Malware
예루살렘, 13일의 금요일 바이러스
2017 03 13
  • Facebook
  • Twitter
  • Copy URL

서양에서는 13일의 금요일을 불길하게 여긴다. 요즘은 그냥 단순한 미신으로 여기지만 옛날에는 이야기가 다르다. 13은 죽음을 상징하는 흉한 숫자로 예수가 십자가형을 당한 날이 13일의 금요일이며 12 사도와 예수를 포함한 13명이었기 때문에 13일의 금요일을 불행하게 여긴다는 것이 정설이다.[1] 또 다른 이야기는 노르웨이 신화에서 12의 신들이 초대된 잔치에서 13번째 손님이 등장했는데 이 손님이 바로 악의 신 로키(Loki)였다.[2] 이때문에 13과 금요일은 안 좋은 일이 생긴다는 미신을 가지고 있어 영국 해군은 이를 깨보겠다며 HMS 프라이데이호를 출항시켰는데 배가 흔적도 없이 사라졌다는 이야기도 있다. 물론, 이 이야기가 사실인지 아닌지는 확인할 방법은 없지만 아마도 거짓일 것이다.[3] 아무튼, 13일의 금요일은 불길하게 여겨지며 영화로도 만들어지고 TV 시리즈로도 만들어지는 등 서양에서는 불행한 미신 같은 이야기다. 13일의 금요일은 한 해에 1~3번 정도 돌아오는데[4] 컴퓨터에서도 이와 같은 맥락으로 그 날만 되면 날뛰는 바이러스가 있으니 그것이 바로 13일의 금요일 바이러스다.

이미지를 불러오는데 실패했습니다.

13일의 금요일 바이러스는 1987년 이스라엘, 예루살렘 히브리 대학교에서 발견되어 예루살렘 바이러스라고도 불린다.[5] 이 바이러스는 DOS에서 실행되는 바이러스로 감염되면 13일의 금요일까지 잠복해있다가 13일 금요일이 되면 활동을 시작한다. 즉, 평소에는 증상이 없다가 13일이 되면 증상이 나타나 13일의 금요일 바이러스라고도 불린다.[6] 본래 이 바이러스는 예루살렘에서 첫 피해사례가 발견되어 이스라엘에서 만들어진 것으로 유래되지만 1991년에 발견된 이야기에 따르면 이탈리아에서 만들어졌을 가능성도 언급되었다.[7] 1993년부터는 예루살렘 바이러스의 변종이 만들어지기 시작하면서 마지막에 발견된 시점은 1995년으로 처음 발견한 지 8년 만에 종식되었다.[8] 정리해보자면, 13일의 금요일 바이러스는 최초의 바이러스 ‘브레인’ 이 후 두 번째로 발견된 바이러스로 파일 바이러스의 고전이며 전 세계적으로 가장 널리 퍼지고 가장 많은 변형 바이러스를 가진 바이러스다. 더불어, 국내에서는 1988년 바이러스가 유입되어 1989년에 처음 발견되었다.[9]

바이러스에 감염이 되면 사용자 시스템에 상주해 있다가 13일과 금요일 이 2가지 요소에 충족하면 바이러스가 실행된다. 또한, ‘.com’ 파일과 ‘.exe’의 확장자를 가진 파일이 감염되면 파일을 실행할 때마다 크기가 커지고 컴퓨터에서 사용할 수 있는 메모리가 줄어든다. 바이러스에 감염되면 컴퓨터 시스템도 느려지고 13일 금요일에는 실행된 파일은 컴퓨터에서 삭제된다.[10]

