지난해에 비해 바이러스의 종류와 피해범위는 증가했으나 백신프로그램의 활발한 보급으로 피해양상은 차츰 개선되고 있다.
국내에서 컴퓨터바이러스에 대해 빨간 불이 처음 켜진 것은 올림픽준비가 막바지단계에 이르렀던 88년 5월 올림픽전산센터에 브레인바이러스가 발견되면서 부터다. 통신용 에뮬레이터를 통해 침투한 이 바이러스의 존재가 확인되자 전산센터는 디스켓을 새것으로 전부 바꾸는 등 한바탕 소란을 피웠으나 다행히 프로그램운영상의 차질은 없었다. 디스크의 볼륨(volume)명을 '(c)brain'으로 바꾸는 브레인바이러스는 데이터를 파괴하거나 시스템을 정지시키는 악성바이러스가 아닌 양성바이러스에 속했기 때문이다.
브레인바이러스 발견을 계기로 컴퓨터 사용자들은 남의 나라 얘기로만 여겼던 바이러스피해가 더 이상 '강건너 불'이 아니라는 사실을 인식하게 됐다. 그리고 바이러스의 속성상 한번 발견되기 시작하면 순식간에 번져간다는 점을 뒤늦게 깨닫기 시작했다.
88년 한해동안 잠복기를 거쳐 89년부터 각종 바이러스 프로그램들이 여기저기서 나타났다. 브레인바이러스 외에 LBC바이러스 스톤바이러스 예루살렘 바이러스(13일의 금요일 바이러스) 일요일 바이러스 등등.
89년 초중고교 컴퓨터보급이 시작되면서 국내 PC시장이 급속히 확대되고 프로그램의 무단복제가 성행해 바이러스의 전파속도 또한 상상을 초월했다. 더구나 당시 유행했던 게임프로그램 '테트리스'가 바이러스를 전파시키는데 한몫을 톡톡히 했다. 컴퓨터사용법을 잘 모르는 사람들이 이 게임을 즐기기 위해 너도 나도 디스켓을 복사해가 그 속에 바이러스프로그램이 들어있는 것도 모르고 마구 사용했기 때문이다.
각 기업체의 사무실과 대학의 전산실 등을 통해 번져가던 바이러스는 급기야 연구소와 은행 그리고 정부기관의 컴퓨터에까지 손을 뻗쳤다. 89년말 과기처의 일부 PC들에 13일의 금요일 바이러스가 침투됐음이 확인됐고 이듬해에는 한국 표준연구소의 한 연구실에서도 이 바이러스의 변종이 발견됐다. 연구소마다 컴퓨터 앞에는 점심시간이나 쉬는 시간에 게임하는 것을 금지하는 문구들이 눈에 띄었고 데이터를 따로 보관하거나 백신프로그램을 구하는 등 불의의 사고에 대비하려는 모습들도 두드러졌다.
지난해 봄 워커힐호텔에서 열린 OSI(개방형컴퓨터국제기구)회의에서는 회의장에 설치된 컴퓨터에 바이러스가 발견돼 관계자들을 긴장시켰다. '예루살렘B형'으로 밝혀진 이 바이러스는 프로그램의 진행을 방해할 뿐아니라 자기증식을 계속해 미리 발견하지 않았더라면 그날 회의가 큰 차질을 빚을 뻔했다. 출처를 조사한 결과 한 외국대표가 바이러스가 담긴 디스켓을 사용했다는 사실이 밝혀졌다.
최신형「어둠의 복수자」
통신망을 통한 바이러스피해도 적지 않다. PC보급이 1백만대를 넘어서면서 케텔(KETEL, 한국경제신문) PC서브(데이콤) 하이텔(HITEL, 한국통신) 등 대규모 PC통신망 뿐아니라 사설BBS(전자게시판)들이 잇따라 개설됐는데, 이들 통신망이 회원확보를 위해 각종 프로그램을 공개자료실에 올리다보니 이 프로그램을 통해 자연스럽게 바이러스가 전국적으로 확산됐다. 심지어는 일부 컴퓨터잡지에서 부록형식으로 보급한 디스켓에서 바이러스가 발견되기도 했다.
