본문 바로가기

★살아 가면서★

컴퓨터 바이러스의 기원 및 역사

728x90
안철수연구소 [2006/01/31]  
컴퓨터 바이러스의 기원 및 역사
2006년 1월은 컴퓨터 바이러스가 최초로 등장한 지 20주년이 되는 달이다. 기념일치고 그닥 반갑지 않은 날이다. 하지만 갈수록 지능화되고 교묘해지는 컴퓨터 바이러스의 공격에 철저히 대비하기 위해서는 이와 같은 기념일을 염두에 두는 것도 유의미한 일이다. 컴퓨터 바이러스의 변천사를 점검해 봄으로써 보안의식을 넓힐 수 있을 테니까. 이에 본 고에서는 컴퓨터 바이러스 첫 출현을 맞아 PC에서 활동하는 바이러스의 기원과 역사에 대해 살펴본다. <편집자주>

최초의 컴퓨터 바이러스는 1986년 파키스탄에서 발견된 '브레인(Brain)' 바이러스이다. 파키스탄의 프로그래머가 자신이 개발한 프로그램의 복제품이 성행하자 사용자들을 골탕 먹이기 위해 데이터를 파괴하는 악성 바이러스를 처음으로 유포하기 시작했다고 한다. 자신들이 애써 개발한 소프트웨어가 불법복제로 뿌려지는 것을 본 프로그래머가 바이러스를 제작해 디스켓을 통해 유포시킨 것.

이어 87년 예루살렘 대학에서 13일의 금요일에 맞춰 실행되어 13일의 금요일 바이러스라는 별명으로 유명해진 예루살렘 바이러스가 발견됐다. 우리나라에는 88년 이 같은 바이러스가 유입됐으며 이에 대항한 백신 프로그램이 최초로 개발됐다.

그러나 사실 컴퓨터 바이러스 개념이 처음 등장한 것은 1970년대까지 거슬러 올라간다. 소설가 데이비드 제럴드의 공상과학소설 「할리가 하나였을 때(When Harlie was one)」에는 "다른 컴퓨터에 계속 자신을 복제, 감염된 컴퓨터의 운영체제에 영향을 미쳐 점차 시스템을 마비시키는 장치를 한 과학자가 제작해 배포한다"는 내용이 소개된 바 있다. 또 1970년대 미 국방성의 네트워크 시스템인 알파 네트에 발견된 '크리퍼(Creeper)'라는 프로그램이 최초의 바이러스라는 주장도 있다. 엄밀히 말하면 바이러스의 첫 등장은 1970년대 초까지 거슬러올라가지만 이 것은 일반 사용자들은 그 당시 모르던 일 이였으므로 일반 사용자 입장에 볼 때는 최초의 바이러스라고 부르기는 어려울 뿐 아니라 그 피해 정도도 미미했기 때문에 민간에서의 첫 출현 '브레인' 바이러스를 첫 출현 바이러스로 꼽는 게 정설로 여겨지고 있다.

국내의 경우는 '브레인' 바이러스 출현 이후 이와 유사한 부트 바이러스인 LBC 부트 바이러스가 1989년 제작되었고, 대부분 이 LBC 바이러스가 국내 최초의 국산 바이러스라고 알려져 있으나 자료에 의하면 LBC 바이러스 등장 이전 1989년 초에 이름도 달콤한 '벌꿀(Honey)' 바이러스가 이미 출현했고 이 벌꿀 바이러스가 국내 최초의 국산 바이러스로 기록됐다.

이후 1990년대 초반 들어서는 많은 수의 국산 파일 바이러스가 제작, 발견되었으며 어떤 때에는 외산 바이러스 보다 국내에서 제작되어진 바이러스가 월등히 그 수가 많을 때도 있었다.

한편 컴퓨터 바이러스가 사이버 테러의 가장 첫 시발점이라고 생각하면 오산이다. 바이러스 등장 전 피해사례들도 많았던 것. 일례로 1986년 브레인 바이러스가 등장하기 전 1980년대 초에는 프로그램이나 파일 등을 삭제하는 트로이 목마가 일반 사용자들에게 알려졌으며 실제 피해도 발생했다고 한다.

도스시절부터 백신 프로그램을 사용했던 경험이 있는 이들은 로즈 그린버그(Ross M. Greenberg)가 제작했던 '플루샷' 이라는 백신 프로그램을 기억할 것이다.

1984년 이 유명한 백신 프로그램으로 위장한 '플루샷 4' 라는 트로이 목마가 게시판 등에 업로드 되어 많은 사람이 다운 받아 피해를 입은 적이 있다고 하니 현재의 다양해진 악성코드의 기원은 여기서 찾을 수 있는 게 아닌가 싶다.

