Skip to content Skip to navigation Skip to footer

트로이 목마 바이러스

트로이 목마 바이러스란 무엇입니까?

트로이 목마 바이러스는 정상 프로그램으로 위장하여 다운로드되는 멀웨어(Malware)의 일종입니다. 일반적으로 공격자는 소셜 엔지니어링을 사용해 정상 소프트웨어 내부에 악성코드를 숨기고 자신의 소프트웨어로 사용자 시스템 접근을 시도하는 방식으로 공격합니다.

"트로이 목마란 무엇인가"라는 질문에 답하는 간단한 방법은 이메일 또는 무료로 다운로드할 수 있는 파일에 첨부 파일로 숨겨져 사용자의 장치로 전송되는 일종의 멀웨어라고 설명하는 것입니다. 악성 코드가 일단 다운로드되면 공격자가 설계한 작업을 실행합니다. 예를 들어, 기업 시스템에 대한 백도어 액세스, 사용자의 온라인 활동에 대한 염탐, 또는 민감한 데이터 도용 등이 있습니다.

장치에서 트로이 목마가 활성 상태라는 것을 나타내는 상황에는 예기치 않게 컴퓨터 설정이 변경되는 것과 같은 비정상적인 활동이 포함됩니다.

트로이 목마 바이러스 유래와 역사

트로이 목마의 원래 이야기는 베르길리우스의 아이네이스와 호메로스의 오디세이에서 찾아볼 수 있습니다. 이 이야기에서 트로이시의 적들은 선물을 가장한 목마를 통해 도시의 문 안으로 들어갈 수 있었습니다. 군인들이 거대한 목마 속에 숨어 도시 안으로 들어간 후, 나와서 다른 군인들을 들어오게 만들었습니다.

이 이야기의 몇 가지 요소로 인해 “트로이 목마”라는 용어가 이러한 유형의 사이버 공격에 적합한 이름이 되었습니다.

  • 트로이 목마는 표적의 방어에 대한 독특한 해결책이 되었습니다. 원래 이야기에서 공격자들은 10년 동안 이 도시를 포위했는데, 함락시키지 못했습니다. 트로이 목마는 십 년 동안 그들이 원했던 접근 경로를 제공했습니다. 이와 마찬가지로 트로이 목마 바이러스는 다른 경우라면 물샐틈없는 방어였을 상황에 침투할 수 있는 좋은 방법이 될 수 있습니다.
  • 트로이 목마는 정당한 선물처럼 보였습니다. 비슷한 맥락에서, 트로이 목마 바이러스는 정당한 소프트웨어처럼 보입니다.
  • 트로이 목마 안에 숨어든 군인들은 이 도시의 방어 시스템을 통제했습니다. 트로이 목마 바이러스를 사용하면 멀웨어가 컴퓨터를 제어하여 다른 “침입자”에게 취약하게 만들 수 있습니다.
트로이 목마의 역사

트로이 목마 바이러스 증상과 작동 방식

컴퓨터 바이러스와 달리 트로이 목마는 자체적으로 모습을 드러낼 수 없으므로 사용자가 애플리케이션의의 서버 측을 다운로드해야 작동합니다. 즉, 실행 파일(.exe)을 구현하고 프로그램을 설치해야 트로이 목마가 장치의 시스템을 공격할 수 있습니다. 

트로이 목마 바이러스는 합법적으로 보이는 이메일과 이메일에 첨부된 파일을 통해 확산되며, 가능한 많은 사람들의 받은 편지함에 도착하도록 스팸으로 전송됩니다. 이메일을 열고 악성 첨부 파일을 다운로드하면 트로이 목마 서버가 설치되고 감염된 장치가 켜질 때마다 자동으로 실행됩니다. 

또한 사이버 범죄자들이 사용자에게 악성 애플리케이션을 다운로드하도록 강요하는 소셜 엔지니어링 전술을 통해 트로이 목마 바이러스에 감염될 수 있습니다. 악성 파일은 배너 광고, 팝업 광고 또는 웹 사이트의 링크에 숨겨질 수 있습니다. 

트로이 목마 멀웨어에 감염된 컴퓨터는 다른 컴퓨터에도 멀웨어를 전파할 수 있습니다. 사이버 범죄자는 장치를 좀비 컴퓨터로 바꿉니다. 즉, 사용자가 알지 못하는 사이에 장치를 원격으로 제어할 수 있습니다. 그런 다음 해커는 좀비 컴퓨터를 사용하여 봇넷(Botnet)으로 알려진 장치 네트워크에서 멀웨어를 지속적으로 공유할 수 있습니다.

예를 들어, 사용자는 아는 사람으로부터 정당해 보이는 첨부 파일이 포함된 이메일을 받을 수 있습니다. 그러나 첨부 파일에는 해당 장치에 트로이 목마를 실행하고 설치하는 악성 코드가 포함되어 있는 것입니다. 컴퓨터가 감염의 징후 없이 정상적으로 작동할 수 있기 때문에, 사용자는 어떤 뜻밖의 일이 발생했는지 알지 못하는 경우가 많습니다. 

