바이러스 (Virus) - 기생적 감염자
핵심 인사이트 (3줄 요약)
- 본질: 컴퓨터virus는 다른 정상 프로그램이나 파일에 自己增殖(자기관증) 가능한 코드를 붙여넣어埋伏(매복)하며, 숙주 파일이 실행될 때 함께Activated(활성화)되어-system을 감염시키고被害(피해)를 주는 자기복제 기능이 있는 악성 소프트웨어다.
- 가치: virus의 가장 큰 특징은virus学者(학자)들이 "비버(Biber)"라고 불렀다"Justاط會(교류)"하던1970년대 아르파넷(ARPANET) 시대에 처음으로 보고되었으며, 감염 경로가 다양하여 floppy disk, USB, email 첨부파일 등 다양한 매체를 통해扩散(확산)될 수 있다.
- 한계:virus는 반드시 숙주 프로그램이 있어야 실행되므로 사용자의Interactor(상호작용)(파일 실행)이 필요하며, 현대 안티바이러스 솔루션은 휴리스틱(Heuristic) 분석과 시그니처 기반 탐지를 통해virus를 효과적으로 차단하고 있다.
1. 개요 및 역사
virus의 등장
컴퓨터virus의 개념은 1970년대에報告(보고)되었으며,"Creeper" virus가最早的(최초의) 보고된virus로 알려져 있다. virus는 원래 "곰층(감염자)"이라는 의미로, 정상 프로그램에 기생하여 그 생명周轉(주변)을 유지하는 점에서 생물학적virus와 유사하다.
virus vs的其他(기타) 멀웨어 비교:
| 特性(특성) | virus | Worm | Trojan |
|---|
| 자기복제 | 예 | 예 | 아니오 |
| 감염 경로 | 파일/프로그램 | 네트워크 | 수동 배포 |
| 실행 방식 | 숙주 필요 | 자율적 | 사용자 запуска(실행) |
| 분포 속도 | 중간 | 매우 빠름 | 느림 |
2. 감염 메커니즘 및 분류
감염 단계
[Phase 1: 감염 유입]
- 바이러스가 정상 호스트 코드에 부착
- 호스트 코드 수정: 기존 코드 앞에 점프(JMP) 명령어 삽입
[Phase 2: 활성화]
- 사용자 실행 시 virus 코드로 제어권 이동
-virus 자체 복제 수행
[Phase 3: 실행]
- 원래 호스트 코드 실행 (감염 여부 숨기기)
- Payload 실행 (파일 삭제, 데이터 탈취, 백도어 설치 등)
주요 유형
| 유형 | 설명 | 위험 수준 |
|---|
| 파일 감염 virus | 실행 파일(.exe, .com 등)에 부착 | 높음 |
| 부트 섹터 virus | MBR/부트 섹터에 감염 | 중간~높음 |
| 매크로 virus | Word/Excel VBA 매크로 활용 | 중간 |
| 스크립트 virus | PowerShell, JavaScript 등 | 중간 |
| 파일리스 virus | 메모리 내에서만 동작 | 높음 |
| 다형성 virus | 매번 코드를 변형 | 높음 |
| 메타모르픽 virus | 전체 코드 변형 | 매우 높음 |
3. virus vs Worm vs Trojan 비교
[비교 다이어그램]
+--------+
| Malware|
+---+----+
|
+-----+------+-----+
| | |
Virus Worm Trojan
| | |
v v v
기생적 자율적 위장
자기복제 네트워크전파 가짜선물
숙주필요 비호스트 수동실행
| 구분 | virus | Worm | Trojan |
|---|
| 자기복제 | 예 | 예 | 아니오 |
| 감염 방식 | 파일 부착 | 네트워크 | 가짜 프로그램 |
| 확산 속도 | 느림~중간 | 매우 빠름 | 느림 |
| 탐지 난이도 | 쉬움 | 중간 | 어려움 |
4. 실전 사례 및 대응
사례: Melissa 매크로virus (1999)
개요: Microsoft Word 문서에VBA 매크로 형태로感染(감염)되며, 감염된 문서를 열면 Outlook을 통해 50명의 연락처로 자발적으로扩散(확장)되었다. Within 3시간(3시간 이내)에 약 200만 명이 감염되었다.
대응 방안:
- 안티바이러스 Application Control(애플리케이션 제어) 배포
-macro 보안 설정 강화
- USBAutorun(오토런) 기능 비활성화
- FIM(파일 무결성 모니터링) 도입
5. 방어 전략
정량 효과 비교
| 구분 | 전통 AV만 | EDR + FIM + AV | 효과 |
|---|
| 0-day virus 탐지 | < 15% | 65~80% | 크게 향상 |
| 감염 확산 시간 | 수시간~수일 | 즉시 차단 | 최소화 |
| 복구 시간 | 수일~수주 | 수시간 | 단축 |
향후 전망
- 다형성 및 메타모르픽virus 증가로 휴리스틱 탐지의 중요성 확대
- AI 기반 행위 분석이 전통 시그니처 탐지 보완
- 제로 트러스트(Zero Trust) 환경에서virus 탐지 새로운 패러다임으로 전환
관련 개념 맵 (Knowledge Graph)
| 개념 | 설명 |
|---|
| Worm | virus와 달리 네트워크를 통해 자율적으로扩散하는 자기복제 멀웨어 |
| Trojan Horse | virus와 달리 자기복제 능력 없이 가짜 프로그램으로 위장하여 배포 |
| Bootkit | 부트 섹터 virus의 발전형으로, OS 로딩 이전에 감염하는 고급 기법 |
| EDR | virus 행위 기반 탐지 및 대응 시스템 |
👶 어린이를 위한 3줄 비유 설명
- 컴퓨터virus는 감기에 걸린 사람과 같다. 다른 사람과 손을 잡거나 기침을 하면 병이 옮겨가는 것처럼,virus도 감염된 파일을 다른 사람에게 전달하면 Spread(확산)된다.
2.virus는virus防疫(방역) 프로그램(백신)이 없으면 컴퓨터 속에서 몰래 퍼져나가서 파일을 죽이거나 비밀을 훔쳐가는 나쁜 썩은 물건이다.
- 우리느 출처가 불명확한 파일을 함부로 열거나, immunization(면역)이 안 된 컴퓨터에다가 이상한 프로그램을 깔아주면 안 된다. 그것이virus를 막는 가장 좋은 방법이다.
Brain