구독상품안내
올해도 어김없이 컴퓨터 바이러스가 창궐할 것이다. 특히 주의해야 할 것은 최근에 출생한 녀석들. 이들은 과거의 백신만 믿고 방심하는 컴퓨터 상요자들을 노리고 있다. 어떤 바이러스가 1999년에 맹위를 떨칠지 알아보자.
외계인이 지구를 침공했다. 가공할 만한 그들의 공격에 지구인들은 속수무책이었고 급기야 대통령이 전투기를 직접 몰고 나섰다. 하지만 무기력하기는 마찬가지였다. 이때 한 컴퓨터광이 외계인의 컴퓨터에 바이러스를 침투시키자는 기막힌 아이디어를 냈다. 결국 외계인은 치명적인 컴퓨터 바이러스를 이기지 못해 빈손으로 돌아가고 말았다.
영화 ‘인디펜던스 데이’(Independence Day) 내용이다. 세상에, 컴퓨터 바이러스가 얼마나 무서운 존재이길래 외계인까지 물리친다는 말인가. 그러나 자세히 살펴보면 이 시나리오는 엉터리다. 작가는 컴퓨터 바이러스가 뭔지 모르면서 단지 무섭다는 이유로 영화의 소재로 삼았거나, 알았다면 영화 팬들이 컴퓨터에 대해 무지할 것이라고 생각해 거짓말을 한 것이다.
컴퓨터 바이러스는 의학에서 말하는 병균이 아니다. 이것은 일종의 프로그램이다. 다른 프로그램의 기능을 중지시키거나 의도적으로 망가뜨리고, 스스로 복제(컴퓨터 용어로 말하면 복사)되기 때문에 바이러스라고 불린다. 따라서 컴퓨터 바이러스가 활동하려면 이를 실행시킬 운영체계가 필요하다. 예컨대 윈도95용 바이러스는 윈도95가 설치된 컴퓨터에서만 동작하며, 매킨토시용 바이러스는 매킨토시에서만 활동한다. 매킨토시용 바이러스가 윈도95에서 동작하지 않는 것은 매킨토시용 프로그램이 윈도95에서 실행되지 않는 것과 같은 원리다.
만일 인디펜던스 데이에서 외계인의 컴퓨터를 바이러스로 감염시키려면 우리는 외계인과 똑같은 컴퓨터 시스템을 쓰고 있어야 한다. 그런데 영화에서 외계인은 지구인이 알지도 못하는 무기를 사용하고 가공할 만한 정보시스템을 가동한다. 즉 지구인이 만든 바이러스 프로그램은 외계인의 컴퓨터에서 작동하기 어렵다. 인디펜던스 데이의 내용이 엉터리인 것은 바로 이 때문이다.
하지만 인디펜던스 데이가 주는 ‘교훈’도 있다. 컴퓨터 바이러스가 그만큼 치명적이라는 사실을 일깨워 준 것이다. 컴퓨터가 없으면 제대로 돌아가지 않는 세상이다. 그래서 컴퓨터 바이러스는 우리 생활을 순식간에 혼란시킬 수 있는 무서운 존재다.
국내 바이러스 전문연구소인 안철수컴퓨터바이러스연구소에서 지난해 6월 네트워크 사용자 5백68명을 대상으로 조사한 바에 따르면, 이중 56%가 바이러스를 경험한 것으로 알려졌다.
바이러스로 인한 피해 금액은 얼마나 될까? 1백만원 이하라고 답한 사용자가 1백96명, 1천만원 이하라고 대답한 사용자가 1백10명, 심지어 1억원 이상이라고 대답한 사용자도 14명이나 됐다. 물론 바이러스로 인한 피해를 구체적인 금액으로 산출하기는 쉽지 않다. 하지만 손상된 데이터, 이를 복구하기 위해 들어간 인건비와 업무 지연으로 인한 손해, 정신적인 피해 등을 따지면 그 규모는 상상할 수 없을 정도다. 컴퓨터에 대한 의존도가 높을수록 이 비용은 크게 늘어날 것이다.
악명 높은 윈도 바이러스 3총사
일종의 프로그램인 컴퓨터 바이러스는 파일을 복사하고 이동하는 과정에서 감염된다. 다른 컴퓨터에서 파일을 복사해올 때 그 파일에 바이러스가 묻어 있다면 내 컴퓨터의 파일도 순식간에 감염된다. 요즘처럼 인터넷이 발달한 세상에서는 바이러스가 더 활개를 친다. 실제로 작년 한해 가장 악명을 떨쳤던 CIH(치) 바이러스는 98년 후반기부터 인터넷을 통해 유포되면서 불과 3개월 만에 국내 네트워크 환경을 초토화시킬 정도였다.