이 멀웨어는 사용자가 특정 웹 사이트 또는 뱅킹 앱 방문과 같은 특정 조치를 취할 때까지 탐지되지 않은 상태로 남아 있습니다. 그러면 악성 코드가 활성화되고 트로이 목마 바이러스가 해커가 원하는 조치를 수행합니다. 트로이 목마의 유형과 생성 방법에 따라 멀웨어가 자체적으로 삭제되거나 휴면 상태로 돌아가거나 장치에서 활성 상태로 유지될 수 있습니다.

또한 트로이 목마는 모바일 멀웨어를 사용하여 스마트폰과 태블릿을 공격하고 감염시킬 수 있습니다. 이러한 상황은 공격자가 트래픽을 Wi-Fi 네트워크에 연결된 장치로 리디렉션한 다음 이를 사용하여 사이버 공격을 실행하는 경우 생길 수 있습니다.

트로이 목마 멀웨어의 가장 일반적인 유형

사이버 범죄자들이 다양한 활동과 공격 방법을 수행하기 위해 사용하는 많은 유형의 트로이 목마 바이러스가 있습니다. 가장 흔히 사용되는 트로이 목마 유형으로는 다음과 같은 것이 있습니다.

  1. 백도어 트로이 목마: 백도어 트로이 목마를 사용하면 공격자가 컴퓨터에 원격으로 액세스하고 백도어를 사용하여 제어할 수 있습니다. 이를 통해 악의적인 공격자는 파일 삭제, 컴퓨터 재부팅, 데이터 유출 또는 멀웨어 업로드 등 장치에서 원하는 모든 작업을 수행할 수 있습니다. 백도어 트로이 목마는 좀비 컴퓨터 네트워크를 통해 봇넷을 생성하는 데 자주 사용됩니다.
  2. 뱅커 트로이 목마: 뱅커 트로이 목마는 사용자의 은행 계좌 및 금융 정보를 표적으로 설계되어 있습니다. 신용 카드와 직불 카드, 전자 결제 시스템 및 온라인 뱅킹 시스템을 위한 계좌 데이터를 훔치려고 시도합니다.
  3. 유포된 서비스 거부(DDoS) 트로이 목마 : 이 트로이 목마 프로그램은 네트워크에 트래픽에 과부하를 일으키는 공격을 수행합니다. 컴퓨터 또는 컴퓨터 그룹으로부터 여러 요청을 전송하여 대상 웹 주소에 과도한 부담을 주고 서비스 거부(DoS)를 유발합니다.
  4. 다운로더 트로이 목마: 다운로더 트로이 목마는 이미 멀웨어에 감염된 컴퓨터를 표적으로 삼은 다음 더 많은 악성 프로그램을 다운로드하여 설치합니다. 이는 추가 트로이 목마 또는 애드웨어 등 다른 유형의 멀웨어일 수 있습니다.
  5. 익스플로잇 트로이 목마: 익스플로잇 멀웨어 프로그램은 애플리케이션 또는 컴퓨터 시스템 내의 특정 취약점을 활용하는 코드 또는 데이터를 포함합니다. 사이버 범죄자는 피싱 공격과 같은 방법을 통해 사용자를 표적으로 삼은 다음, 프로그램의 코드를 사용하여 알려진 취약성을 악용합니다.
  6. 가짜 바이러스 백신 트로이 목마 바이러스: 가짜 바이러스 백신 트로이 목마 바이러스는 정당한 바이러스 방지 소프트웨어의 동작을 시뮬레이션합니다. 트로이 목마 바이러스는 일반적인 바이러스 백신 프로그램과 같은 위협을 탐지하고 제거하도록 설계된 후, 존재하지 않는 위협을 제거하기 위해 사용자로부터 자금을 갈취합니다.
  7. 게임 절도 트로이 목마: 온라인 게임을 하는 사람들로부터 사용자 계정 정보를 훔치도록 특별히 설계된 게임 절도 트로이 목마입니다.
  8. 인스턴트 메시징(IM) 트로이 목마: 이 유형의 트로이 목마는 IM 서비스를 대상으로 사용자의 로그인과 암호를 훔칩니다. AOL 인스턴트 메신저, ICQ, MSN 메신저, Skype 및 Yahoo Pager와 같은 인기 있는 메시징 플랫폼을 대상으로 합니다.
  9. 인포스틸러 트로이 목마: 이 멀웨어는 트로이 목마를 설치하는 데 사용하거나 사용자가 악성 프로그램의 존재를 탐지하지 못하게 만들 수 있습니다. 인포스틸러 트로이 목마 바이러스의 구성 요소는 바이러스 방지 시스템이 스캔 시 이를 발견하는 것을 어렵게 만들 수 있습니다.
  10. 메일파인더 트로이 목마: 메일파인더 트로이 목마는 컴퓨터에 저장된 이메일 주소를 수집하여 도용하기 위한 것입니다.
  11. 랜섬 트로이 목마: 랜섬 트로이 목마는 사용자가 더 이상 컴퓨터를 액세스하거나 사용할 수 없도록 성능을 저하시키거나 장치의 데이터를 차단합니다. 그런 다음 공격자는 사용자 또는 조직이 장치 손상을 볼모로 잡고 회복하거나 영향을 받은 데이터의 잠금을 해제하기 위해 랜섬을 지불할 때까지 풀어 주지 않습니다.
  12. 원격 액세스 트로이 목마: 백도어 트로이 목마와 마찬가지로 이 종류의 멀웨어는 공격자가 사용자의 컴퓨터를 완벽하게 제어할 수 있도록 합니다. 사이버 범죄자는 원격 네트워크 연결을 통해 장치에 대한 액세스 권한을 유지하며, 이를 사용하여 정보를 훔치거나 사용자를 염탐합니다.
  13. 루트킷 트로이 목마: 루트킷은 사용자의 컴퓨터에 숨어 있는 일종의 멀웨어입니다. 그 목적은 악성 프로그램이 탐지되는 것을 막고, 이를 통해 멀웨어가 감염된 컴퓨터에서 더 오랜 기간 동안 활성 상태로 유지되도록 하는 것입니다.
  14. SMS 트로이 목마: SMS 트로이 목마는 모바일 장치를 감염시키고 문자 메시지를 보내고 가로챌 수 있는 기능이 있습니다. 여기에는 사용자의 전화 요금 청구 비용을 증가시키는 프리미엄 요금의 전화 번호로 메시지를 보내는 것이 포함됩니다.
  15. 스파이 트로이 목마: 스파이 트로이 목마는 사용자의 컴퓨터에 설치되어 활동을 염탐하도록 설계되었습니다. 여기에는 키보드 작업 로깅, 스크린샷 캡처, 사용하는 애플리케이션 액세스, 로그인 데이터 추적 등이 포함됩니다.
  16. 선버스트(SUNBURST): 선버스트 트로이 목마 바이러스는 수많은 SolarWinds Orion 플랫폼을 감염시켰습니다. 피해자들은 정당한 SolarWinds 디지털 서명 파일의 트로이 목마 버전으로 인해 피해를 입었는데, 그 이름은 SolarWinds.Orion.Core.BusinessLayer.dll이었습니다. 트로이 목마 파일이 백도어입니다. 표적으로 삼은 시스템에서 2주 동안 휴면 상태를 유지한 후 시스템 서비스를 전송, 실행, 정찰, 재부팅 및 중지할 수 있는 명령을 검색합니다. 통신은 http를 통해 미리 결정된 URI로 이루어집니다.

