9주차 - 분류 성능 평가 지표와 악성코드 종류

0. 과제 및 과정 소개

9주차 과제 정오탐과 악성코드의 분류.pptx

1.31MB

 

과제 발표에 사용한 PPT파일을 첨부합니다. 이 과제는 AI스쿨 리팩토링 보안 과정의 일부로 2024년 1월 21일에 발표되었으며 보안 기초에 해당하는 분류 성능 평가 지표와 악성코드 기초를 다루었습니다. 리팩토링 교육과정에 참여하고자 하신다면 아래 AI스쿨 공식 카페에 방문해 주세요.

 

 https://cafe.naver.com/itscholar

정보보안전문가 취업카페 스칼라 : 네이버 카페

---

 

1. 분류 성능 평가 지표란?

등장 배경
기존의 모델들은 정확도(Accuracy)를 중심으로 평가했습니다. 여기서는 다루지 않지만 로지스틱 회귀 (Logistic Regression), 결정 트리 (Decision Tree) 모델들이 그러합니다.

그렇지만 전체 모델 중 95%는 정상, 5%는 악성코드와 같은 불균형 클래스를 검사할 때, 이 모델들은 95% 정상으로 평가하기 때문에 큰 도움이 되지 않았습니다. 특히 보안 분야처럼 실패 비용이 큰 분야에서는 단순히 "맞췄는가?"만 보는 것이 아니라, 어떤 방식으로 틀렸는가?가 훨씬 중요하기 때문에 이를 정량적으로 판단할 기준이 필요했습니다. 그 결과 분류 성능 평가 지표가 고안되었습니다.

 

정의
분류 성능 평가 지표는 모델이 어떤 결과를 얼마나 잘 분류했는지를 평가하는 기준입니다. 이는 모델의 판단이 얼마나 실제 상황과 일치하는지를 수치적으로 확인하기 위해 고안되었습니다. 이 지표는 단순히 전체 정확도만으로는 파악할 수 없는, 예측 결과의 정확성과 오류 유형(오탐/미탐)을 구분해 평가할 수 있도록 설계되었습니다.

 

즉 이 지표는

• 단순 정확도 이상의 정밀한 평가 필요
• 실제값 vs 예측값 간 관계 분석
• 위험 기반 의사결정 지원 (예: 미탐이 더 위험한 경우)

다음을 목적으로 합니다.

 

분류 성능 평가 지표

		실제 정답 여부
		True	False
예측 분류 결과	True	TP(True Positive)	FP(False Positive)
	False	FN(False Negative)	TN(True Negative)

• TP (True Positive): 실제 악성 → 악성으로 올바르게 탐지
• FN (False Negative): 실제 악성 → 정상으로 잘못 판단 (미탐)
• FP (False Positive): 실제 정상 → 악성으로 잘못 판단 (오탐)
• TN (True Negative): 실제 정상 → 정상으로 올바르게 판단

정탐 (True Positive, True Negative)

✅ 개념

• 정탐은 보안 시스템이 정상적으로 위협을 탐지했음을 의미합니다.
• 악성 파일을 악성으로 탐지하거나, 정상 파일을 정상으로 판단한 경우를 포함합니다.

💡 예시

• 악성코드가 포함된 첨부파일을 스팸으로 정확히 분류
• 백신이 정상 실행파일을 문제없이 통과시킨 경우

🧩 중요성

• 실제 위협을 빠르게 식별하고 대응할 수 있습니다.
• 시스템의 신뢰성을 확보하는 핵심 지표입니다.

미탐 (False Negative)

✅ 개념

• 실제로는 악성인데, 시스템이 이를 정상으로 판단한 경우입니다.
• 보안 시스템에서 가장 위험한 상황 중 하나로, 공격이 그대로 통과하게 됩니다.
• 보통 미탐률을 가장 중요한 지표라 평가하며, 그 이유는 미탐률이 높을수록 악성코드에 취약하기 때문입니다.
• 최근에는 시그니처 기반이 아닌 인공지능 기반의 백신이 낮은 미탐률을 보여 머신 러닝에 따른 인공지능 기반 백신 발전이 빠르게 이뤄지고 있습니다.

💡 예시

• 악성코드가 담긴 이메일이 일반 메일함에 전달
• 백신이 감염된 파일을 안전한 것으로 인식합니다

❗ 실전 사례

• 워너크라이 랜섬웨어: 윈도우 취약점을 이용해 대규모 피해 유발 (2017)
  → 당시 백신들의 미탐으로 인해 정부기관, 병원 등이 피해를 입었습니다

🔧 해결 방안

• 분류 임계값을 조정합니다.
• 재현율(Recall) 및 민감도(Sensitivity)를 최적화합니다.

오탐 (False Positive)

✅ 개념

• 실제로는 정상인데, 시스템이 이를 악성으로 판단한 경우입니다.
• 사용자 경험을 해칠 수 있고, 잦은 오탐은 경고 피로(Alert Fatigue)를 유발할 수 있습니다.
• 공격은 아니므로 확인이 번거롭지만 치명적 결과를 초래할 가능성은 낮습니다. 그러나 큰 문제로 이어진 사례도 있습니다
• 잦은 오탐은 경고 피로를 야기하며, 정작 실제 위협에 둔화할 수 있습니다.

💡 예시

• 정상 프로그램이 악성코드로 분류되어 실행 차단
• 정상 이메일이 스팸으로 처리되어 수신되지 않음

❗ 실전 사례

• 알약 오탐 사고(2022년 8월) : 알약에서 윈도우 기본 프로세스를 랜섬웨어로 잘못 탐지하여, 윈도우 전체가 먹통이 된 사건입니다.