안철수컴퓨터바이러스연구소에 따르면 작년 11월 말까지 발견된 신종 바이러스는 모두 2백64종이며, CIH, 마르부르크, 한국판 변형 백신인 전갈1295, 마이크로소프트 오피스에 감염되는 매크로 바이러스 등이 악명을 떨쳤다. 이 외에 백신 프로그램인 V3를 가장한 알트엑스1264, 에볼라 바이러스 등이 많은 피해를 끼쳤으며, 일종의 해킹 도구인 백오리피스, 인터넷으로 감염되는 HTML 인터널 바이러스 등 전혀 새로운 개념의 바이러스도 등장했다.
지난 1998년은 윈도95/98용 바이러스가 대거 등장해 활개를 친 해다. 그런데 윈도 바이러스는 도스 바이러스와 달리 치료하기가 까다로워 초보자들이 반복해서 걸리는 경우가 많다.
① CIH 바이러스
매년 4월 26일(변형 바이러스 중에는 매달 26일) 하드디스크의 파일과 플래시 메모리를 채택한 일부 컴퓨터의 바이오스를 파괴하는 악성 바이러스다. 바이러스를 별로 겁내지 않는 고급 사용자들을 혼줄낼 만큼 무서운 바이러스다.
동영상재생프로그램인 MoviePlay 1.46 버전에 감염돼 인터넷을 통해 전세계로 번졌다. 컴퓨터잡지의 CD롬 부록도 이 바이러스의 보급에 한몫했다. CIH 바이러스는 감염 속도가 빨라 이를 치료하는 백신 프로그램이 나온 후에도 동시다발적으로 계속 퍼져나갔으며, 다른 바이러스와 달리 파일의 빈 공간을 찾아 감염되기 때문에 파일 크기가 변하지 않아 외형상 감염여부를 구분하기 힘들다. 헥사에디터 같은 파일보기 프로그램으로 내부를 살펴보면 ‘CIH v1.2 TTIT’라는 글자가 보인다.
②마르부르크 바이러스
스페인에서 만들어진 바이러스로 영국의 ‘PC 게이머’라는 잡지의 부록을 통해 유포되기 시작했다. 국내에서는 지난해 7월에 발견됐다. 감염된 후 3개월이 지나면 화면에 이상한 그림을 출력해 컴퓨터를 제대로 쓸 수 없게 방해한다. 감염될 때마다 다른 암호화 기법을 사용하기 때문에 찾아내기가 쉽지 않다.
실행파일(EXE), 스크린세이버나 스크립트 파일(SCR)에 주로 감염되며 윈도95/98에서만 동작한다. 스스로 하드디스크를 검색하다가 바이러스 정보파일인 ANTI-VIR.DAT, CHKLIST.MS, AVP.CRC, IVB.NTZ가 있으면 삭제해버림으로써, 바이러스 검사 및 치료 프로그램의 작동을 방해하는 것도 특징이다. 파일 내부에 ‘Marburg ViRuS BioCoded by GriYo/29A’라는 글자가 있다.
③ 아편걱정 바이러스
원래 명칭은 Anxiety_Poppy. 1997년 11월에 국내에서 발견됐으며 실행파일에 달라붙어 부정기적으로 시스템을 다운시킨다. 영문 윈도는 물론 한글 윈도에서도 ‘잘’ 동작하며, 메모리에 항상 들어있는 상주형 바이러스이기 때문에 감염속도가 빠르다. 원래 바이러스 제작자는 윈도95의 시스템등록파일인 레지스트리 파일을 파괴하려고 했으나, 버그가 있어 레지스트리는 파괴하지 못한다. 시스템이 자주 다운되는 증상을 보이면 아편걱정 바이러스를 의심할 필요가 있다.
엑셀의 천적 매크로 바이러스들
마이크로소프트의 오피스 프로그램을 애용하는 사람들은 매크로 바이러스라는 이름을 들을 기회가 많다. 그만큼 매크로 바이러스가 기승을 부리기 때문이다. 매크로는 오피스 프로그램에 내장된 일종의 간이 프로그래밍 언어다. 특히 스프레드시트 프로그램의 대명사인 엑셀에서는 원래 프로그램의 기능보다 매크로를 이용해 만든 부가 기능들이 인기를 끌 정도로 활용도가 높다.
