Brain로직 폭탄 (Logic Bomb) / 시간 폭탄 (Time Bomb)
핵심 인사이트 (3줄 요약)
- 본질: 로직 폭탄은 개발자나 침입자가 특정 조건이 충족되었을 때(날짜, 시간, 특정 사용자 로그인, 파일 삭제 등) 악의적인 코드 실행을 트리거하는 악성 소프트웨어다. 이欺瞞(기만)적触发(트리거) 메커니즘으로, 정상 업무 중 몰래 침투하여 시스템에 백도어를 설치하거나 데이터를 파괴하는 일종의 시한폭탄이다.
- 가치: 이 기술은 내부자 위협(Insider Threat)과 공급망 공격(Supply Chain Attack)의 대표적인 수단으로, 외부 방화벽이나 IDS를 우회하여 조직 내부에서密かに(비밀스럽게) 작동하며, 사전에 설정된 조건이 충족되면 피해자에게 경고 없이即時(즉시) 피해를 준다.
- 한계: 시간bomb형(Time Bomb)은 지정된 시간이 경과하면 무조건 폭발하므로 탐지 가능성이 높고, современные(현대적인) EDR(Endpoint Detection and Response) 및 FIM(File Integrity Monitoring) 시스템이 파일 시스템 변경을 실시간 모니터링하므로 사전에 탐지될 가능성이 높다.
1. 개요 및 분류
정의 및 유형
로직bomb은 소프트웨어 내에 숨겨진 악성 코드 패턴으로, 특정 조건이나 이벤트에 응답하여 비정상적인 동작을 수행한다. 시간bomb(Time Bomb)은 사전에 지정된 시간이나 날짜에 실행되는 로직bomb의 한 유형이다.
[로직bomb 내부 구조]
조건 확인 (Trigger)
|
v
if (특정 조건 == TRUE) {
goto PAYLOAD;
}
|
v
정상 업무 코드...
document.save();
calculate_report();
PAYLOAD 섹션 (악성 코드):
- OS 파일 시스템 파괴 (rm -rf)
- 백도어 개방 (nc -l -p 31337)
- 데이터 외부 유출
[핵심 포인트] 로직bomb의 가장 큰 특징은 평소에는 정상 코드처럼 보이며, 해당 조건이 충족되지 않는 한 악성 코드가 실행되지 않는다는 점이다.
2. 주요 유형 및 특징
시간bomb (Time Bomb)
| 유형 | 설명 | 예시 |
|---|---|---|
| 날짜 기반 | 특정 날짜에 동작 | "2025년 12월 31일에 파일 삭제" |
| 시간 기반 | 특정 시각에 동작 | "매일 자정마다 백도어 활성화" |
| 카운트 기반 | N번째 실행 시 동작 | "파일 열기 30번째마다 악성 코드 실행" |
| 이벤트 기반 | 특정 이벤트 발생 시 | "직원 데이터 삭제 시 같이 실행" |
로직bomb (Logic Bomb)
| 트리거 조건 | 설명 |
|---|---|
| 사용자 로그인 | 특정 사용자가 로그인할 때 동작 |
| 파일 존재/삭제 | 특정 파일이 삭제되거나 존재할 때 |
| 보상/급여 미지급 | 급여명세서 미도착 시 |
| 직위 변경/해고 | 인사 시스템 변경 시 |
3. 실전 사례 분석
사례 1: 금융권 로직bomb
상황: SI 회사 개발자 A는 2년간 회사에 기여했다. 1년 연장 의사결정이迟迟(지체)되고, 성과급 지급이 계속延期(연기)되자, 보复仇(복수)심을 먹었다.
공격 과정:
- A는 퇴사 1개월 전,趁(틈)을 타 업무 시스템의 로직bomb을仕組(심화)했다.
- 시스템에서 급여 처리Iterations(반복)回에 따라 25번째Processing(처리)에서 악성payload를 심화植入(이식)했다.
- 1개월 후 회사는 A를 계속 고용하지 않기로 결정했고, 퇴사 후 31번째 급여 처리 시 시스템 내 모든 고객 데이터를Encrypt(암호화)하여 引導(유도)했다.
결과 및 교훈:
- 회사 경영진은 "시스템 오류"로 오인하고, Ransom(몸값)을 요구하는 메세지를 받을 때까지 정체를 몰랐다.
- 사고 해결 기간: 45~90일, 直接被害(직접피해) 수백억 원
4. 방어 및 탐지 기법
防御(방어) 전략
- Code 리뷰 및 정적 분석: 배포 전 모든 코드에 대한 심층적인 정적 분석을 수행하여 숨겨진 패턴을 탐지
- 행위 기반 모니터링 (EDR): 프로세스 및 파일 시스템 변경을 실시간으로 모니터링하고, 이상 행위를Flag(플래그)할 수 있는 EDR 솔루션 배포
- 파일 무결성 모니터링 (FIM): Tripwire 등을 활용하여 주요 시스템 파일의 SHA-256 해시를 정기적으로 검증
탐지 기술
| 기술 | 설명 | 효과 |
|---|---|---|
| 행위 분석 (Behavioral Analysis) | 비정상적인 파일 접근/수정 패턴 탐지 | 높음 |
| 샌드박싱 (Sandboxing) | 의심스러운 코드를 격리된 환경에서 실행 | 중간 |
| 파일 해시 비교 | 시스템 파일 무결성定期(정기) 검증 | 높음 |
5. 기대효과 및 결론
로직bomb과 시간bomb은 외부 해킹보다 내부자 위협에 더有效性(효과적)이며, 단순한 방화벽이나 AV(안티바이러스) 솔루션으로는 탐지하기 어렵다. 따라서 다음과 같은 다층 방어 전략이 필요하다:
- 사전 예방: 안전한 코딩 관행, 정적 분석 도구 활용
- 실시간 탐지: EDR, FIM, 행위 모니터링
- 사후 대응: 정기적인 백업 및Incident Response(사고 대응) 계획 수립
관련 개념 맵 (Knowledge Graph)
| 개념 | 설명 |
|---|---|
| 백도어 (Backdoor) | 로직bomb이 설치하는 주요 악성payLoad의 하나 |
| 트로이 목마 (Trojan Horse) | 로직bomb을 배포하는 주요 수단 중 하나 |
| EDR (Endpoint Detection and Response) | 행위 기반 탐지를 통한 로직bomb 탐지 도구 |
| FIM (File Integrity Monitoring) | 파일 무결성 검증으로 사전 탐지 |
👶 어린이를 위한 3줄 비유 설명
- 로직bomb은 컴퓨터 안에 숨어 있는 나쁜 친구와 같은 것이다. 엄마가 용돈을 안 주면 냉장고를 열지 못하게 심어둔 시한장치를 생각하면 돼.
- 특정 조건이 채워질 때까지는 아무렇지 않은 척하다가, 조건이 충족되면 갑자기 터져서 컴퓨터를 고장 내거나 비밀을 가져가는 것이 특징이야.
- 그래서 우리느 컴퓨터에 이상한 프로그램을 깔거나, 누가 건네준 파일을 열 때 조심해야 해.virus처럼 보이지 않다가도 나중에 문제을 일으킬 수 있거든.