🔧 해결 방안

• 정밀도(Precision)를 높이도록 모델 개선
• 탐지 임계값 조절로 오탐률 감소

정리 및 실전 활용

• 이러한 지표는 보안 장비의 성능 평가, 정책 개선, 그리고 새로운 위협 대응 전략 수립에 핵심이 됩니다.
• 특히 미탐은 실제 피해와 직결되므로 항상 가장 중요하게 다루어야 하며, 실제 시스템 도입 시 정탐률과 오탐률의 균형을 맞추는 것이 중요합니다.

❗ 참고: 정밀도(Precision)와 재현율(Recall)은 서로 반비례하는 경우가 많습니다.
실무에서는 해당 지표를 함께 고려하여 F1 점수와 같은 통합 지표도 사용합니다.

2. 악성코드란?

악성 코드의 종류, 출처: Signmycode - What is a Malicious Code?

 

보안의 기초를 논할 때 절대 빠질 수 없는 개념이 바로 '악성코드'입니다.
많은 분들이 '바이러스'라는 용어만 알고 계시지만, 실제로 악성코드는 훨씬 더 포괄적인 개념을 담고 있으며, 정보 보안에서 중요한 출발점이 됩니다.

 

✅ 정의

• 악성코드란 정상 기능을 위한 목적이 아닌, 사용자에게 피해를 주기 위한 악의적인 의도로 만들어진 코드 전체를 의미합니다.
• 이러한 코드는 사용자의 허락 없이 시스템에 침투해 데이터를 파괴하거나 유출시키고, 시스템 성능을 저하시킬 수 있습니다.
• 즉, 컴퓨터 시스템을 손상시키거나 무력화하려는 목적의 소프트웨어 또는 스크립트 전체를 일컫는 말입니다.
• 보안 업계에서는 이러한 악성코드를 다양한 용어로 구분해 설명하기도 합니다.

 

📌 용어 구분

• Malware
  Malware는 Malicious Software(악의적인 소프트웨어)의 줄임말로, 악성코드 전체를 포괄하는 대표적인 용어입니다. 바이러스, 웜, 트로이 목마, 랜섬웨어 등 다양한 악성 소프트웨어 유형을 포함합니다.
• Malicious Code
  이 용어는 '소프트웨어'보다는 '코드' 자체에 초점을 둡니다.
  웹 페이지에 삽입되는 악성 스크립트나 SQL 인젝션 코드 등, 실행 가능한 소프트웨어 형태가 아니더라도 악의적 목적을 가진 코드라면 모두 포함됩니다.

정리하자면, Malware는 '무엇인가를 실행하는 프로그램'에 가까우며, Malicious Code는 '악성 의도를 가진 코드'라는 성격을 강조한다고 보시면 됩니다.

 

💡 악성코드의 특징

• 사용자의 인지 없이 은밀하게 작동합니다.
• 시스템 자원을 무단으로 사용하거나, 데이터를 암호화 또는 삭제하는 등의 피해를 유발합니다.
• 외부에서 명령을 수신해 공격 방법을 유동적으로 바꾸기도 합니다.
• 대부분 다른 정상 파일이나 프로그램에 숨어서 동작하며, 자가 복제 기능을 가진 경우도 많습니다.

🧩 기초가 되는 3대 유형

3대 악성코드 유형, 출처: Baeldung on Computer

악성코드의 종류는 매우 다양하지만, 가장 기본이 되는 세 가지 유형은 다음과 같습니다.

1. 컴퓨터 바이러스
2. 웜(Worm)
3. 트로이 목마(Trojan Horse)

이 세 가지는 악성코드의 감염 방식, 확산 경로, 공격 방식 등에서 기본적인 토대를 이룹니다.
많은 최신 악성코드들도 이 세 가지의 특징을 조합하거나, 특정 기능을 확장한 형태로 등장합니다.

예를 들어, 트로이 목마처럼 은밀히 침투한 후 랜섬웨어처럼 데이터를 암호화하고 금전을 요구하는 복합 형태도 존재합니다.

 

🛡️ 악성코드를 이해해야 하는 이유

악성코드는 단지 하나의 소프트웨어가 아니라, 공격자가 의도한 목적을 수행하기 위한 도구입니다.
따라서 이를 올바르게 정의하고 분류하는 것은 보안 시스템의 설계, 정책 수립, 대응 전략 결정에 있어 핵심적인 단계입니다.

악성코드는 '이것만 막으면 된다'는 식으로 간단히 대처할 수 없습니다.
그 종류와 동작 방식이 다르기 때문에 정확한 이해가 선행되어야 올바른 대응이 가능합니다.

 

3. 악성코드의 종류

🧬 3-1. 컴퓨터 바이러스

컴퓨터 바이러스 감염 원리, 출처: EngineersGarage

 

컴퓨터 바이러스는 가장 잘 알려진 악성코드 유형 중 하나이며, 현실의 바이러스처럼 스스로를 복제하며 확산하는 특징을 갖습니다.
사용자가 인지하지 못하는 사이에 시스템 내부로 침투하고, 다른 프로그램이나 파일에 자신의 코드를 삽입해 감염을 확산시킵니다.

 

✅ 정의 및 특징

• 컴퓨터 바이러스는 자기 복제 기능을 가진 악성 코드이며, 사용자의 실행 동작이 있어야 감염이 시작됩니다.
• 감염된 파일이나 프로그램을 실행하면, 해당 바이러스가 함께 실행되어 다른 프로그램이나 파일에 자신을 복사합니다.
• 파일, 시스템 파괴, 은신(은폐) 기능 등을 포함할 수 있습니다.
• 실행 파일(.exe)이나 이메일 첨부파일 등으로 유포되며, 감염 파일에 자신을 붙이는 방식이 일반적입니다.
• 이 과정에서 시스템을 손상시키거나, 사용자의 데이터를 파괴하거나, 특정 조건에서만 작동하는 트리거 방식으로 설계되기도 합니다.

