Malware
어둠의 복수자, Dark Avenger Virus
2017 04 04
  • Facebook
  • Twitter
  • Copy URL

1989년 처음으로 불가리아 바이러스가 나왔다.[1] 그때 나온 바이러스는 사람들의 관심을 끌기 충분할 정도로 다양한 기법의 바이러스가 많았다.[2] 어느 정도 나이가 있는 분이라면 이 바이러스가 무엇인지 단박에 알 수도 있겠다. 80년대 후반부터 90년대 초반까지 퍼져 나간 이 바이러스 때문에 상당히 고생한 이야기도 한두 개가 아닐 정도다.[3] 불가리아에서 시작되어 유럽 전역으로 퍼져 나가 미국과 호주에도 도달하였고 국내 역시 이 바이러스를 피해 갈 수 없었다.[4] 다크 어벤저(Dark Avenger) 바이러스는 자신을 복제하여 다른 컴퓨터를 감염시키고 감염된 파일이 16번째 실행되면 다른 파일을 파괴하거나 시스템을 망가트린다. 또한, 다크 어벤저의 특징인 다형성 엔진은 최초의 동질이상형 바이러스로 하나의 수 많은 변형 바이러스를 만들어낼 수 있는 가능성을 보여준 존재의 첫 등장이다.[5]

이미지를 불러오는데 실패했습니다.

다크 어벤저 바이러스는 도스 환경의 바이러스로 자신을 복제하여 시스템을 감염시키고 이를 통해 파일이나 시스템을 파괴한다. 바이러스에 감염이 되면 시스템에서 실행하는 모든 ‘.com’파일과 ‘.exe’파일에 1800Byte 코드를 추가한다. 사용자가 감염된 프로그램을 실행하고 16번째 실행될 때 하드 디스크 무작위 위치 중 일부분에특정 문자열로 덮어 씌워진다.[6] 만약, 운영체제의 중요한 부분이 특정 코드로 덮어 씌워지게 되면 컴퓨터는 충돌을 일으키거나 운영체제를 못 찾아 컴퓨터를 제대로 실행시키기 어려울 수도 있다. 좀 더 자세히 이야기하면 바이러스에 감염된 파일의 크기가 1800Byte가 늘어나고 바이러스는 디스크 부트 섹터에 카운터를 유지한다. 감염된 파일이 열 여섯 번째 실행되면 무작위로 디스크 섹터 일부분을 바이러스 자신의 코드로 덮어쓴다. 무작위로 쓰인 공간에 파일 또는 데이터 파일이 있었다면 그 파일을 더는 사용할 수 없다. 그 이유는 덮어 씌워진 섹터는 손상된 파일 및 데이터가 영구적으로 손상된 것으로 더는 복수할 수도 없기 때문이다.[7]

사무실, 학교, 집 어느 지역 할 것 없이 바이러스는 순식간에 퍼져 나갔다. 감염 방법은 단순히 바이러스가 메모리에서 실행된 상태에서 파일을 실행하거나 복사만 하더라도 바이러스에 감염되었다. 즉, 단순히 컴퓨터에서 감염된 파일을 실행하기만 하면 되었다. 바이러스는 플로피 디스켓, 네트워크 등을 통해 바이러스가 퍼져 나갔고[8], 특히나 주로 사용된 수단은 유명 게시판 시스템이었다.[9] 당시 불가리아에서 온 바이러스만 해도 160 개 종류에 다다랐고 미국에서 존재하는 컴퓨터 바이러스의 10%는 불가리아에서 온 거였다. 그 중 대부분은 다크 어벤저 바이러스라고 할 정도로 상당히 많은 이가 감염되었었다.[10] 불가리아에서 만들어지는 바이러스도 본래많지만 그 중 단연코 많은 이를 괴롭힌 것은 다크 어벤저 바이러스였다. 