그렇다면 컴퓨터 바이러스라는 개념을 받아 들여서 대량의 컴퓨터 바이러스를 만들기 시작한 나라는 어디일까. 통설에 의하면 미국이다. 미국의 해커들은 브레인 바이러스와 예루살렘 바이러스를 모방한 수많은 컴퓨터 바이러스를 만들었으며, 전세계적으로 수많은 변형 바이러스를 만들어내고 전파했다고 한다.

또한 당시 바이러스로 유명해진 나라로는 불가리아가 꼽힌다. 불가리아는 '어둠의 복수자', 'Dir-Ⅱ' 등의 바이러스를 양산해 `바이러스 제작소'라는 악명을 얻게 됐다.

그리고 최근엔 국경을 불문하고 수많은 국가에서 다양한 신종 바이러스가 개발, 제작, 유포되고 있는 실정이다.

연대별로 본 컴퓨터 바이러스의 역사
1980년대 초반 트로이목마 유행.
1986년 IBM PC용 바이러스 등장. 첫 컴퓨터 바이러스인 브레인 바이러스 발견
1987년 초기 형태 바이러스 등장. 13일의 금요일에 맞춰 등장한 예루살렘 바이러스 발견.
1988년 국내 바이러스 등장, 모리스웜, 백신 프로그램 등장.
1989년 바이러스 피해 본격 발생, 국산 바이러스 HOOOO 등장.
1990년 바이러스 제작소 불가리아.
1991년 Dir-II 바이러스 등장.
1992년 미켈란젤로 바이러스 신드롬, 윈도우용 바이러스 Winvir 등장.
1993년 바이러스 제작 기법 발달.
1994년 뉴스그룹을 통한 바이러스 확산, 국산 시스터보 바이러스 등장, 매크로(Macro) 바이러스 등장.
1995년 매크로(Macro) 바이러스 확산.
1996년 윈도우95 바이러스 등장, 국산 바이러스 급증.
1997년 리눅스 바이러스 등장.
1998년 다양한 악성 프로그램 등장. CIH 바이러스 등장
1999년 이메일 바이러스 효시인 멜리사 바이러스 등장. 이메일로 확산되는 웜 지속 등장, 바이러스에 의한 대규모 피해 발생, Y2K 특수.
2000년 감염 규모 신속 + 거대화. 러브레터 웜, 나비다드(Navidad) 웜 등이 대표적 웜 바이러스로 등장.
2001년 리눅스 등 OS, 각종 Application 보안, 허점 악용 사례 증가, 님다 웜 및 아웃룩 주소로 자동 발송되어 EXE 파일을 손상시키며 자체 SMTP를 이용해 메일로 발송돼 C드라이브 파일과 폴더를 삭제하는 서캠(Sircam) 웜 등장.
2003년 1. 25 대란 발생. 이른바 "웜들의 대공습" SQL_Overflow(일명 슬래머) 웜이 등장, 인터넷 대란을 일으키며 보안의 위협에 적절히 대처해야 할 이유를 알려줌. 이후 8월에는 1,2분 간격으로 컴퓨터를 강제 재부팅시킴으로써 국내외에서 큰 피해를 발생시켰던 블래스터 웜(Blaster worm)을 시작으로, 웰치아 웜(Welchia worm), 그리고 엄청난 양의 스팸 메일을 집중 발송해 전세계를 깜짝 놀라게 한 바 있는 소빅.F 웜(Sobig.F worm) 등 거의 1주일 만에 세계적인 영향력을 가진 웜 3종류가 한꺼번에 공격.
2004년 1월 26일 마이둠 웜(Mydoom) 등장, 역대 최고의 전파속도로 세계적으로 100만대 이상의 PC를 감염시킴. 이외에도 넷스카이(Netsky), 베이글(Bagle), 새서(Sasser) 웜 등이 지속적으로 변종을 등장시킴. 한편, 이 해 6월에는 자기 복제와 네트워크를 통해 전파되는, 최초의 웜 형태의 휴대폰 악성코드인 카비르(Cavir) 웜이 등장, 휴대폰도 악성코드의 위협에 노출되기 시작.
2005년 컴워리어(CommWarrior) 휴대폰 악성코드 등장. 3월에는 블루투스 외에 멀티미디어메시징서비스(MMS)를 이용해 감염된 휴대폰에 저장된 전화번호로 악성코드를 퍼뜨리는 가 등장, 전파 방법상에서의 지역적 한계를 넘어섬.

