정보보호개론 - 웜에 대하여

웜이란?

IT 분야에서 웜은 인터넷 또는 네트워크를 통해 컴퓨터로 전파되는 프로그램을 의미한다.

스스로 증식하는 것이 목적이므로 파일 자체에 이런 기능이 있거나 운영체제에 자신을 감염시킨다.

'웜'이라는 이름은 1975년에 출판한 존 브루너의 공상과학소설 '더 쇼크웨이브라이더'에서 차용되었다.

초기 분산 컴퓨팅 관련 실험에 대한 논문을 작성하던 연구자들은 그들의 소프트웨어와 브루너에 의해 묘사된 프로그램이 유사하다는 사실에 주목하며 '웜'이라는 이름을 채택하였다.

1978년 제록스 파크의 두명의 연구원에 의해 최초로 구현되었으며 개발자인 존 쇼크와 존 허프는

원래 네트워크에서 놀고 있는 프로세서들을 찾아 그들에게 업무를 할당하고 연산처리를 공유하여 전체적인 네트워크의 효율을 높이도록 웜을 설계하였다. (좋은 의도였음... 분산 컴퓨팅을 위하여!)

 

---

 

매스메일러형 웜

자기자신을 포함하는 대량 메일을 발송하여 확산되는 것이며 제목없는 메일이나 특정 제목의 메일을 전송하고 사용자가 이를 읽었을 때 감염된다.

주요 특징과 증상은?

• 메일로 전파되며 감염된 시스템이 많으면 SMTP서버의 네트워크 트래픽이 증가함
• 출처나 내용이 확인되지 않은 메일을 열었을 때 확산되는 경우가 많음
• 베이글 웜은 웜 파일을 실행할 때 가짜 오류 메시지를 출력함
• 넷스카이 웜은 윈도우 시스템 디렉터리 밑에 CSRSS.exe 실행파일을 만듦
• 변형된 종류에 따라 시스템에 임의의 파일을 생성

 

네트워크 공격형 웜

특정 네트워크나 시스템에 대해 SYN 플러딩이나 스머프(ping flooding)와 같은 서비스거부(DoS)공격을 수행하는 것이다.

분산 서비스 거부(DDoS) 공격을 위한 봇 형태로 발전하고 있다.

주요 증상은?

• 네트워크가 마비되거나 급격히 느려짐
• 네트워크 장비가 비정상적으로 동작함

대표적인 네트워크 공격형 웜은 클레즈(Klez)이다.

이 유형의 웜은 적은 수의 시스템이 감염되어도 파급 효과가 크므로 안정적인 네트워크 설계와 시스템 취약점에 대한 지속적인 패치관리가 중요하다.

 

 

컴퓨터 웜

컴퓨터 웜은 스스로를 복제하는 컴퓨터 프로그램으로 컴퓨터 바이러스와 비슷하다.

바이러스가 다른 실행 프로그램에 기생하여 실행되지만 웜은 독자적으로 실행되며 다른 실행 프로그램이 필요하지 않다.

웜은 종종 컴퓨터의 파일 전송 기능을 착취하도록 설계되어있다.

컴퓨터 바이러스와 웜의 중요한 차이점은 바이러스는 스스로 전달할 수 없지만 웜은 가능하다!

웜은 네트워크를 사용하여 자신의 복사본을 전송할 수 있으며, 어떠한 중재 없이 가능하다. (위험 천만...!)

일반적으로 웜은 네트워크를 손상시키고 대역폭을 잠식한다.

많은 주목을 받았던 최초의 웜은 당시 코넬 대학교의 대학원 학생이였던 로버트 터팬 모리스가 개발했던 모리스 웜이다.

1988년 11월 02일에 배포되었는데, 당시 인터넷에 연결된 수많은 컴퓨터들을 빠른 속도로 감염시켰다.

BSD 유닉스와 그것으로부터 파생된 운영체제들의 많은 버그들을 통해 확산되었다. (OS 패치를 잘하자!)

 

웜은 자기 복제 이외에 많은 다른 일을 하도록 설계되었다.

예를 들자면, 호스트 시스템에서 파일을 지우거나 파일을 악의적 공격 목적으로 암호화 하거나, 이메일을 통해 문서를 보내는 등의 일들을 한다.

 

최근의 웜은 다양한 곳으로 전달되며 실행파일을 첨부파기도 한다.

하지만 단지 자기 복제 과정에서 생성되는 네트워크 트래픽 만으로도 피해를 줄 수 있다.

예를 들어 마이둠같은 웜은 최대로 살포되면 대역폭을 차지하여 세계 전역의 인터넷 속도를 현저하게 느리게 만들 수 있다.

일반적으로 웜에 수반되는 것은 감염된 컴퓨터에 백도어를 설치하는 것으로 소빅이나 마이둠 같은 웜이 그렇다.

이런 좀비 컴퓨터들은 대량의 스팸 메일을 보내거나 그들의 웹사이트 주소를 은폐하는 용도로 주로 사용한다.

(감염된 기계의 IP 주소 리스트를 판매하던 웜 개발자들이 실제로 붙잡히기도 했음!)

 

다른 웜 개발자들은 DoS 공격을 한다는 공갈 협박을 시도하기도 한다. (Dos VS DDoS 대결인가ㅎㅎ)

백도어는 다른 웜에 의해 사용될 수도 있는데, 둠주스 같은 웜은 마이둠에 의해 설치된 백도어를 사용하여 자신을 확산시켰다.