특히나 저 시기의 불가리아는 바이러스 업계에서 상당히 큰 역할을 했다. 1980년대 후반과 1990년대 초반에 불가리아에서 개인용 컴퓨터는 상당히 희귀한 것으로 돈이 많은 부자만 사용할 수 있었다. 그럼에도 이렇게 수 많은 바이러스가 불가리아에서 나온 이유는 불가리아에서 교육 목적으로 많은 수의 컴퓨터를 제공하였기 때문이다. 그 때문에 불가리아에서는 개인용 컴퓨터가 없어도 컴퓨터를 접하기 쉬웠고 전문적인 컴퓨터 하드웨어 산업 환경도 가지고 있었다. 따라서 대학교를 포함한 많은 학교에서는 컴퓨터가 제공되었고 쉽게 컴퓨터를 접할 수 있었다. 이런 환경은 당연하게도 컴퓨터 정보 통신이 그들의 대표적인 연구대상이었다. 그러다 한 잡지에서 컴퓨터 바이러스에 대한 글을 다뤘고 작성하는 방법까지 자세하게 설명된 글이었다.[11] 잡지가 발간된 이후 급격히 바이러스 종류가 늘었으며 많은 개발자가 자신만의 바이러스를 만들어내기 시작했다. 이런 환경에서 나온 것이 다크 어벤저 바이러스였다. 다크 어벤저 수 많은 바이러스가 만들어지던 곳에서 나왔던 바이러스라 만들어진 출처가 어느 지역인지 밝혀졌다고 하더라도 누가 만들었는지는 자세히 나와 있지 않다. 단순히, 실행 파일에 추가되는 메시지에 ‘소피아’라고 언급되어 소피아에 사는 어떤 이로만 추측할 뿐 이 사람의 신원이 확인된 바는 없다.[12] 누가 만들었는지도 모르는 상황에 동기 역시 알 수 없는 노릇이었다.

다크 어벤저 바이러스의 가장 눈에 띄는 점은 다형성 엔진을 사용한다는 점이다. 다크 어벤저 바이러스는 다형성 엔진인 Mutation Engine (MtE)를 이용하면 다른 바이러스와 연결하여 변형 바이러스를 만들어낼 수 있다.[13] 이러한 특징은 정말 수 많은 변형 바이러스가 나올 수 있다는 점과 백신의 탐지를 벗어날 수 있다는 점에서 큰 부분을 담당하였다. 물론, 다크 어벤저 스스로 다른 바이러스로 변형될 수 없지만 그럼에도 하나의 바이러스로 40가지의 유사 바이러스를 만들어낼 수 있다는 부분은 상당히 주목할 만한 점이다. 다크 어벤저 변형 바이러스의 한 가지 특징으로 변형된 바이러스 코드를 살펴보면 ‘Zopy (sic) me - I want to travel’과 ‘Only the Good die young...’, ‘Copyright (C) 1989 by Vesselin Bontchev’와 같은 문자열이 포함되어 있다.[14]  그 때문에 만들어지는 바이러스 사이에서도 묘한 갈등 구조가 이뤄지기도 했다. 그렇다고 하여 이러한 점이 문제 될 것이 아닌 게 당시에는 정보 보호법이 없었기 때문에 바이러스를 제작하여 서로를 공격했다고 하더라도 이것이 범죄로 취급되지는 않았다.[15]

다크 어벤져 바이러스가 한창 나왔을 때는 매우 골치 아픈 바이러스였다. 하나의 바이러스가 다양한 바이러스로 여러 백신의 탐지를 속수무책으로 만들었다. 더불어, 다크 어벤저는 다른 바이러스 변형에 대해 많은 가능성을 보여준 최초의 바이러스로 볼 수 있다. 이 때문에 바이러스를 얘기할 때도 빠질 수 없는 시대에 한 획을 그은 바이러스로 말하기도 한다. 몇몇은 다크 어벤저 덕에 백신 분야가 더 발전하는 계기가 되었다고 말하기도 했다.[16]

유성경 yuopboy@grayhash.com