필리핀에서 제작된 이 바이러스는 2000년도에 처음 발견되었다. 지금은 수상한 메일이 오면 곧바로 휴지통에 들어가겠지만 2000년 당시, 메일함에 나를 향한 연애편지가 있다면 안 열어보는 이가 몇이나 될까 싶다. 바이러스 제작자는 이러한 심리를 이용하여 바이러스를 제작하였고 누구든 궁금해서라도 파일을 열어보게 하였을 것이다.

러브레터 바이러스는 2000년 5월 4일 홍콩에서 발견되어 같은 날 국내에서도 발견되었다. 러브 바이러스라고도 불리며 이 바이러스는 단 3일 동안 급속도로 전파되어 수천만 대의 윈도우 PC를 감염시켰다. 본 바이러스는 ILOVEYOU라는 메시지와 첨부 파일 ‘LOVE-LETTER-FOR-YOU.TXT.vbs’와 함께 사용자에게 보내진다. 일반적으로 컴퓨터 파일의 확장명은 숨겨져 있어 ‘.vbs’라는 파일을 인지하기 전에 사람들은 그냥 텍스트 문서일 것이라고 생각했을 것이다.

사용자가 이러한 메일을 받고 첨부 파일을 열게 되면 visual basic 스크립트가 활성화된다. 바이러스는 로컬에 있는 MS Office 파일, 이미지 파일의 내용을 ‘ILOVEYOU’라고 덮어쓰고 MP3 파일의 경우 파일을 숨겨버린다. 더불어 마이크로소프트 아웃룩에 있는 주소에 자신의 복사본을 메일로 보내버린다. 멜리사 바이러스도 마찬가지로 메일을 통해 자동으로 메일 송신이 되지만 다른 점은 멜리사 같은 경우, 50개만 보내어지고 러브레터 바이러스는 주소록에 있는 모든 메일에 보내졌다.

이 바이러스가 시작된 것은 2000년 5월 4일 필리핀 마닐라의 판다칸(pandacan)지역에서 시작되어 기업 이메일 시스템을 통해 서쪽으로 전파되면서 홍콩, 유럽 및 미국까지 발이 닿았다. 바이러스는 메일의 주소록을 대상으로 메일을 보냈기 때문에 지인을 통해 메일이 가는 것처럼 보여 사람들에게 안전하다는 신뢰감을 주었다. 각 사이트의 일부 사용자만 천부 파일에 접근하여 메일 시스템을 손상시키고 수백만 개의 파일을 각각의 연속적인 네트워크에 있는 컴퓨터에 덮어쓴 수백 만개의 메시지를 생성해야 했다.

이 바이러스 때문에 전 세계 피해 금액만 5억에서 8억 달러에 달했으며 웜을 제거하기 위해 150억 달러가 소요된 것으로 추정된다. 10일 이내에 5천만 건이 넘는 감염 보고가 있었으며 전 세계 인터넷과 연결된 컴퓨터의 10%가 영향을 받았다. 이 바이러스의 주된 피해는 감염을 제거하고 복구하는 데 걸린 시간이었다. 특히, 이 바이러스가 나왔을 때는 이 바이러스부터 보호하기 위해 펜타곤, CIA, 영국 의회 및 대부분 대기업은 메일 시스템을 완전히 폐쇄하기로 하기도 했다.

바이러스는 컴퓨터 시스템 수준으로 vbs파일과 같은 스크립팅 언어 파일을 실행하며 기본적으로 파일 확장자를 숨기고 악성 코드를 실행한다. 파일은 일반적으로 텍스트 파일은 코드를 실행시킬 수 없어 해가 없다고 간주하므로 “txt”를 붙여 가짜 텍스트 파일로 표시되기도 한다. 이 같은 바이러스 공격이 들어간 이유는 사람들의 호기심을 자극한 사회 공학적 기법을 이용하였으며 마이크로소프트의 아웃룩과 윈도우의 취약점을 이용하여 사용자의 권한 없이 운영체제, 보조 저장장치, 시스템과 사용자 데이터에 접근할 수 있었다.