매크로 바이러스에 감염되면 엑셀 시작폴더(XLSTART) 내의 파일이 손상돼 런타임 및 디버그 오류 등이 발생해 엑셀을 제대로 사용할 수 없다. “서식을 추가할 수 없다” 등 잘못된 메시지가 뜨기도 한다.
① 라룩스코리아 바이러스
매크로 바이러스의 대명사는 라룩스(Laroux)다. 손쉽게 변종 바이러스를 만들 수 있어 국내에서도 다양한 변종이 발견됐다. 대표적인 예가 엑셀 매크로 라룩스코리아(ExcelMacro.Laroux.Kr)다. 라룩스코리아는 국내에서 최초로 제작된 변형 매크로 바이러스로 감염 후 엑셀 프로그램의 시작폴더에 VIRUS.XLS 파일을 만들고 오전 10시, 오전 12시, 오후 3시, 오후 8시에 파일을 열면 화면에 빨간색 글씨로 “바이러스에 감염되었음. 매크로바이러스를 잡아라”라는 메시지가 출력된다. 한글 엑셀에서는 도구(T)→매크로(M)를 선택하면 Virus.XLS!.auto_open과 같은 메시지를 볼 수 있다. 바이러스를 구성하는 매크로를 가지고 있어 엑셀이 실행될 때마다 확산된다.
② 매크로엑스트라/VCX 바이러스
1998년 5월에 해외에서 제작되고 다음달 국내에서 발견된 매크로엑스트라/VCX 바이러스는 1999년 1월 1일 이후 엑셀의 메뉴를 보이지 않게 감춰버리는 것이 특징이다. 엑셀의 시작폴더에 바이러스를 포함한 파일을 만들기 때문에 손쉽게 찾아낼 수 있다. 윈도95/98의 경우에는 Windows Extras.XLS라는 파일을 만든다. 그러나 은폐형 바이러스인 탓에 사용자가 매크로를 보거나 수정하는 것을 방해한다. 또 세계 최초의 다형성 엑셀 매크로바이러스로 감염될 때마다 바이러스에서 사용하는 함수 이름을 임의로 바꿔 진단하기 어렵다.
한편 1998년 11월 발견된 Excel97Macro.VCX 바이러스는 감염되면 시작폴더에 XLSCAN.XLS 파일을 만들고, C:폴더에 확장자가 VCX인 파일과 XLSCAN.386 파일을 만든다. 이때 파일이름은 감염된 시스템의 날짜와 시간에 따라 임의로 결정되기 때문에 확장자로 검색해야 찾기 쉽다.
③ 엑셀매크로컴팻 바이러스
일반적인 엑셀 매크로 바이러스들이 시작폴더 안에 바이러스 파일을 생성해 숨겨두는데 비해, 엑셀매크로컴팻(ExcelMacro.Compat) 바이러스는 라이브러리 폴더의 OFF97COM.XLA 파일에 바이러스를 숨긴다. 때문에 이 바이러스를 완벽하게 진단 치료하기 위해서는 반드시 이 파일을 찾아 검사해야 한다.
엑셀에서 도구 → 추가기능을 이용해 ‘Office 97 Compa-tibility’ 항목이 있으면 감염된 것이다. 설명 부분에는 ‘Allows Excel 5/7 users to share files with Excel 97 users’로 나타나, 옛 버전을 최신 엑셀97 파일로 변환해주는 유틸리티인 것처럼 사용자를 속이는 것도 특징이다.
독특한 색깔의 바이러스들
컴퓨터 바이러스 중에는 백신 프로그램으로 위장하거나, 상대방의 컴퓨터 안에 숨어있다가 외부에서 그 컴퓨터를 마음대로 제어할 수 있는 기능을 갖고 있는 것도 있다.
① 알트엑스1264(Alt_X.1264)
대표적인 국산 바이러스치료프로그램인 V3로 위장해 사설 통신망을 통해 유포되기 시작했다. 유포된 파일명이 ‘V31200.EXE’이었기 때문에 V3+를 애용하는 사람들이 적지않게 피해를 보았다. 감염되면 바이러스가 메모리에 들어간지 30분 후부터 1분 간격으로
그러나 키보드 오동작 외에 특별한 증상은 아직 없다고 한다. 감염파일의 내부에는 “Hello ~~ my name is ALT-X virus.” 라는 글자가 있다.
