음 소개되던 1980년대말에는 언론이건 컴덕들이건 트로이 목마 '바이러스'라고 불렀지만[2] 최근에는 대다수 악성코드가 트로이 목마를 전제로 웜과 바이러스 기능을 동시에 가지고 있기에 이들을 칼같이 구분하지 않는다.
2. 역사
최초의 트로이 목마는 1951년 UNIVAC이라는 영업용으로 출시된 최초의 컴퓨터에서 실행되는 ANIMAL이라는 게임으로, 트로이 목마 악성코드의 목적처럼 특정 악의적인 행동이나 피해를 주는 작동을 하진 않지만 게임 자체가 트로이 목마 형태의 구동방식을 띠고 있는지라 최초의 트로이 목마로 정의되고 있다.3. 특징
출처 : 동아일보 |
정상적인 프로그램으로 위장하여 시작부터 끝까지 램에 상주하며 시스템 내부 정보를 공격자의 컴퓨터로 빼돌리는 프로그램이다. 이들은 웜과 달리 직접 전파 능력이 없으며 웹하드, P2P, 메일 등의 간접적 전파 경로로 사용자에게 전달된다. 사용자는 트로이 목마가 숨어 있는 프로그램을 실행하여 결국 감염된다. 어떤 의미로는 좀비 PC와 유사한데, 좀비 PC처럼 내부정보 유출뿐만 아니라 컨트롤까지 가능한 종류가 있고 단순히 내부 데이터만 유출할 수 있는 타입의 트로이 목마가 있다.
원래 있던 정상적인 프로그램에 기생하는 것이 아니라 설치하는 순간부터 이미 프로그램에 포함돼 있다. 즉 개발자가 개발 단계부터 의도적으로 트로이 목마를 무료로 포함시켜 주는 거다. 출처가 불분명한 프리웨어 프로그램을 주의해야 하는 이유가 바로 이런 이유 때문이다.
트로이 목마의 거의 99.9%는 불법 파일이나 프로그램 등을 다운로드할 때 전파된다. 누군가가 온라인에 파일을 공유하면 해커가 그 파일에 몰래 트로이 목마를 심어놓고 그 파일을 누군가가 다운받으면 트로이 목마가 파일인 양 위장해서 들어가는 방식이다. 프리서버[3]의 게임 클라이언트로 전파되는 경우가 흔하다. 예전에는 메일로 위장해서 들어오는 경우도 있었으나 요즘은 메일로 들어오는 경우는 거의 없고 거의 저런 경우가 대부분이다.
즉 이런 것만 줄여도 트로이 목마를 어느 정도는 예방할 수 있다는 것이다. 요즘은 워낙 보안 프로그램들이 발달해서 트로이 목마가 만에 하나 들어오려 해도 이걸 감지하고 삭제해 주는 경우도 많다. 그러나 보안 프로그램이 감지하지 못하는 트로이 목마는 분명 있을 것이고 언제까지 보안 프로그램만 믿을 순 없기 때문에 미리 예방하고 대처하는 자세가 제일 중요하다.
상용프로그램에도 들어있는 경우가 있는데, 이런 경우는 99%가 불법복제로 설치되는 프로그램이다. 이런 경우는 멀쩡한 정품 프로그램 데이터 안에 트로이 목마도 포함시켜 설치되게 하는 경우다.[4][5] 아주 드문 경우지만 정품 상용 프로그램에 들어있는 경우도 있다. 보통 이런 경우는 고객 몰래 마케팅을 조사하기 위한 용도로 쓰인다.
4. 종류
무수히 많은 종류의 트로이 목마가 존재한다. 보통 우리가 바이러스라고 부르는 악성코드도 사실 엄밀히 따지면 트로이 목마인 경우가 많다. 사실 바이러스처럼 자기복제와 파일 감염에 초점을 맞춰 개발된 악성코드는 최근에는 그 수가 많지 않다. 특히나 방화벽이 운영체제에 기본적으로 포함되다시피 하게 된 현재는 컴퓨터로 침투하려면 안에서 열어주는 행위가 필수적이다보니 더 그렇다.나무위키에 문서가 작성된 트로이 목마는 다음과 같다.