이와 같이 20여 년의 변천을 거쳐 현재, 바이러스와 웜, 트로이목마 등의 악성코드는 사이버 세상을 위협하는 무서운 존재로 급부상하고 있다.

더욱이 바이러스를 포함한 악성코드는 그 동안 끊임없이 진화하고 있다. 초기 도스용 바이러스에서 윈도우>네트워크>인터넷용으로 진화하면서 피해 규모도 엄청나게 커졌다. 컴퓨터 시스템을 망가뜨리고 정보를 빼가는 것은 물론 전체 네트워크를 마비시킴으로써 유발하는 금전적인 피해도 막대하다.

초창기 바이러스들이 플로피디스크를 통해 전파됐던 데 반해 점차 플로피 디스켓>PC통신>인터넷>e메일>네트워크>메신저 등으로 유포경로가 변하면서 그 확산속도와 피해규모는 상상을 초월하고 있다.

바이러스가 급격히 유포될 수 있는 이유는 무엇인가. 그것은 바이러스 제작이 손쉬어졌다는 이유도 한 몫을 한다. 1990년대 들어 바이러스 제작자들은 친절하게도 일반 사용자들도 바이러스를 만들 수 있도록 'Computer virus construction kit'을 제작해 공개했고, 현재 다양한 해킹 툴들도 나와 있는 상태다.

이러한 제작 툴 킷은 처음에는 도스용 바이러스만을 만들 수 있도록 발전하다가 현재 와서는 매크로 바이러스, VBS 바이러스, 백오리피스와 같은 서버, 클라이언트 개념의 트로이목마 등도 제작할 수 있도록 기능이 다양해졌다.

바이러스의 변천사
컴퓨터 바이러스의 발전 어떻게 진행돼왔나
1단계(1988-1989) : 부트 바이러스
이 시기에 발견된 바이러스들은 대체적으로 간단하며 부트 바이러스가 주종을 이루고 있다. 이 시기에는 바이러스에 대한 별다른 지식이나 정보가 없어서 확산 정도가 컸다. 예로는 Brain , LBC , 미켈란젤로 바이러스 등을 들 수 있다.

2단계(1989) : 파일 바이러스 출현
주로 파일을 감염시키는 바이러스로 파일에 붙어서 파일 실행에 영향을 미치지 않은 채 기생하는 형태의 바이러스들이 출현했다. 예로는 예루살렘, 일요일 바이러스와 PS-MPC나 IVP 등을 들 수 있다.

3단계(1990) : 메모리 상주형 바이러스
바이러스가 메모리에서 상주하여 파일 및 부트영역을 감염시키는 형태로 발전이 되었으며 기존의 형태와는 다른 암호화 기법이 구현되어 본격적인 바이러스와 백신과의 소득 없는 소모전이 시작되었다고 볼 수 있는 시기이다. 예로는 11월30일, 자유, NRLG 바이러스가 있다.

4단계(1993) : 은폐형 바이러스의 출현
이 시기에는 바이러스에 감염되지 않은 파일인 것으로 속이는 은폐 기능이 본격적으로 구현되어 외형적으로는 바이러스가 없는 것으로 생각하게 만들었다. 파일뿐만 아니라 부트 바이러스들도 은폐기능을 사용했으며 결국 백신에서 메모리에 있는 바이러스를 제거하기 전에는 파일에 감염된 바이러스를 찾아낼 수 없게 되었다. 예로는 돌(Stone), 매독, 원숭이 바이러스 등이 있다.

5단계(1993) : 암호화 바이러스의 출현
지금까지 바이러스들은 단순한 형태로 고정적인 암호화 루틴을 가지고 있었다. 하지만 이 시기에 출현한 바이러스들은 복수의 암호키를 사용하거나 암호화 방법이 감염시마다 변하는 형태의 바이러스들이 출현하여 백신의 제작을 지연시켰다. 예로는 몰타아메바, 온타리오.1024 바이러스 등을 들 수 있다.

6단계(1995) : 다형성 바이러스의 출현
백신은 대체적으로 코드의 특징을 찾아 검색하는 것이 알려지면서 바이러스 제작자들은 암호화 및 암호화 루틴을 구성하는 코드들을 변화시켜 특징을 찾기 어렵도록 하여 백신의 검색을 피할 수 있도록 발전시켰다. 이로 인하여 백신은 바이러스에 동일한 암호 해제 루틴을 가져야 하므로 백신 개발이 상당히 지연되고 크기도 커지게 되었고 검색 속도가 늦어지기 시작했다. 예로는 나타스(Natas), 전율(Tremor), 코니II, 커피숍II 바이러스 등을 들 수 있다.