📛 주요 사고 사례

• CIH 바이러스 (치른 바이러스, 1998)
  타이완에서 제작된 이 바이러스는 감염된 시스템의 하드디스크를 포맷하고, 심지어 PC의 BIOS를 파괴해 부팅 자체를 불가능하게 만들었습니다.
  피해 규모는 수십만 대에 달했으며, 당시로서는 전례 없는 수준의 하드웨어 손상형 바이러스로 악명을 떨쳤습니다.

🧩 과거와 현재의 역할 변화

• 과거에는 컴퓨터 바이러스가 가장 주된 악성코드 유형이었으나, 현대 보안 환경에서는 웜이나 트로이 목마와 같은 더 복잡하고 능동적인 악성코드들이 주류가 되었습니다. 하지만 여전히 다른 악성코드의 구성 요소로 함께 활용되거나, 기초 감염 방식으로 사용되기 때문에 보안 시스템에서는 기본적인 탐지 대상으로 항상 포함되어 있습니다.

🪱 3-2. 웜(Worm)

웜의 전파, 출처: Adlice Software - What is a Computer Worm ? How to Remove

 

웜은 컴퓨터 바이러스와 유사해 보이지만, 그 동작 방식에 있어 명확한 차이를 보입니다.
특히 웜은 사용자의 실행 없이도 스스로 전파될 수 있는 능동적인 악성코드라는 점에서 그 위험성이 더욱 큽니다.

 

✅ 정의 및 특징

• 웜은 컴퓨터 시스템을 감염시키고, 스스로를 복제하여 네트워크를 통해 확산하는 악성코드입니다.
• 사용자의 명시적인 실행 없이도 자동으로 작동할 수 있는 특징이 있으며, 이러한 점에서 바이러스와 차별됩니다.
• 주로 네트워크 연결을 통해 확산되며, 이메일, 메신저, 네트워크 취약점 등을 이용합니다.
• 빠르게 확산될 수 있기 때문에, 웜은 시스템뿐 아니라 네트워크 전체에 심각한 부담을 줄 수 있습니다.

감염된 시스템은 비정상적인 트래픽을 발생시키거나, 시스템 자원을 과다하게 점유해 서비스 거부(Denial of Service, DoS) 상황을 유발할 수 있습니다.

 

📛 주요 사고 사례

• 스턱스넷(Stuxnet, 2010)
  이란의 핵 개발 시설을 목표로 만들어진 국가 주도의 사이버 무기 웜입니다.
  USB를 통해 유입된 뒤, 지멘스 제어 시스템의 산업 장비를 파괴하도록 설계되었습니다.
  특히 윈도우의 제로데이 취약점 4개를 동시에 이용했으며, 물리적 기계 장비를 파괴한 최초의 디지털 웜으로 기록됩니다.
  이 사건은 사이버 공격이 실제 산업 설비와 국가 안보에까지 영향을 줄 수 있음을 전 세계에 보여준 상징적인 사례입니다.

🧩 과거와 현재의 역할 변화

• 과거의 웜은 단순한 복제와 확산 기능만을 갖추고 있었지만, 최근의 웜은 트로이 목마, 스파이웨어 등 다른 악성코드 기능을 내장한 복합 형태로 진화했습니다.
• 특히 기업 내부망처럼 네트워크 기반 구조에서는 웜의 확산 속도가 빠르기 때문에, 초기 대응이 지연될 경우 조직 전체에 악영향을 미칠 수 있습니다.

🐎 3-3. 트로이 목마 (Trojan Horse)

악성 코드를 내재한 트로이 목마, 출처: ExpressVPN Blog

 

트로이 목마는 고대 그리스 신화에서 유래한 이름으로, 겉보기에는 정상적인 프로그램처럼 보이지만 실제로는 악성 행위를 수행하는 코드를 의미합니다.
사용자 스스로가 설치하거나 실행하게 유도된다는 점에서, 사회공학 기법과 결합된 심리적 공격 형태로도 볼 수 있습니다.

 

✅ 정의 및 특징

• 트로이 목마는 스스로 복제하거나 전파되지는 않지만, 정상적인 파일이나 소프트웨어처럼 위장하여 사용자가 직접 설치하도록 유도합니다.
• 일단 실행되면 백도어 생성, 정보 유출, 감시, 파일 삭제, 랜섬웨어 실행 등 다양한 악성 행위를 수행할 수 있습니다.
• 감염 여부를 쉽게 알기 어려워 피해가 장기간 지속될 수 있으며, 보통 정상 프로그램처럼 아이콘이나 이름까지 위장합니다.
• 이메일 첨부파일, 불법 소프트웨어, 크랙 파일, 게임 설치 프로그램 등으로 위장하여 배포됩니다.

📛 주요 사고 사례

• 2017년 'NotPetya' 사태
  우크라이나 세무 회계 소프트웨어에 트로이 목마 형태로 침투한 악성코드가 배포되어, 실행 즉시 전체 디스크를 암호화하고 부팅을 불가능하게 만들었습니다. 초기엔 랜섬웨어처럼 보였으나, 실제로는 파괴 목적의 사이버 무기로 밝혀졌습니다. 다수의 글로벌 기업과 정부 기관이 피해를 입었으며, 피해 추정액은 수십억 달러에 달했습니다.