좀 더 자세히 이야기하면 바이러스가 실행되고 감염된 파일이 종료하더라도 바이러스는 2KB를 사용하여 메모리에 그대로 남아 상주한다.[11] 바이러스가 메모리에 상주하면서 첫 번째 파일이 실행되는 것을 기점으로 실행되는 모든 프로그램을 감염시킨다. 바이러스는 파일의 시작 부분을 복사하여 파일의 맨 아래에 추가하는 동시에 시작 부분을 덮어쓴다. 이때 파일의 크기는 보통 1,808byte부터 1,823byte씩 증가한다.[12] 만약, 실행되는 파일이 플로피 디스크와 같은 읽기 전용 파일이라면 감염시킬 수 없다는 콘솔 메시지를 나타내며 메시지는 잘 알려진 메시지 ‘Bad command or file name’로 나온다. 이때 메시지 역시 본래의 ‘Bad command or file name’가 ‘Bad Command or file name’로 바뀌어서 나온다.[13]

13일의 바이러스가 다른 바이러스와 다른 특징으로는 13일의 금요일이 아니면 상대적으로 조용하고 소심한 정도라는 것이다. 바이러스가 실행된 후 30분 동안 5열 5행, 16행 16열에 작은 검은 색 창을 만들어 두 줄 위로 스크롤 되어 검은 창을 만든다.[14] 또한, 시스템상 타이머가 저 레벨 인터럽트 되어 시스템이 느려진다.[15] 만약 본래 컴퓨터가 처음부터 느렸다면 속도는 더는 느려지지 않는다. 이는 바이러스에 타이머의 틱이 활성화될 때마다 처리 루프에 들어가는 코드가 추가되어 있기 때문이다 추가로 처음에 존재했던 13일의 금요일 바이러스는 간혹 파일을 두 번 감염시키기도 했다. 그렇게 되면 파일에서 사용 가능한 모든 저장 공간을 사용할 수 있게 된다. 이는 일종의 바이러스의 버그다.[16]

 

13일의 금요일 바이러스는 1989년 1월 13일 금요일에 영국에서 수백 대의 IBM 컴퓨터를 공격하며 여러 언론매체의 헤드라인을 차지했다.[17] 누가 만들었고 어떠한 의도로 만들어졌는지 아직 밝혀지지는 않았다. 단지, 처음 발견된 곳은 이스라엘 예루살렘 대학에서 처음 보고되었다.[18] 그래서 많은 이가 이스라엘에서 만든 것으로 추측했지만, 후에는 이탈리아에서 만들어진 것으로 밝혀졌다.[19] 처음 발견된 당시 13일의 금요일 바이러스는 DOS 바이러스로 네트워크가 아닌 플로피 디스크로 전파되었기 때문에 상당한 피해가 크진 않았다. 하지만 플로피 디스크로 바이러스가 퍼진 것치고는 상당히 넓게 퍼진 것은 있다. 

13일이 금요일 바이러스는 퍼져 나가면서 많은 변종 바이러스를 만들어냈다. 이렇게 만들어지고 불어나는 변종은 계속해서 쌓이고 심지어는 변종의 변종까지 나오기도 했다. 대부분의 변종 바이러스에는 큰 변화는 없고 단지 공격 날짜나 혹은 다른 메시지 혹은 완전히 메시지가 나오지 않을 수 있다. 일부 변종 바이러스는 원본 버그의 수정이 된 것도 있다.[20]

하지만, 13일의 금요일 바이러스보다 먼저 나온 바이러스도 변종 바이러스라 칭해지는 것이 있으니 그것이 Suriv 바이러스다. 13일의 금요일 바이러스와 Suriv 바이러스는 13일의 금요일 바이러스보다 먼저 나왔으면서 상당히 유사한 바이러스지만 13일의 금요일 바이러스만큼 잘 알려지지 않았다. Suriv 바이러스에는 3가지 유형의 변형 바이러스가 존재하는데 첫 번째와 두 번째는 4월 1일 만우절에 발생하지만 세 번째 바이러스는 13일의 금요일에 동작한다. 몇몇 Survie 바이러스는 1988년까지 실행되지 않기도 했다. 이 바이러스는 아르헨티나에서 시작되었지만, 원본 바이러스는 이스라엘 히브리 대학에서 나왔다.[21]

