Wannacry를 잇는 새로운 광범위한 ransomware(랜섬웨어) 공격이 유럽 전역에서 산불처럼 퍼져 나가고 있다. 잉? NotPetya 랜섬웨어 얘기냐고? 아니다. 오늘은 NotPetya의 후속 랜섬웨어인 또 다른 새로운 랜섬웨어에 대해 이야기해볼까 한다. 이 랜섬웨어는 며칠 전 갑작스레 나타나 며칠 동안 러시아, 우크라이나, 터키, 독일을 비롯한 200개 주요 조직에 영향을 미쳤다. 이 새로운 랜섬웨어가 유럽 전역에 퍼진 시간은 겨우 몇 시간도 채도 되지 않았다. 기존에 발생했던 랜섬웨어 보다 더 고급화되어 나타난 랜섬웨어 일명, Bad Rabbit(나쁜 토끼)다.

언젠가, 컴퓨터 바이러스도 나라마다 바이러스의 특징이 다 다르다는 말을 들어본 것 같다. 기억나기로, 북한 컴퓨터 바이러스의 특징은 부트 데이터를 지워버리거나 다른 데이터로 덮어서 시스템이 원활하게 돌아갈 수 없도록 해놓고 나간다는 것이 특징이라 했던 것 같다. 필자는 악성코드 분석을 많이 해본 것도 아니고, 그 분야로는 거의 모르기 때문에 나라마다 바이러스 특징이 있다는 말이 진짜인지는 모르겠다. 하지만 바이러스에 관한 글을 보고 들으며 여러 개의 바이러스를 봐오면서 그 말에 어느 정도 맞는다고 생각한다. 특히, ‘나는 대륙의 바이러스요’라고 대륙의 스케일을 단적으로 잘 보여주는 바이러스가 존재하니, 오늘은 그 바이러스에 관해 이야기해볼까 한다.

2014년 7월 러시아의 언더그라운드 포럼에서 7,000달러에 악성코드를 판매한다는 글이 올라왔다. 이 악성코드는 뱅킹 악성코드로 여러 탐지 및 보안 기능을 우회하는 모듈이 덕지덕지 붙어있었다. 더불어 악성코드 판매자는 일주일간 악성코드를 사용해보고 살 수 있는 옵션을 제공하였고, 악성코드에 대한 상세 설명을 달아 홍보하기도 하였다. 이렇게 판매된 악성코드는 영국과 북미에서 주로 발견되었으며, 2014년 7월 프랑스의 은행권이 이 바이러스로 공격당했다는 기사가 올라오기도 했다. 그리고 3년이 흐른 뒤, 이 악성코드가 최근 활발하게 언급되고 있는데 그 이유가 며칠 전 wannacry의 영웅이라 불리는 Marcus Hutchins가 이 악성코드의 개발자로 붙잡혔기 때문이다. 그러므로 오늘은 이 악성코드, 크로노스(Kronos)에 대해 이야기해보려 한다.

국내에서 이번 나야나 랜섬웨어 사건으로 먼 얘기인줄 알았던 랜섬웨어의 위험성이 수면 위로 드러났다. 지난 5월에 발생한 워너크라이 랜섬웨어도 분명 윈도우 사용자에게 위협을 주었다지만 한 회사의 존폐가 달린 사건이 발생하니 뭔가 랜섬웨어의 위험성이 피부에 더 와 닿는 것 같다. 아무튼, 5월에 발생한 워너크라이가 지나가고 6월에는 새롭게 나타난 랜섬웨어가 있으니 그것이 바로 에레버스(Erebus) 랜섬웨어다. 이 랜섬웨어는 특정 인터넷 호스팅 업체 인터넷나야나 업체에서 사용하는 리눅스 153대의 서버를 감염시켰고, 서비스를 사용하는 사용자가 정상적인 서비스 사용을 할 수 없게 하였다. 당시 감염된 서버는 서버에 저장된 파일이 모두 암호화되었고 백업파일 역시 삭제되었으며 공격자는 이를 복구하기 위해 금전적 요구, 전자화폐를 요구하였다.

최초의 바이러스가 무엇일까. 모두가 브레인 바이러스라고 알고 있지만, 사실은 그보다 먼저 나온 바이러스가 있다. 지금으로부터 약 35년 전, 이 바이러스는 개발자의 농담만 적혀있던 단순한 바이러스로 악의적으로 위협적인 바이러스는 아니었다. 무려 브레인 바이러스보다 5년이나 먼저 나왔고 생각보다 전염성도 있어 제작자인 Skrenta가 알고 있는 플로피디스크는 모두 감염되었다고 한다. 하지만 어째서 이 바이러스는 잊히고 브레인 바이러스만 기억되는 것일까. 오늘은 진짜로 최초의 바이러스, Elk Cloner 바이러스에 대해 이야기해 보려 한다.