 

🧩 과거와 현재의 역할 변화

• 과거에는 단순한 위장 수단에 불과했지만, 최근의 트로이 목마는 멀웨어 다운로더, 정보 탈취기, 랜섬웨어 트리거 등 다단계 공격의 첫 번째 단계로 자주 활용됩니다.
• 특히 사용자의 심리를 자극해 클릭을 유도하는 스피어 피싱 메일, 가짜 앱, 위장된 기업 웹사이트 등과 결합되어 공격 수단으로 고도화되고 있습니다.

🕵️ 3-4. 스파이웨어 (Spyware)

스파이웨어, 출처: AVG Antivirus

 

스파이웨어는 말 그대로 사용자의 활동을 '몰래 감시'하는 악성코드입니다.
직접적인 파괴 행위보다는 정보 수집과 추적에 초점을 맞추며, 사용자 몰래 설치되어 데이터 유출, 행동 분석, 광고 노출 조작 등을 수행합니다.

 

✅ 정의 및 특징

• 스파이웨어는 사용자의 동의 없이 설치되어 백그라운드에서 몰래 실행되며, 다양한 개인정보를 수집합니다.
• 수집 대상은 웹 브라우징 이력, 검색어, 계정 정보, 키보드 입력, 클립보드 내용까지 매우 다양합니다.
• 사용자의 클릭을 유도하는 광고 팝업, 무료 소프트웨어 설치 시 동반되는 경우가 많으며,
  때로는 합법 프로그램처럼 포장되어 설치되는 경우도 있습니다.
• 성능 저하, 브라우저 리디렉션, 광고 과다 노출 등으로 사용자에게 불편을 유발하지만, 피해를 인지하지 못한 채 장기간 방치되기도 합니다.

📛 주요 사고 사례

• CoolWebSearch 스파이웨어 (2003~)
  사용자의 웹 브라우저 설정을 강제로 변경하고, 특정 광고 사이트로 리디렉션시키는 악성코드였습니다.
  감염 시 사용자가 어떠한 설정을 해도 자동으로 검색창, 홈페이지 등이 변경되었으며,
  수많은 스파이웨어 제거 도구들이 등장하게 된 계기가 된 악성코드입니다.

NSO 페가수스 사건 (2021)
이스라엘 NSO 그룹이 만든 스파이웨어 페가수스는 감염 대상자의 스마트폰을 원격으로 제어하고, 카메라·마이크까지 통제할 수 있는 고급형 스파이웨어였습니다. 언론인, 인권운동가, 정치인 등을 대상으로 한 국가 간 감시 활동이 드러나며 국제적인 논란을 일으켰습니다.

 

🧩 과거와 현재의 역할 변화

• 과거의 스파이웨어는 주로 광고 기반 수익을 노리는 저급 악성코드였지만, 현대의 스파이웨어는 정교한 정보 탈취 및 감시 도구로 진화하고 있습니다. 특히 APT 공격의 초기 침투 수단으로 활용되며, 정치적, 산업적 목적의 지능형 위협에 포함되는 경우도 많습니다.

💣 3-5. 랜섬웨어 (Ransomware)

랜섬웨어, 출처: Aria Security

 

랜섬웨어는 최근 수년간 가장 큰 피해를 유발한 악성코드 유형 중 하나로, 사용자의 파일이나 시스템을 인질로 삼고 금전(보통 가상화폐)을 요구하는 형태의 악성코드입니다.
‘랜섬(ransom)’이라는 단어 자체가 ‘몸값’이라는 의미를 담고 있으며, 금전적 목적이 분명한 사이버 공격 수단입니다.

 

✅ 정의 및 특징

• 랜섬웨어는 파일을 암호화하거나 시스템을 잠궈 사용자가 접근하지 못하도록 만든 뒤,
  복호화(또는 해제) 대가로 비트코인 등의 암호화폐를 요구합니다.
• 감염된 시스템은 잠금 화면, 협박 메시지, 타이머 등을 띄우며 심리적 압박을 가하고,
  경우에 따라 복호화 키를 구매하라는 지시를 따르게 만듭니다.
• 초기에는 단순한 이메일 첨부파일을 통해 유포되었지만, 최근에는 취약한 RDP 포트, 공격자 자동화 툴 등을 통한 공격이 많아졌습니다.
• 일부 랜섬웨어는 파일을 암호화하기만 하는 것이 아니라, 데이터를 외부 서버로 먼저 유출한 후 협박하는 이중 갈취(Double Extortion) 방식으로 진화하고 있습니다.

📛 주요 사고 사례

• 워너크라이(WannaCry) 사태 (2017)
  전 세계 150여 개국에 피해를 준 대규모 사이버 공격으로, 윈도우의 SMB 취약점을 이용한 웜 형태의 랜섬웨어가 자동 확산되며 감염이 폭발적으로 퍼졌습니다. 특히 영국 NHS(국민건강서비스)의 병원들이 마비되었고, 응급 수술 및 외래 진료가 전면 중단되면서 물리적 피해까지 이어졌습니다.
  이후 이 공격은 북한의 해킹 조직이 배후로 지목되었으며, 사이버전의 상징적인 사건으로 기록되었습니다.

🧩 과거와 현재의 역할 변화

• 과거의 랜섬웨어는 개인 사용자의 파일 몇 개를 인질로 삼는 데 그쳤지만, 최근에는 조직 전체 네트워크를 암호화하고, 내부 자료 유출 및 공개 협박까지 병행하는 조직적 공격 수단으로 활용됩니다.
• 특히 공공기관, 병원, 물류, 제조업 등 시스템 가동이 핵심인 기관을 겨냥해 빠른 협상과 몸값 지불을 유도하는 방식으로 진화하고 있습니다.
• 랜섬웨어는 이제 단순한 금전 요구를 넘어서 기업 존폐, 국가 안보에까지 영향을 미치는 고위험 공격입니다.