지난해부터 국내에서 제작된 것으로 보이는 바이러스들도 나타났다. 이병철바이러스란 별명을 갖고있는 LBC바이러스(일명 코리아바이러스)는 악성바이러스이면서 국내에서 최초로 제작한 바이러스로 보인다. 바이러스분석가 안철수씨에 따르면 이 바이러스는 프로그램중에 'virse program messge Njh to Lbc'라는 메시지가 나오는데 여기서 Njh나 Lbc는 한국인의 영문명 첫글자로 짐작된다고 한다. 또 virse나 messge는 virus와 message의 오기(誤記)로 생각되는데 이외에도 철자법이 틀린 단어들이 더러 나오는 것을 봐서 제작자가 한국인일 가능성이 크다는 것이다. LBC바이러스는 하드디스크를 주로 공격해 디스크안에 내장된 데이터를 모두 못쓰게 만드는 등 큰 피해를 입혔다.
1130바이러스는 제작자가 국내인인 것으로 확인된 유일한 바이러스. 지난해 8월에 발견된 이 바이러스는 제작자가 케텔의 게시판에 사과문을 낸 것으로도 유명하다. 제작자는 원래 5월18일(광주 항쟁일)에 '518'이란 숫자가 깜빡이도록 만들 예정이었는데 그만 잘못 변형돼 11월30일에 '1130'이 깜빡이도록 바뀌어졌다고 해명 했다. 이 바이러스도 몇가지 변형과 함께 시중에 나돌고 있지만 그다지 큰 피해는 입히지 않는다.
이외에도 양파(Damanaegi)바이러스 벌꿀(Honey)바이러스 산(Mountain)바이러스 빈대(Bindae)바이러스 터미네이터(Terminator)바이러스 등 국내에서 제작된 것으로 보이는 바이러스들이 발견됐다.
올들어 기승을 부리는 바이러스로는 어둠의 복수자(Daik Avenger)바이러스 침입자(Invader)바이러스 미켈란젤로(Michelangelo)바이러스 등이 있다. 이 가운데 게임디스켓을 무단복사하는 과정에서 번진 어둠의 복수자 바이러스는 실행중인 프로그램을 중지시키고 데이터파일을 망가뜨리는 등 그 피해가 심했다. 암호를 풀면 'by Invader'라는 문구가 나오는 침입자바이러스는 부트섹터와 파일 어느 곳에서도 기생하는 독특한 바이러스. 대만에서 처음 만들어져 중국으로 건너가 변형된 다음 국내에 들어온 것으로 짐작된다.
한국정보산업연합회가 지난 3월 조사한 바에 따르면 90년말 현재 컴퓨터 사용 기업의 95.2%가 바이러스프로그램에 감염된 경험이 있는 것으로 나타났다. 이는 6개월전의 감염률 81.6%보다 13.6%나 높은 수치였다. 가장 많이 발견된 바이러스는 어둠의 복수자 바이러스(48.2%)와 예루살렘바이러스(47.3%)였다. 컴퓨터기종은 PC(개인용 컴퓨터)가 89.5% 로 압도적인 비중을 점했으며 게임프로그램(31.2%) 유틸리티프로그램(23%)을 사용할 때 바이러스가 발견되는 빈도가 높았다. 한편 바이러스 감염여부를 수시로 점검하며(89.1%) 백신프로그램을 사용하고 있다(92.7%) 응답은 6개월전(30%내외)보다 훨씬 높아졌다.
변종 포함 1천여종
다른 나라들도 컴퓨터바이러스로 인해 몸살을 앓고있다.
외국에서는 대형컴퓨터들이 연결된 통신망에 바이러스가 침범해 대량의 데이터를 몽땅 날려버리는 경우가 종종 있는데 이에 비하면 아직 IBM PC수준을 벗어나지 못하는 우리나라는 다행이라는 얘기도 나오고 있다.