국내에서 발생한 최초의 바이러스가 무엇인지 아는가. 정답은 브레인(Brain) 바이러스다. 브레인 바이러스는 국내로 흘러들어와 사람들에게 컴퓨터 바이러스가 무엇인지 알려준 바이러스다. 그렇다고 해서 막상 브레인 바이러스로 인해 큰 피해가 있었던 것은 아니다. 사람들은 단순히 브레인을 보며 ‘아 이런 것이 컴퓨터 바이러스구나’ 라고 인식하였다. 하지만 그다음 해에 ‘컴퓨터 바이러스로 인해 내가 피해를 당할 수 있구나’ 를 알려준 바이러스가 등장했다. ‘MADE IN KOREA’ 라고 말할 수 있는 LBC 바이러스는 국내에서 만들어져 급속도로 퍼지고 이 바이러스로 인해 여러 곳에서 피해가 속출했다. 오늘은 국내산 바이러스 LBC 바이러스에 대해서 말해보려 한다.

1989년 처음으로 불가리아 바이러스가 나왔다. 그때 나온 바이러스는 사람들의 관심을 끌기 충분할 정도로 악명도 높았고 퍼져가는 속도도 빨랐다. 이 글을 읽고 있는 분 중 어느 정도 나이가 있는 분이라면 이 바이러스가 무엇인지 단박에 알 수도 있겠다. 80년대 후반부터 90년대 초반까지 퍼져 나간 이 바이러스 때문에 상당히 고생한 이야기도 한두 개가 아닐 정도다. 불가리아에서 시작되어 유럽 전역으로 퍼져 나가 미국과 호주에도 도달하였으며 국내 역시 이 바이러스를 피해 갈 수 없었다. 다크 어벤저(Dark Avenger) 바이러스는 자신을 복제하여 다른 컴퓨터를 감염시키고 16번째 실행되는 감염된 파일을 통해 다른 파일을 파괴하거나 시스템을 망가트린다. 당시, 하나의 파일 형식만 감염시켰던 것과 달리 여러 파일 형식을 감염시키는 방식과 40억 가지 모습으로 변형할 가능성을 보여준 존재의 첫 등장이다.

컴퓨터 바이러스는 컴퓨터 프로그램의 일종으로 사용자 시스템에 침투하여 자신을 복제하고 다른 프로그램을 감염시켜 정상적인 프로그램이나 다른 데이터 파일, 시스템 등을 파괴하는 악성 프로그램을 말한다. 우리가 알고 있는 컴퓨터 바이러스의 의미도 보통은 이런 의미로 알고 있을 것이다. 이러한 컴퓨터 바이러스를 잡는 프로그램을 백신이라 하는데 꼭 프로그램 형태로만 존재하는 것은 아니다. 최초의 바이러스인 브레인 바이러스가 나왔을 때는 백신 프로그램이 아닌 또 다른 바이러스가 나왔는데 이 바이러스는 브레인 바이러스를 찾아 파괴하는 일종의 선충 바이러스다. 이 바이러스의 이름은 덴즈코(Denzuk) 바이러스로 최초의 선충 바이러스라 말할 수 있다.

서양에서는 13일의 금요일을 불길하게 여긴다. 요즘은 그냥 단순한 미신으로 여기지만 옛날에는 이야기가 다르다. 13은 죽음을 상징하는 흉한 숫자로 예수가 십자가형을 당한 날이 13일의 금요일이며 12 사도와 예수를 포함한 13명이었기 때문에 13일의 금요일을 불행하게 여긴다는 것이 정설이다. 또 다른 이야기는 노르웨이 신화에서 12의 신들이 초대된 잔치에서 13번째 손님이 등장했는데 이 손님이 바로 악의 신 로키(Loki)였다. 이때문에 13과 금요일은 안 좋은 일이 생긴다는 미신을 가지고 있어 영국 해군은 이를 깨보겠다며 HMS 프라이데이호를 출항시켰는데 배가 흔적도 없이 사라졌다는 이야기도 있다. 물론, 이 이야기가 사실인지 아닌지는 확인할 방법은 없다. 아무튼, 13일의 금요일은 불길하게 여겨지며 영화로도 만들어지고 TV 시리즈로도 만들어지는 등 서양에서는 불행한 미신 같은 이야기다. 13일의 금요일은 한 해에 2~3번 돌아오는데 컴퓨터에서도 이와 같은 맥락으로 그 날만 되면 날뛰는 바이러스가 있으니 그것이 바로 13일의 금요일 바이러스다.