📺 3-6. 에드웨어 (Adware)

에드웨어, 출처: Adblock blog

 

에드웨어는 광고(Advertisement)와 소프트웨어(Software)의 합성어로 광고 수익을 목적으로 사용자의 화면에 무분별한 광고를 노출시키는 프로그램입니다. 일부는 정식 소프트웨어에 포함되어 ‘무료 이용의 대가’로 간주되지만 악성 에드웨어는 사용자의 동의 없이 설치되며 보안상 위협을 유발하기도 합니다.

 

✅ 정의 및 특징

• 에드웨어는 광고 노출을 유도하기 위해 사용자의 브라우저 설정을 변경하거나,
  팝업, 리디렉션, 전체 화면 광고 등을 띄워 지속적인 방해를 일으킵니다.
• 단순한 광고 목적을 넘어, 일부 에드웨어는 사용자의 웹 활동을 추적하거나, 정보를 수집해 제3자에게 전달하는 기능을 수행하기도 합니다.
• 설치 경로는 대개 무료 소프트웨어 설치 시 함께 포함된 번들 형태이며,
  설치 과정에서 ‘기본 설치’ 옵션을 그대로 진행할 경우 사용자가 인지하지 못한 채 설치됩니다.
• 감염되면 브라우저 속도가 느려지고, 원치 않는 페이지로 이동하거나 사용자 경험이 전반적으로 악화되는 경우가 많습니다.

📛 주요 사고 사례

• Fireball 애드웨어 사건 (2017)
  중국 마케팅 회사가 배포한 애드웨어로, 전 세계 약 2억 5천만 대의 기기를 감염시켰습니다.
  사용자의 브라우저를 완전히 통제하여, 광고 수익을 극대화하고 검색 엔진 결과를 조작했습니다.
  단순한 광고 프로그램처럼 보였지만, 백도어 기능까지 내장된 악성코드로 발전 가능성이 크다는 점에서 보안 업계에 큰 충격을 주었습니다.

 

🧩 과거와 현재의 역할 변화

• 예전에는 무료 프로그램의 수익 모델로 간주되며 일정 수준까지는 허용되었지만 최근에는 개인정보 수집, 보안 허점 악용, 공격 전 단계로의 활용 등 다양한 방식으로 악성화되고 있습니다.
• 특히 브라우저 하이재커(Browser Hijacker) 형태로 진화하며, 사용자의 검색 경험 자체를 통제하고 유해 콘텐츠로 유도하는 사례도 늘고 있습니다.
• 오늘날 에드웨어는 단순한 광고 소프트웨어가 아니라 위협 행위로 발전할 수 있는 초기 감염 경로이자 보안 경고 대상으로 분류됩니다.

🛠️ 3-7. 루트킷 (Rootkit)

루트킷, 출처: Littlefish - What is a Rootkit & How To Deal With Them?

루트킷은 일반적인 악성코드와는 다른 성격을 지니며, 시스템에 몰래 숨어 보안 탐지를 회피하고 다른 악성 행위를 보조하는 은폐형 악성코드입니다. 주로 다른 악성코드(예: 백도어, 키로거)를 감추거나 권한 탈취를 통해 지속적인 통제를 유지하도록 돕는 도구 역할을 합니다.

 

✅ 정의 및 특징

• 루트킷은 운영체제 수준에서 자신 또는 다른 악성코드의 존재를 숨기기 위한 도구입니다. 루트(root) 권한을 획득하거나 커널 내부에 침투하여 파일, 프로세스, 네트워크 연결, 레지스트리 등을 보이지 않게 만들 수 있습니다.
• 감염 후에는 사용자가 아무리 백신을 실행하거나 작업 관리자에서 확인하려 해도 해당 악성코드가 존재하지 않는 것처럼 위장할 수 있습니다.
• 대개는 다른 악성코드와 함께 설치되며, 백도어 설치 후 이를 은폐하거나, 감염 지속성을 유지하는 데 활용됩니다.
• 루트킷은 커널 모드나 부트킷(Bootkit)처럼 시스템의 가장 깊은 곳에 위치할 수 있어 일반적인 백신으로는 탐지·제거가 어렵습니다.

📛 주요 사고 사례

• Sony BMG 루트킷 사건 (2005)
  소니가 음악 CD에 디지털 저작권 보호(DRM)를 목적으로 설치한 소프트웨어가 사용자 동의 없이 루트킷 기술을 사용하여 시스템 내부를 은폐한다는 사실이 밝혀졌습니다. 해당 루트킷은 윈도우 운영체제의 핵심 영역을 숨기고 해커가 이를 악용할 수 있는 취약점을 남겼습니다. 이는  전 세계적으로 소비자 반발과 집단 소송을 일으켰던 대표적인 사례입니다.

🧩 과거와 현재의 역할 변화

• 과거 루트킷은 주로 해커들이 은밀히 시스템 권한을 획득해 지속적인 침투를 유지하기 위한 수단으로 사용되었습니다.
• 현재는 APT 공격처럼 장기적인 침투가 필요한 고도화된 공격에서, 다른 악성코드의 활동을 은폐하거나 지능형 위협을 지속시키는 핵심 기술로 자리 잡고 있습니다.
• 특히 UEFI 루트킷과 같은 펌웨어 기반 루트킷은 시스템 재설치로도 제거가 어려우며 하드웨어와 펌웨어 수준 보안이 필수로 요구되는 시대가 도래했습니다.