컴퓨터의 발상지이자 해커들의 천국인 미국에서는 87년을 계기로 바이러스피해가 급증했는데, 미국 컴퓨터바이러스산업협회(CVIA)는 현재까지 변종을 포함해 1천여종의 바이러스를 발견했고 피해범위도 미국 전역의 컴퓨터 가운데 30% 가량이 감염됐을 것으로 추산했다.
87년 펜실베이니어주 러하이대학에서 러하이바이러스가 발견된 이래 IBM PC용 브레인바이러스, 매킨토시용 스코어즈바이러스 등이 광범위하게 퍼져있다. 최악의 바이러스피해는 88년 11월에 발생한 '인터네트'(Internet)사건. 미국의 주요 대학과 국방연구기관을 잇는 인터네트는 어느날 밤 한 바이러스 침범을 받았다. 이 바이러스는 한시간만에 미국 전역에 있는 6천여개 컴퓨터를 감염시켰고 이에 놀란 컴퓨터사용자들은 스스로 인터네트와의 연결을 끊어 버렸다. 다음날 인터네트의 복구에 나선 전문가들은 이 바이러스의 개발자가 26세의 코넬대 전산과 대학원생 로버츠 모리스라는 사실을 밝혀냈다. 인터네트사건은 한 대학원생의 장난이 국가안보에 치명적인 위협을 가할 수도 있다는 경각심을 일깨워 주었다.
유럽에서도 영국 왕립협회의 컴퓨터에 바이러스가 침입해 중요한 데이터를 모두 날려버린 적이 있으며, 87년 독일 함부르크의 카오스컴퓨터그룹이 NASA(미항공우주국)의 통신망에 들어가 우주관련 정보를 도용한 사건도 발생했다. 88년 3월 이스라엘 헤브류대학의 라카비라는 학생은, 88년 5월 13일에 맞춰 이 대학의 전체 자료파일이 한꺼번에 지워지도록 조작돼 있는 사실을 발견했다. 예루살렘바이러스가 처음 모습을 드러낸 순간이었다. 이 날은 팔레스타인인이 추방된지 꼭 40년이 되는 날이며 마침 13일의 금요일이었기 때문에, 이 바이러스는 이스라엘바이러스 PLO바이러스 13일의 금요일 바이러스 등으로 불리게 됐다.
89년 6월에는 태국의 은행전산 센터에 예루살렘바이러스가 침입, 고객에 대한 신용정보를 몽땅 못쓰게 만들었고 90년 7월에는 일본 고교생 40여명이 특정 회사의 요청으로 샤프사의 컴퓨터를 무력하게 만드는 바이러스를 개발, 사회적인 물의를 일으키기도 했다.
개발자는 해커(?)
바이러스 프로그램은 누가 만들어 내는가.
컴퓨터바이러스는 대개 10대 20대의 해커(hacker)들이 만들어 퍼뜨리는 것으로 알려져 있다. 컴퓨터 프로그래밍에 몰두한 해커들이 자신의 실력을 과시하기 위해 바이러스 프로그램을 개발한다는 것이다. 바이러스를 만든 해커들은 바이러스가 다른 프로그램의 작동을 중지시키고 자신의 메시지를 화면에 나타내 다른 사람을 놀라게 하는 순간 희열을 느낀다.
그러나 이러한 견해에 반론을 펴는 사람들도 있다. 피해가 심한 악성바이러스일수록 정교하게 만들어져 있기 때문에 해커들이 심심풀이로 짰다고 보기 힘들며 오히려 특정목적을 가진 사람들에 의해 의도적으로 만들어진다고 봐야 한다는 주장이다.
브레인바이러스를 개발한 파키스탄인 앰자드는 자신이 만든 소프트웨어가 불법복제로 헛수고가 되자 유명 소프트웨어를 복제해가는 외국인들에게 바이러스를 하나씩 끼워주었다고 한다.