- 랜섬웨어: 대부분의 랜섬웨어가 트로이 목마로 분류된다. 다만 일부 랜섬웨어는 웜으로 분류되기도 한다.
- V3RES Trojan
- 000
- y 바이러스
- MEMZ
- lose/lose
- NoEscape 바이러스
- MrsMajor
- 포트리스2 슈퍼탱크 패치
- Solaris.exe
5. 기타
가끔 퍼블리셔에서 지원하지 않는 방법으로 DRM을 제거한, 소위 크랙이 된 소프트웨어를 사용할 때 보안 프로그램에서 트로이 목마 바이러스가 발견되었다고 뜨는 경우가 있다. 치료하면 그 프로그램이 실행이 안 되고 보안 프로그램을 꺼두면 프로그램이 실행된다. 물론 보안 프로그램을 함부로 껐다간 컴퓨터 문제가 발생할 수도 있으니 주의.부팅이 느려지거나 부팅시 이상한 프로그램이 시작되는 등 시스템 파일이 감염된 것 같다면 제어판의 시스템 복원을 사용해 감염 전 날짜로 복원하면 된다. 물론 바이러스나 웜에 감염되어 있는 상태라면 이 시스템 복원 데이터에도 악성코드가 포함되어 있어 시스템 복원을 하고도 악성코드가 다시 되살아날 수 있다.
트로이 목마 대회도 있다. 유튜버 Itzsten이 주관하며 가장 시각효과가 화려한 트로이 목마를 선정해 상을 주는 식. 대표작으로[경고] Monoxide[7], Solaris[8], Sulfoxide[9]이 있으며 여기 출품되는 트로이 목마들은 범죄가 아닌 대회용으로 만들어진 만큼 실수로 컴퓨터를 망가트리지 않도록 프로그램 경고창을 띄워줄 뿐만 아니라, 절대로 범죄에 사용하지 말고 가상 머신에서만 돌리라고 경고한다. 그리고 이 목적으로 만들어진 트로이 목마들은 상당수 제작자들이 소스 코드를 GitHub 등에 공개한다.
FBI에서는 트로이 목마의 특징을 잘 활용해서 ANOM(아놈)이라는 가짜 어플리케이션을 통해 범죄조직 소탕에도 성공한 사례가 있다. 출처
6. 관련 문서
[1] 현실의 트로이 목마도 선물로 위장한 목마 안에 병사를 태워 보내 피해를 입히는 용도였고, 이 바이러스는 멀쩡해보이는 프로그램에 바이러스를 넣어 둔 것이니 얼추 비슷하다고 볼 수 있다.[2] 당시 국내에는 PC통신조차 막 생기기 시작했기 때문에 통신망을 통해 퍼지는 웜이나 악성코드란 개념 자체가 없었고, 컴퓨터 바이러스는 대부분 디스켓으로 프로그램을 불법복제하는 과정에서 묻어다녔기에 컴퓨터 유저들은 바이러스란 개념은 알고 있었다. 언론에서도 이 신문물(?)을 크게 다루었기에 인지도도 높았다. 그리고 이런 배경으로 크게 인지도를 높인 사람이 바로 V3을 무료 배포한 안철수다.[3] 온라인 게임에서 공식으로 제공하는 서버가 아닌 허가받지 않은 개인이 운영하는 게임 서버.[4] 그래놓고 바이러스 있다고 하면 오진이니 실시간 검사를 끄라는 말을 뻔뻔스럽게 하는 업로더들을 볼 수 있다. 물론 그걸 꾸역꾸역 불법복제로 써먹으려는 사람들도 거기서 거기.[5] 다만 진짜로 오진인 경우도 많다. 대부분 윈도우 디펜더쪽에서 발생하는데 이건 윈도우 디펜더측에서 의심되는 프로그램을 싸잡아 트로이목마로 판정때려버리기 때문.[경고] 번쩍거리는 섬광과 화면이 나오니 광과민성 발작이 있는 사람은 시청에 주의를 바란다.[7] 유튜버 iShowSpeed가 본인 컴퓨터에다 직접 실행해버리는 기행을 저지르기도 했다.[8] 하드와 사용자의 눈를 작살낸 뒤 마지막으로 70KB 크기의 플레이 가능한 3D 게임을 준다![9] Monoxide의 후속작이다.