🚪 3-8. 백도어 (Backdoor)

백도어, 출처: cmlabs

 

백도어는 말 그대로 ‘뒷문’을 의미하며, 공격자가 시스템에 몰래 접근할 수 있도록 설치한 비인가 통로를 말합니다.
정상적인 인증 절차를 우회하여, 언제든지 원격에서 시스템에 재접속하거나 명령을 실행할 수 있게 해주는 악성코드 또는 기능입니다.

 

✅ 정의 및 특징

• 백도어는 인증 절차를 거치지 않고 시스템에 접속할 수 있는 비밀 경로로 작동합니다.
  일반적으로 감염 초기에 설치되며, 이후 공격자가 필요할 때마다 접근해 다른 악성코드를 심거나 데이터를 유출하는 데 활용됩니다.
• 백도어는 단독으로 설치되기도 하지만, 종종 트로이 목마, 루트킷, 웜 등과 결합되어 동작하며 공격자가 지속적인 통제권(persistence)을 유지하게 만듭니다.
• C&C(Command and Control) 서버와 연결되어, 외부에서 명령을 받아 시스템을 제어할 수 있도록 설계됩니다.
• 일부 백도어는 정상 소프트웨어 내부에 숨겨져 배포되기도 하며, 개발자가 고의로 삽입하는 경우도 존재합니다.

📛 주요 사고 사례

• SolarWinds 공급망 공격 (2020)
  미국 IT 기업 솔라윈즈의 업데이트 서버에 백도어가 삽입되어 이를 설치한 정부기관 및 기업 1만 8천여 곳이 감염되는 대규모 공급망 공격이 발생했습니다. 백도어는 Sunburst라는 이름으로 불리며, 감염된 시스템에서 조용히 내부망으로 확산, 데이터 유출과 스파이 활동을 수행했습니다.
  이 사건은 공급망 보안의 중요성과 백도어의 은밀한 위협성을 전 세계에 각인시킨 대표 사례입니다.

🧩 과거와 현재의 역할 변화

• 과거에는 백도어가 해커 개인의 침투 수단에 머물렀다면 현재는 APT(지능형 지속 위협) 공격의 핵심 도구로 자리 잡았습니다.
  특히 기업이나 정부 기관의 시스템에 장기적으로 숨어들기 위한 첫 관문 역할을 하며 루트킷과 결합해 흔적을 지우거나, 다른 악성코드를 다운로드하는 통로로 활용되는 등 다기능화되고 있습니다.
• 백도어는 그 자체가 위협이자, 공격자의 전체 전략을 가능하게 하는 기반 인프라로 볼 수 있습니다.

⌨️ 3-9. 키로거 (Keylogger)

키로거, 출처: Cyberroot

 

키로거는 사용자가 키보드에 입력하는 모든 내용을 몰래 기록하고 탈취하는 악성코드입니다.
입력된 키 스트로크를 감지해 파일로 저장하거나 외부 서버로 전송함으로써,
계정 비밀번호, 신용카드 정보, 개인정보 등 민감한 데이터를 쉽게 가로챌 수 있습니다.

 

✅ 정의 및 특징

• 키로거는 키보드 입력을 가로채 텍스트 입력 전체를 저장하거나 전송하는 악성 행위입니다.
• 단순히 입력 기록만 저장하는 패시브형부터, 스크린샷 촬영, 클립보드 복사, 마우스 클릭 기록까지 함께 수집하는 고급형까지 존재합니다.
• 사용자 몰래 실행되며, 감염 시 피해자는 비밀번호나 금융 정보 유출에도 전혀 인지하지 못하는 경우가 많습니다.
• 대개 트로이 목마, 백도어, 스파이웨어의 일부로 동작하며, 기업 내부 정보 유출이나 금융 범죄에 자주 악용됩니다.
• 일부 키로거는 합법적인 모니터링 소프트웨어로 위장되어 배포되기도 하며, 회사 내부 직원 감시 등 논란의 대상이 되기도 합니다.

📛 주요 사고 사례

• 게임 해킹 도구를 통한 키로거 배포 (2010년대 초반)
  무료 게임 핵 프로그램이나 자동 매크로 도구에 키로거가 몰래 포함되어 배포된 사례가 다수 보고되었습니다.
  사용자들이 게임 계정을 탈취당하거나, 연결된 포털·금융 계정까지 해킹되는 2차 피해가 잇따랐습니다.
  특히 MMORPG 계정의 아이템 도난, 현금화 피해가 크게 늘면서, 보안 솔루션 기업들이 '게임 보안'을 별도로 강조하는 계기가 되었습니다.

🧩 과거와 현재의 역할 변화

• 예전에는 키로거가 단순한 계정 탈취 목적이 강했다면 오늘날에는 APT 공격 시 내부 인증 정보 탈취, 산업 기밀 접근, 다단계 공격의 초기 정보 수집 등 더 복잡한 공격 흐름 속에서 사용됩니다. 특히 고급형 키로거는 탐지를 우회하기 위해 커널 레벨에서 동작하며, 루트킷과 함께 사용될 경우 일반 백신으로는 탐지하기 매우 어렵습니다.
• 사용자 입장에서는 단순한 입력 행위조차 감시될 수 있는 만큼 신뢰되지 않은 프로그램 설치 금지와 다중 인증 체계가 무엇보다 중요합니다.

📥 3-10. 다운로더 & 익스플로잇 (Downloader & Exploit)

다운로더와 익스플로잇은 단독으로 공격을 수행하기보다는 다른 악성코드를 설치하거나 실행할 수 있도록 시스템의 약점을 공략하는 지원형 악성코드입니다. 이들은 실제 공격을 위한 전단계(준비 작업)로 작동하며, 전체 사이버 공격의 시작점으로 활용됩니다.