② 에볼라
디스크의 부트섹션이나 파일에 감염되는 에볼라(Ebola) 바이러스는 바이러스 자체를 은폐하는 데 중점을 두고 제작한 바이러스다. 부트영역이 감염되면 운영체계나 파일 시스템에 상관없이 작동하며 부팅시 메모리가 3KB가 줄어든다. COM, EXE 등 실행되는 모든 파일을 감염시킬 수 있으며, 일단 감염되면 파일 크기가 1천9백13바이트 증가한다. 바이러스 상주 후 감염파일을 오전 7시 이전에 실행시키면 화면 중간에 ‘Ebola Virus’라는 문자가 나타나고 시스템이 다운된다.
③ 백오리피스
바이러스가 아닌 트로이 목마 프로그램이다. 트로이 목마 프로그램은 트로이 신화에 나오는 목마처럼 일단 시스템에 잠입시킨 후 다른 곳에서 이 프로그램을 조작해 시스템을 망가뜨릴 수 있기 때문에 붙여진 이름이다. 그 대표적인 예가 마이크로소프트의 백오피스를 패러디한 백오리피스다. 국내에서는 작년 8월 처음 발견됐는데 그 막강한 기능 때문에 한때 큰 소란을 일으켰다.
백오리피스는 다른 프로그램에 묻혀 컴퓨터시스템 내부에 일단 설치되면, 외부에서 인터넷 네트워크 프로토콜인 TCP/IP를 이용해 백오리피스가 설치된 컴퓨터의 데이터를 지우고 복사하고 이동하는 등 자유롭게 조작할 수 있다. 뿐만 아니라 컴퓨터 사용자가 입력하는 내용을 마치 몰래 카메라처럼 캡쳐할 수 있고, 심지어 컴퓨터를 외부 부팅시킬 수도 있다. 따라서 잘 활용하면 먼 거리에서 PC를 제어하는 등 유용한 면도 있지만, 악용될 경우 피해는 일반 바이러스와 비교할 바가 아니다.
④ 인터널 바이러스
외국에서만 발견되는 것 중 재미있는 것이 HTML 문서를 감염시키는 인터널 바이러스다. 아직 별다른 증상을 보이지 않지만, 최근 웹을 통해 수많은 HTML 문서들이 배포되고 있는 점을 감안하면 언제 위험한 바이러스로 변할지 모른다. 지금까지 대부분의 바이러스들이 실행파일이나 데이터파일에 감염되는 것과 달리 HTML이라는 문서에도 감염된다는 점에서 주목된다.
바이러스 진단과 치료 - 백신 위장 바이러스 주의
바이러스에 감염됐는지를 알아보려면 소위 백신 프로그램을 써야 한다. 대표적인 프로그램으로 V3플러스(안철수컴퓨터바이러스연구소, www.ahnlab.com), 노턴 안티바이러스(시만텍, www.symantec.com) 맥아피 스캔(맥아피, www.mcafee.com), 터보 백신 등이 있다.
이들 프로그램 중 일부는 돈을 내고 사야 하는 상용 프로그램이다. 하지만 시험판, 평가판, 셰어웨어 버전으로 통신망에 공개되므로 그것을 무료로 다운받아 사용할 수도 있다. 구체적인 사용법은 프로그램마다 조금씩 다른데 국산 프로그램인 V3플러스의 경우 도스 창을 열고 V3 c: 같은 식으로 V3옆에 검색할 하드디스크 이름을 넣어주면 된다.
그러나 백신 프로그램을 위장한 바이러스도 있으므로 어떤 파일도 쉽게 믿어서는 안된다. 가장 좋은 방법은 통신망의 공개자료실보다 백신 제작회사의 홈페이지나 이 회사들이 운영하는 통신포럼을 이용해 백신프로그램을 구하는 것이 좋다.
모든 병은 치료보다 예방이 더 중요하다. 컴퓨터 바이러스도 마찬가지다. 컴퓨터 바이러스는 파일전송을 통해 감염되므로 새로운 파일을 받을 때는 항상 바이러스 검사를 하는 것이 좋다. 위에 언급한 회사들의 백신 프로그램들은 바이러스 침투 여부를 자동으로 알려주는 기능이 있다. 단 돈을 내고 정식으로 구입한 프로그램 안에만 있다.
또 기능이 과장되고 이름이 생소한 프로그램 파일은 다운받기 전에 다른 사람들의 반응을 지켜보는 것이 좋다. 얌체 같기는 하지만, 조금만 기다리면 바이러스 감염 여부나 프로그램에 대한 평을 들을 수 있어 여러모로 좋다. 마지막으로 플로피디스크 1장에 시스템 파일과 함께 백신 프로그램을 넣어두고 쓰기 방지탭을 걸어놓으면 비상시 활용할 수 있다.