미국에서는 경쟁사의 하드웨어나 소프트웨어를 파괴하는 바이러스를 만들어 퍼뜨리는 경우도 더러 발생한다. 심지어는 IBM PC 호환기종에 바이러스피해가 심한 이유를, IBM이 호환기종과의 경쟁에서 이기기 위해 일부러 바이러스 프로그램을 만들어 전파시키기 때문이라고 믿고 있는 사람들도 있다.
이와 관련 고려대 박명순교수(전산학과)는 흥미있는 실험결과를 공개했다. 전산학과 2학년생을 대상으로 하는 '어셈블리'(Assembly, 기계어)강좌서 학생들에게 바이러스에 걸린 프로그램을 주고 그 바이러스를 분석해 유사한 바이러스를 만드는 한편 이를 치료할 수 있는 백신프로그램도 만들라는 과제를 준 결과, 대부분의 학생이 일주일안에 그 과제를 해내더라는 것이다. 그러나 기존의 바이러스가 아닌 제법 짜임새 있는 신종 바이러스를 만들려면 적어도 전산학으로 학부과정을 마친 사람이 일정 기간 그 일에만 몰두해야 가능하다고 한다. 따라서 국내에서 종종 발견되는 변종 바이러스들은 해커들의 작품으로 인정되지만, 새로운 바이러스는 전문가가 특정 목적을 가지고 개발하지 않는 이상 만들기 어렵다는 분석이다.
IBM PC가 주공격목표
국내에서 이제까지 발견된 바이러스는 브레인바이러스 디스크킬러(Disk Killer) 조시(Joshi) 바이러스 LBC바이러스 예루살렘바이러스 느림보(Slow)바이러스 등 30여종에 이른다. 이 가운데 몇종류는 국내에서 제작된 것이지만 대부분은 소프트웨어 수입시 그 속에 포함돼 국내에 상륙한 것이다.
세운상가나 용산전자상가에 유통되는 소프트웨어 가운데 상당수는 미국이나 일본의 블랙마켓(black market, 소프트웨어를 싼값으로 복제해주는 곳)에서 들여온다. 특히 게임소프트웨어는 대부분 이 경로를 이용하므로 바이러스가 국내에 전파되는 통로가 되고 있다.
이제까지 국내에서 발생한 바이러스피해는 대부분 IBM PC에 집중되고 대형컴퓨터가 바이러스의 침입을 받았다는 보고는 아직 없다.
그 이유는 아직 대형컴퓨터를 잇는 통신망의 수가 적어 상대적으로 피해를 입을 가능성이 크지 않고, 대형컴퓨터의 경우 시스템에 억세스(access)할 때마다 출입자가 체크되므로 바이러스개발자를 적발하기 쉽다는 점을 들 수 있다. 이외에도 구조가 간단한 PC에 비해 대형컴퓨터는 많은 지식이 있어야 바이러스프로그램을 개발할 수 있다는 난점이 있다.
이에 비해 IBM PC의 운영체제(OS)로 쓰이고 있는 도스(DOS)는 개인용 컴퓨터에 알맞게 설계돼 바이러스의 침입에는 속수무책이다. 더구나 최근에는 기능이 향상된 도스 버전 4.0이나 5.0을 사용하는 유저들이 3.0버전에 맞춰 개발된 바이러스의 침입을 받아 엉뚱하게 더 큰 피해를 입는 사례가 자주 발생하고 있다.
대체로 정부기관이나 은행 연구소 등의 바이러스피해는 은폐되거나 축소되는 경우가 많다. 은행의 경우 바이러스가 발견되더라도 대외적인 신용문제 때문에 자체적으로 복구하는 방법을 찾게 된다. 반면 일반 PC이용자들의 바이러스피해는 과장되기 마련이다. 시스템이 불량하거나 프로그램에 에러가 발생한 경우에도 바이러스가 침입한 것으로 오인해 소동을 벌이기도 한다.