 

✅ 정의 및 특징

• 다운로더(Downloader)는 감염된 시스템에 다른 악성코드를 원격 서버에서 다운로드하여 설치하는 역할을 합니다.
  트로이 목마나 피싱 이메일 등을 통해 감염되며, 이후 랜섬웨어, 백도어, 스파이웨어 등을 추가로 내려받아 실행합니다.
• 익스플로잇(Exploit)은 운영체제, 브라우저, 응용프로그램의 취약점을 악용해 악성코드를 실행하거나 권한을 상승시키는 기술입니다.
  사용자가 별다른 동작을 하지 않아도 감염되며, 특히 제로데이 취약점을 이용할 경우 탐지 및 대응이 매우 어렵습니다.
• 다운로더는 적은 크기의 경량 악성코드로서 탐지를 회피하기 쉽고 익스플로잇은 정상 동작을 악용하기 때문에 사용자 입장에서는 감염 사실을 인지하기조차 어렵습니다.

📛 주요 사고 사례

• Angler Exploit Kit (2015)
  웹사이트에 삽입된 악성 스크립트를 통해 방문자 브라우저의 취약점을 자동으로 분석하고,
  적절한 익스플로잇을 실행해 랜섬웨어를 다운로드 및 실행했던 공격 도구입니다.
  사용자 클릭 없이 웹사이트에 접속하는 것만으로 감염되며, 당시 대규모 피해와 보안 업계의 경각심을 불러일으켰습니다.
• Emotet Downloader 캠페인
  감염 초기에는 단순한 다운로더로 시작하지만, 이후 백도어, 뱅킹 트로이 목마, 랜섬웨어까지 단계적으로 다운로드하며,
  기업 내망 전체를 장악하는 데까지 확장된 대표적인 사례입니다.

🧩 과거와 현재의 역할 변화

• 과거의 익스플로잇과 다운로더는 단순한 보조 수단에 불과했지만 현재는 공격 자동화, 모듈화, 지능화의 중심이 되었습니다.
  특히 드라이브 바이 다운로드(Drive-by Download) 공격에서는 사용자가 악성 사이트에 접속하는 것만으로 익스플로잇이 작동하고, 다운로더가 후속 악성코드를 배포하는 방식이 일반화되었습니다.
• 이제 이들은 단순한 도구가 아니라, 전체 사이버 공격을 가능하게 하는 핵심 기반 구조로 간주되고 있습니다.

🤖 3-11. 봇 & 봇넷 (Bot & Botnet)

봇넷, 출처: Akamai - How a botnet works

 

'봇(Bot)'은 감염된 컴퓨터를 공격자의 명령에 따라 원격 조종할 수 있도록 만드는 악성코드입니다.
이러한 봇이 수천~수백만 대까지 감염되면, 공격자는 이를 하나의 네트워크처럼 활용할 수 있게 되며, 이 전체 네트워크를 봇넷(Botnet)이라고 부릅니다.

 

✅ 정의 및 특징

• 봇(Bot)은 사용자의 시스템에 침투한 뒤, 외부의 C&C 서버와 지속적으로 통신하며 공격자가 명령을 내리면 파일 다운로드, 스팸 전송, 디도스 공격, 정보 유출 등을 자동 수행합니다.
• 일반적으로 트로이 목마 또는 다운로더를 통해 감염되며, 감염 후에는 침묵 상태로 대기하다가 지시에 반응합니다.
• 봇은 혼자서 큰 피해를 주지 않을 수 있지만, 여러 봇이 연결된 봇넷 구조를 형성하면 위협 수준이 기하급수적으로 증가합니다.
• 봇넷(Botnet)은 수많은 봇이 하나의 통제 구조 하에 연결된 네트워크로 공격자는 이 구조를 통해 대규모 스팸 메일 발송, 분산 서비스 거부 공격(DDoS), 정보 수집, 크립토마이닝 등 다양한 악의적 행위를 수행합니다.

📛 주요 사고 사례

• Mirai 봇넷 (2016)
  IoT 기기(인터넷 연결 CCTV, 라우터 등)의 보안 취약점을 노려 감염시킨 봇을 이용해,
  미국의 도메인 네임 서비스 제공 업체 Dyn을 대상으로 초대형 DDoS 공격을 감행했습니다.
  이로 인해 트위터, 넷플릭스, 깃허브 등 주요 사이트가 마비되었으며,
  봇넷이 단순 해킹을 넘어서 글로벌 인터넷 인프라를 교란할 수 있다는 가능성을 보여준 충격적인 사건이었습니다.

🧩 과거와 현재의 역할 변화

• 과거의 봇넷은 단순한 스팸 발송이나 DDoS 공격 용도에 국한되었지만 현재는 APT 공격의 지휘체계, 악성코드 배포 플랫폼, 정보 수집 도구 등으로 고도화되었습니다.
• 특히 IoT와 클라우드 환경의 확산은 새로운 봇넷 확산 경로가 되고 있으며 공격자들은 봇넷을 서비스처럼 판매(Botnet-as-a-Service)하거나, 조직적 사이버 범죄 집단의 핵심 기반으로 사용하고 있습니다.
• 봇넷은 단일 악성코드를 넘어서, 사이버 공격을 실현할 수 있는 하나의 '인프라'로 진화하고 있습니다.

🪙 3-12. 크립토마이너 (Cryptominer)

크립토마이너, 출처: Sectigo

 

크립토마이너는 공격자가 피해자의 컴퓨터 자원을 몰래 이용해 가상화폐를 채굴(Mining)하도록 설계된 악성코드입니다.
피해자의 CPU, GPU, 전력, 네트워크 등의 자원을 무단 점유하면서, 공격자는 별다른 비용 없이 수익을 취득합니다.