좀 더 자세히 설명하자면, Suriv.1 바이러스는 .com를 감염시키는 바이러스로 때때로 April 1.com 바이러스 라고도 불린다. 그 이유는 공격코드가 활성화하는 날짜가 4월 1일로 악성코드가 활성화되면 Suriv.1은 ‘4월 1일, 하하하 너는 바이러스에 걸렸다’ 라는 메시지를 보낸다. 이후에 나온 것이 Suriv.2로 이는 .exe를 감염시킨다. 이 바이러스 역시 감염시키는 날짜, 4월 1일에 활성화되므로 April 1.exe 라고도 불린다. Suriv.2 역시 첫 번째 버전과 마찬가지로 같은 메시지를 출력하며 이 바이러스는 .exe 파일을 감염시킨 최초의 바이러스 보고 있다. Survie.3 바이러스가 13일의 바이러스와 가장 유사한 바이러스로 ‘.exe’와 ‘.com’ 파일 모두를 감염시킨다.[22]

13일의 바이러스의 변형 바이러스 중 또 다른 유명한 바이러스 하나는 Sunday라는 바이러스다. Sunday 바이러스에 감염된 파일은 1,636byte씩 증가한다. 또한, 매주 일요일마다 바이러스는 세 가지의 메시지 중 하나를 보여준다.[23]

‘오늘은 일요일! 왜 그렇게 열심히 일하니?(Today is SunDay! Why do you work so hard?)’

‘놀지 않고 계속 일하면 재미없는 사람이 될 거야(All work and no play make you a dull boy!)’

‘가자! 나가서 재미있게 놀자(Come on ! Let's go out and have some fun!)’

이 바이러스는 요일과 관계없이 모든 프로그램 실행을 삭제하려고 시도하지만, 막상 그렇게 하지 못하는 버그가 존재한다. 더욱이, 이 바이러스의 변종 바이러스와 변종의 변종 바이러스까지 존재하는 나름 13일의 금요일 변종 바이러스 중 유명한 바이러스다.[24]

보통 13일의 금요일 변종 바이러스 특징은 메모리에 상주하여 파일의 크기를 늘리거나 혹은 정해진 날짜에 활동하며 .exe 파일과 .com 파일을 감염시킨다. 또한, 실행되는 파일을 삭제하는 것 역시 13일의 금요일 변종 바이러스의 특징으로 이 중 하나의 특징만 속해도 13일의 금요일 변종 바이러스라고 칭했다.

13일의 금요일 바이러스는 역사상 가장 널리 퍼진 바이러스 중 하나가 되었다. 비록 그것이 1987년 발생한 바이러스지만 이 바이러스는 1990년 중반까지 확산했다. 하지만 이는 전해오는 이야기지 이 바이러스 때문에 손상된 피해 금액이나 어느 정도 피해를 당하였는지에 대한 자료는 존재하지 않는다.

13일의 금요일 바이러스는 DOS 바이러스의 대표적인 바이러스로 윈도나 현재는 이 바이러스가 위험하다고 평가하지 않는다. 오히려 최근에 나오는 랜섬웨어, 다른 악성코드가 너무 강력한지라 이런 바이러스는 귀여운 수준으로 얘기할 수도 있을 것 같다. 더욱이, 13일의 금요일 바이러스 예방법 역시 따로 없어 실행 파일이면 사용자가 조심해야 하고 주기적으로 중요한 파일은 백업하여 보관을 해주는 것이 좋다.[25] 그렇다고 해도 일반적으로 사람들이 궁금해하는 것 중 하나는 컴퓨터의 시간을 바꾸면 되지 않겠느냐는 말을 한다. 하지만 13일의 바이러스가 13일에 활동을 했다고 해서 13일에 감염된 것이 아니라 바이러스의 감염은 이미 예전부터 걸려 있었고 눈에 보이는 것만 13일에 한다는 것이다. 즉, 13일이 되어도 이미 예전부터 바이러스에 감염되었던 터라 아무 소용이 없다는 것이다.[26]

유성경 yuopboy@grayhash.com