7단계(1996): 메모리 은폐형 바이러스 출현
상주형 바이러스의 경우는 메모리에 상주하고 있는 바이러스를 제거하지 않고 파일에 감염된 바이러스를 치료할 수 없다는 점에서 그 동안 백신들은 어렵지 않게 바이러스들을 진단하여 치료했으나 바이러스 몸체가 암호화하여 은폐시킴으로써 백신에서 메모리 내에서 바이러스를 검사할 수 없도록 하여 분석 및 백신제작을 지연시키는 결과를 가져왔다. 예로는 먹개비 바이러스가 있다.

8단계(1997) : 다형성 바이러스의 기술적인 발전
예전의 다형성 바이러스들은 이제는 간단한 형태의 바이러스로 취급당하기 쉽다. 최근 발견된 FCL 바이러스는 바이러스에서 코드를 만들어내는 수준이다. 이전의 바이러스들은 제한된 범위 내에서 변화하는 최소한의 규칙을 가지고 있었지만 이제는 그 최소한의 규칙마저도 없어져 백신으로서는 최대의 위기를 맞은 셈이다.

9단계(1997) : 새로운 개념의 바이러스 출현
문서편집기 등에서는 사용자의 편의를 위하여, 또한 하드웨어 환경에 구애 받지 않는 운영체제(원도우 NT 등)가 만들어지면서 좀더 편리하게 사용할 수 있는 간이언어(매크로)를 사용한다. 이를 이용해 제작된 워드매크로와 엑셀매크로 바이러스가 최근 기업에서 많은 피해를 일으키고 있다.

10단계(1997) : 새로운 운영체제 하의 바이러스 출현
윈도 95가 출현하면서 PC 환경에 많은 변화가 일어났다. 많은 사람과 기업이 도스 환경에서 탈피하여 윈도우 환경으로 넘어가기 시작한 것. 윈도우 환경은 운영체제가 실행하는 영역을 보호하는 형태로 운영되어 바이러스로부터 안전하리가 기대했지만 97년부터 현재까지 많은 윈도우용 바이러스가 발생하였으며 그 피해 정도가 크고 시스템 파괴라는 극단적인 상황까지도 발생할 수 있는 증상을 가진 바이러스도 나타나게 되었다.

현재도 세계각지에서 매일 수십 종의 바이러스가 발견되고 있으며 물론 도스시절처럼 다량의 바이러스가 만들어지지 않지만 윈도우 파일 바이러스들이나 웜, 트로이목마 등의 악성 프로그램들이 지금 이 시간에도 누군가 의해 제작되고 있을 것이다.

컴퓨터 바이러스는 안전한 사이버 세상을 위협하는 가장 큰 적이자 도처에서 문제를 일으키는 '사이버 지뢰'로서 IT산업 발전을 가로막고 있다. 컴퓨터 없는 삶은 상상할 수 없는 오늘날 컴퓨터 이용자들이 바이러스의 소멸을 소망하고 보안의식을 고취시켜야 하는 이유는 여기에 있다.

지금까지 컴퓨터 바이러스의 기원 및 역사, 그리고 그 발전단계의 변천사에 대해 살펴봤다.

1990년대 중ㆍ후반쯤 쓰여진 관련 서적에 보면 바이러스의 미래에 대해 기술하고 있는데, 당시에 언급된 미래에 등장하거나 유행할 바이러스에는 ▲윈도우 사용자 증가로 Win32 환경의 바이러스의 증가 ▲전자우편 사용으로 감염되는 바이러스나 웜 ▲네트워크의 발달로 전파되는 바이러스나 웜 ▲리눅스용 바이러스의 출현 등이 꼽혔다.

이는 현재에 비추어 보면 거의 다 적중했다. 더욱 교묘해지고 지능화된 바이러스의 공격만큼 새로운 바이러스 분석과 치료법 개발 역시 동시에 이뤄지고 있다는 얘기다.

문제는 얼마만큼 보안의식을 가지고 이러한 백신 프로그램을 잘 활용해 안전한 컴퓨터 환경을 만드느냐에 있다는 것. 수없이 많은 악성코드가 판을 치고 있지만 안심하고 컴퓨터 게임을 즐기고 인터넷 세상을 둘러보려면 사용자 스스로부터의 보안의식을 공고히 다져야 할 것이다. @


[출처] 안철수연구소 (06/01/24)

 

 

[펌]