바이러스의 제작자는 특별한 경우를 제외하고는 알려져있지 않다. 대개 바이러스의 이름은 제작자가 작성한 메시지나(가령 브레인바이러스의 '(C)brain', 침입자 바이러스의 'by Invader') 바이러스의 특성(13일의 금요일 바이러스, 느림보바이러스)에 따라 정해진다. 1701바이러스 1451바이러스 등 숫자가 앞에 오는 바이러스는 그 숫자만큼 메모리의 바이트 수를 바이러스가 차지해버린다는 의미다.
V3와 스캔이 즉효
컴퓨터바이러스로 인한 피해를 막으려면 미리 예방을 하는 것이 최선의 방안이라고 전문가들은 입을 모은다. 일단 바이러스에 감염되면 복구하더라도 그 피해 정도에 따라 상당량의 데이터를 손실해야 할 경우가 생기기 때문이다.
PC에서 바이러스프로그램이 전염되는 경로는 두가지다. 첫째는 디스켓을 복사하거나 다른 사람의 디스켓을 이용할 경우다. 이를 막기 위해서는 최대한 불법복제를 삼가고 새로 프로그램을 구입한 때에는 바이러스체크 프로그램을 돌려 바이러스의 유무를 확인해야 한다. 그리고 사무실이나 학원의 컴퓨터같이 여러 사람이 함께 쓰는 PC에서는 부팅시 반드시 바이러스검색이 되도록 해두어야 한다. 그리고 프로그램 디스켓에는 쓰기 방지탭(writing protect tab)을 붙여 바이러스의 침투를 원천적으로 봉쇄한다.
두번째 경로는 통신망을 통해 데이터나 프로그램을 받는 경우다. 이 경우 마치 봉투에 든 우편물을 받는 것처럼 통신망을 통해 바이러스가 들어있는 프로그램을 받아들이게 된다. 이때 바이러스를 예방하는 방법은 될 수 있으면 크고 유명한 통신망에서 프로그램을 받아오는 것이다. 프로그램이 수록된 후 1~2주일 기다렸다가 안전여부가 확인된 후 받아오는 것도 한가지 방법이 된다. 프로그램을 받은 후에는 유틸리티프로그램이나 바이러스 체크프로그램으로 반드시 확인한다.
이외에 바이러스예방법으로는 중요한 데이터나 프로그램을 디스켓에 백업(backup)해두는 방법이 있다.
만약 바이러스에 걸린 것으로 짐작된다면 어떻게 해야하나.
먼저 백신프로그램이 있는 경우 이 프로그램을 돌려 바이러스의 존재유무와 종류를 알아낸다. 만약 백신프로그램이 없거나 갖고있는 백신프로그램이 그 바이러스에 효과가 없다면 이것 저것 만지지 말고 구입처나 주위의 전문가에게 문의하는 편이 낫다. 괜히 여러 프로그램을 작동시켜 바이러스의 전파를 돕거나 복구가능한 데이터 파일마저 지워버리는 수가 있기 때문이다.
백신프로그램은 바이러스를 체크하는 기능과 바이러스에 감염된 부분을 복구하는 기능 두가지를 가진 프로그램이다.
현재 안철수씨가 만든 V3백신 프로그램을 비롯, 바이러스캔(스캔, Viruscan) 클린업(Clean-Up) 플루샷(Flu shot) 등 외국에서 수입된 10여종의 백신프로그램을 시중에서 손쉽게 구할 수 있다.
스캔과 클린업은 미국의 맥아피연합(Mac Afee Associates)에서 셰어웨어(Share ware)형태로 제공하는 백신프로그램으로 8백93종의 바이러스에 대해 효과가 있다. 스캔은 주로 바이러스체크에 활용되며 클린업은 바이러스에 감염된 파일을 복구하는데 쓰인다. 지난 9월에 발표된 최신 버전은 각각 Viruscan 7.8V82와 Cleanup 7.8V82.