 

✅ 정의 및 특징

• 크립토마이너는 백그라운드에서 실행되며, 피해자의 장비 성능을 현저히 저하시킵니다.
• 일반적인 악성 행위(데이터 삭제, 유출 등)를 하지 않기 때문에 피해자가 오랜 시간 동안 감염 사실을 인지하지 못하는 경우도 많습니다.
• 웹 페이지에 삽입된 자바스크립트를 통해 브라우저만 열어도 감염되는 ‘크립토재킹(Cryptojacking)’ 방식도 있으며 별도의 악성 파일 없이도 사용자의 리소스를 도용할 수 있습니다.
• 기업 시스템이나 클라우드 서버에 설치될 경우, 전력 요금 및 자원 비용이 폭증하며 다른 업무 성능에 지장을 주거나 시스템 고장을 유발할 수 있습니다.

📛 주요 사고 사례

• Tesla 클라우드 계정 침해 사건 (2018)
  해커가 테슬라의 AWS 클라우드 계정을 해킹한 뒤 내부 서버에 크립토마이너를 설치해 수개월 동안 암호화폐를 채굴했습니다.
  전력 비용은 테슬라가 부담하게 되었으며, 기업의 클라우드 환경이 새로운 타겟이 될 수 있음을 보여준 사례로 주목받았습니다.

🧩 과거와 현재의 역할 변화

• 과거에는 공격자가 직접 하드웨어를 설치해 채굴했지만 현재는 남의 자원을 감염시켜 수익을 얻는 비즈니스형 사이버 범죄로 진화했습니다.
• 특히 탐지를 피하기 위해 사용자의 활동 시간대에만 작동하거나, 리소스 점유율을 조절해 시스템 로그에 걸리지 않도록 우회하는 등 점점 더 정교한 동작 방식으로 발전하고 있습니다.
• 크립토마이너는 공격자가 위험 부담 없이 지속적 수익을 얻을 수 있는 경제적 동기가 크기 때문에 다른 악성코드와 결합되어 장기적으로 시스템에 남아있는 경우가 많습니다.

🧷 4.악성코드의 공통 전파 경로 및 방지 대응 전략

악성코드는 그 종류에 상관없이 대체로 비슷한 경로를 통해 감염되며 이에 대한 대응도 일정한 보안 원칙을 유지하면 상당 부분 예방할 수 있습니다.

📡 4-1. 주요 전파 경로

• 피싱 이메일 및 첨부파일: 악성 링크 또는 문서 파일을 열게 유도
• 불법 소프트웨어, 크랙 파일: 트로이 목마, 다운로더가 포함된 경우
• 취약한 웹사이트 접속: 익스플로잇 키트를 통한 드라이브 바이 다운로드
• 이동식 저장매체 (USB, 외장하드 등): 웜, 바이러스 유입 경로
• 취약한 RDP, SSH 포트 공격: 랜섬웨어 및 백도어 설치 경로
• IoT 장비와 클라우드 인프라: 기본 암호 미설정 또는 설정 미흡

🛡️ 4-2. 방지 및 대응 방법

1. 운영체제 및 소프트웨어 보안 업데이트 정기적 적용
2. 신뢰되지 않은 프로그램 및 링크 실행 금지
   • 이메일, SNS, 메신저로 전송되는 파일 및 링크에 항상 경계
3. 정품 소프트웨어 사용 및 공식 사이트 통한 설치
   • 무료 다운로드 사이트, 토렌트 등은 감염 확률이 높습니다.
4. 백신 및 EDR 솔루션의 실시간 보호 기능 활성화
   • 탐지 및 격리 기능이 초기 감염 차단에 효과적입니다.
5. 네트워크 방화벽 및 접근 제어 정책 설정
   • RDP, SSH, SMB 포트는 반드시 제한하고, 필요 시 VPN을 활용합니다.
6. 이메일 필터링 및 첨부파일 자동 실행 차단
   • 관리자 계정에서 실행되지 않도록 설정합니다.
7. 다중 인증(MFA)과 비밀번호 관리자 활용
   • 계정 탈취 시 2차 방어선 확보용입니다.
8. 정기적인 백업 및 백업 파일의 외부 보관
   • 랜섬웨어 대응 시 핵심적인 복구 수단입니다.

악성코드는 점점 더 교묘하고 정교하게 진화하고 있습니다.
하지만 그 전파 방식은 여전히 사용자의 실수나 시스템의 방심을 파고드는 단순한 원리에 기초하고 있습니다.
기본적인 보안 수칙을 꾸준히 지키는 것만으로도, 전체 공격의 상당 부분을 차단할 수 있습니다.

 

참고자료

이하는 글을 작성하기 위해 주로 참고한 자료들입니다.

 

분류성능평가지표

https://sumniya.tistory.com/26

분류성능평가지표 - Precision(정밀도), Recall(재현율) and Accuracy(정확도)

 

https://velog.io/@skyepodium/%EB%B6%84%EB%A5%98-%EB%AA%A8%EB%8D%B8-%ED%8F%89%EA%B0%80-%EB%B0%A9%EB%B2%95

분류 모델의 평가 방법

 

악성코드 종류 및 특징

멀웨어 작동 원리 | ExpressVPN Blog

멀웨어란? 멀웨어 작동 원리 | ExpressVPN Blog

 

Signmycode - What is a Malicious Code?

 

https://www.crowdstrike.com/en-us/cybersecurity-101/malware/types-of-malware/

12 Types of Malware + Examples That You Should Know | CrowdStrike