좀 더 자세히 설명하자면, ILOVEYOU는 마이크로소프트의 아웃룩에서 실행되며 기본적으로 설정된 마이크로소프트 비주얼 베이직 스크립팅(Microsoft Visual Basic Scripting, VBS)로 작성되었다. 이 스크립트는 시스템 부팅 시 자동 시작을 위해 윈도우 레지스트리에 데이터를 추가하였다. 이후 바이러스는 연결된 드라이브를 검색하여 추가 파일 확장명 vbs를 추가하는 동안 사용자가 부팅할 수 없게 하였다. 그렇게 되면 JPG, JPEG, VBS, VBE, JS, JSE, CSS, WSH, SCT, DOC, HTA, MP2 및 MP3 파일의 내용은 모두 “ILOVEYOU”라는 메시지로 내용이 덮어 씌워지고 이 중 MP3 파일은 덮어 쓰이기보다는 숨겨졌다.

바이러스의 또 다른 특징은 바일 로크라고 불리는 ‘WIN-BUGSFIX.EXE’ 트로이 목마를 다운로드 했다. 이 트로이 목마를 바이러스가 vbs로 작성되었고 쉽게 수정이 가능할 방법이 제공되었다. 그렇게 하면 공격자는 바이러스를 쉽게 수정하여 시스템의 중요한 파일을 대체하고 파괴할 수 있었다. 더불어 이를 통해서 좀 더 다양한 ILOVEYOU 바이러스가 변형되어 인터넷을 통해 퍼져 나갔다.

이러한 러브레터 바이러스를 만든 이는 리오넬 로만스(Reonel Ramones)와 오넬 드 구즈만(Onel de Guzman)라는 2명의 젊은 필리핀의 프로그래머였다. 그들은 필리핀 국립 수사국(NBI)의 에이전트에 의해 범죄 수사의 대상이 되었다. 로컬 인터넷 서비스 제공업체인 스카이 인터넷(Sky Internet)은 유럽 컴퓨터 사용자로부터 러브레터 형식의 바이러스가 ISP의 서버를 통해 전송되었다고 주장하면서 수많은 연락을 받았었다고 전했다. 이러한 연락의 스카이 인터넷의 Darwin Bawasanta가 조사한 결과, 마닐라에 있는 로만스 아파트로 추정되었다. 그렇게 그의 거주지가 수색되고 로만스는 체포되어 사법부에서 조사를 받게 된다. 마찬가지로 구즈만 역시 부재자 혐의로 기소되었다.

의도를 나타내기 위해 NBI는 AMA 컴퓨터 대학을 조사했는데 구즈만은 마지막 해 마지막 날에 중퇴했다. 그들은 학부 학위 논문으로 구즈만이 인터넷 로그인 암호화를 훔치는 트로이 목마 구현을 제안했었다. 그들의 말에 따르면 사용자는 마침내 인터넷 연결을 할 수 있게 될 것이라고 주장하였고 결국 컴퓨터 학부에서 거절당했다. 더욱이 졸업 전날 학교에서는 구즈만에게 학업을 도중 포기할 것을 촉구했었다고 한다.

그들은 체포되었지만, 그들이 받는 형량이 중범죄인지 혹은 범죄로 적용할 수 있는 것인지 확실하지 않았었다. 이유는 ISP에 대한 접근을 구매하기 위하여 선불 인터넷 카드를 사용했기 때문에 신용 카드 사기를 처벌하기 위해 만들어진 Republic Act 8484 (접근 장치 규제법)를 위반한 혐의로 기소되었다. 즉, 컴퓨터 범죄는 정당한 돈을 지불하였기 때문에 전혀 문제 될 것이 없었고 전혀 이상한 죄목을 통해 기소되었다고 한다. 또한, 재산에 대한 피해와 관련하여 악의적인 장난으로 중죄에 기소되었다는 것이다. 이 같은 주장에 재산에 대한 피해를 제외하고 그 요소 중 하나가 손상될 의도였고 구즈만은 구금 수사 중 그가 무의식중에 바이러스를 풀 수 있다고 주장했다고 말했다.

결국 필리핀에서는 당시 악성 코드 작성에 대해 필리핀 법이 없었기 때문에 라몬즈와 구즈만은 검찰 때문에 기각된 혐의로 석방되었다. 이 입법상의 문제점을 보완하기 위해 당시 필리핀에서는 2000년 7월 바이러스가 나온 지 2개월 만에 전자상거래법으로 알려진 Republic Act No. 8792을 제정되었다.