안철수씨가 개발한 V3는 국내에서 발견된 외국산 바이러스와 국내 제작 바이러스에 효과가 있다. 안철수씨는 서울대 의대에서 생리학을 전공한 의학도로 88년부터 컴퓨터바이러스에 대한 분석과 백신프로그램을 개발해 국내에서 컴퓨터바이러스에 관한 한 가장 많은 정보를 갖고 있다. V3는 한국산 바이러스 11종, 국내에서 발견된 외국산 바이러스 34종, 국내에서 아직 발견되지 않은 외국산 바이러스 7종 등 52종의 바이러스를 체크하고 치료하는 기능이 있다. 이외에도 최철룡씨가 개발한 '닥터', 박승제씨가 개발한 '킬러 콤'(Killer COM) 등이 있지만 요즘에는 잘 쓰이지 않는다. 최근에는 하드웨어적으로 바이러스를 치료하는 백신도 등장하고 있다.
백신프로그램을 사용하는데 문제점은 새로운 바이러스가 계속 출현하고 이에 따라 백신도 계속 새로운 버전이 발표되므로 여간 관심을 가지고있지 않고는 그 속도를 따라갈 수가 없다는 점이다. 가급적 자주 통신망을 통해 새로운 백신프로그램을 받는 것이 좋다. 또 바이러스의 종류가 워낙 다양하므로 백신프로그램을 이용 하더라도 바이러스를 체크하는데 많은 시간이 소요되는 불편이 있다.
간접피해가 더 크다
바이러스프로그램이 국내에서 발견된 지는 3년밖에 되지 않지만 전파속도가 매우 빠르고 PC이용자라면 누구나 한번쯤 바이러스의 피해를 입게 되자 한국정보산업연합회는 지난해 12월 기업 연구기관 사용자단체 등 2백41개 기관을 망라해 '컴퓨터바이러스대책협의회'를 결성했다. 이 협의회는 그 동안 바이러스침해실태를 두차례 조사했고 백신보급 및 연구조사활동을 벌이고 있다.
'바이러스보급의 창구'역할을 해왔던 통신망들도 이제는 예방 및 치료방법 보급에 앞장서고 있다. 한국데이타통신의 PC서브는 통신망내에 '컴퓨터바이러스광장'을 마련하고 국내에서 발견된 바이러스의 종류 증상 피해실태 등을 데이터베이스(DB)로 구축해 이용자들에 서비스하고 있다. 또 PC서브의 공개자료실에는 각종 백신프로그램이 올라와 있다.
안철수씨외에 바이러스분석과 백신개발에 힘쓰고있는 사람으로는 박명순(고대 전산학과 교수) 장진국(한국데이타통신 연구원) 지원우(프로그래머) 김한수(한양대생)씨 등이 있다.
'정보사회의 AIDS'로까지 지칭되는 컴퓨터바이러스는 이제 그 대응방법만 안다면 그다지 큰 걱정거리는 아니다. 그러나 전문가들은 바이러스로 인한 직접피해보다 이로 인해 발생하는 간접적인 피해가 더 크다고 얘기한다. 즉 프로그래머들이 소프트웨어를 개발할 때 바이러스공격에 대비해야 하고 컴퓨터 사용자들은 항상 프로그램과 데이터의 안전문제에 관심을 가져야 한다. 지난해초 한국데이타통신이 '바이러스서울연합' 이란 유령단체로부터 시스템파괴 협박을 받았을 때 이 회사는 단말기의 암호를 모두 바꾸고 운용요원을 24시간 철야대기시키는 등 시간적 물적 피해를 입은 외에도 공신력실추라는 무형의 손실을 당해야만 했다.
얼마전 케텔의 공개자료실에 오른 백신프로그램에 바이러스가 침입, 바이러스가 백신에 쫓기는 것이 아니라 오히려 공격적인 양상 마저 보이고 있다. 또 최근에는 자신의 존재형태를 계속 바꾸는 정체불명의 바이러스가 발견돼 백신개발자들의 관심을 모으고 있다. '정보사회의 필요악' 컴퓨터 바이러스와 백신프로그램의 쫓고 쫓기는 싸움은 앞으로도 당분간 계속될 전망이다.