트로이 목마 바이러스를 알아보는 방법

트로이 목마 바이러스는 사용자가 자신의 컴퓨터가 감염되었다는 사실을 알지 못하는 상태에서 몇 달 동안 장치에 남아 있을 수 있습니다. 그러나 트로이 목마가 존재한다는 명백한 징후로는 컴퓨터 설정이 갑자기 변경되거나, 컴퓨터 성능이 저하되거나, 비정상적인 활동이 발생하는 것 등이 있습니다. 트로이 목마를 알아보는 가장 좋은 방법은 트로이 목마 스캐너 또는 멀웨어 제거 소프트웨어를 사용하여 장치를 검색하는 것입니다.

트로이 목마 바이러스로부터 자신을 보호하는 방법

트로이 목마 바이러스는 사용자가 자신의 컴퓨터가 감염되었다는 사실을 알지 못하는 상태에서 몇 달 동안 장치에 남아 있을 수 있습니다. 그러나 트로이 목마가 존재한다는 명백한 징후로는 컴퓨터 설정이 갑자기 변경되거나, 컴퓨터 성능이 저하되거나, 비정상적인 활동이 발생하는 것 등이 있습니다. 트로이 목마를 알아보는 가장 좋은 방법은 트로이 목마 스캐너 또는 멀웨어 제거 소프트웨어를 사용하여 장치를 검색하는 것입니다.

트로이 목마 바이러스 공격의 예

트로이 목마 공격은 컴퓨터를 감염시키고 사용자 데이터를 훔쳐 중대한 피해를 입히는 원인이 되어 왔습니다. 트로이 목마의 잘 알려진 예에 포함되는 것은 다음과 같습니다.

  1. Rakhni 트로이 목마: Rakhni 트로이 목마는 랜섬웨어 또는 크립토재커 도구를 제공하며, 이를 통해 공격자는 기기를 사용하여 암호화폐를 마이닝하고 기기를 감염시킬 수 있습니다. 
  2. 타이니 뱅커: 타이니 뱅커는 해커가 사용자의 재무 세부 정보를 훔칠 수 있게 합니다. 이것은 최소 20개의 미국 은행들이 감염되었을 때 발견되었습니다.
  3. 제우스 또는 제트봇: 제우스는 금융 서비스를 표적으로 삼고 해커가 자체 트로이 목마 악성코드를 구축할 수 있도록 하는 툴킷입니다. 소스 코드는 양식 캡처 및 키 입력 로깅과 같은 기법을 사용하여 사용자 자격 증명 및 재무 세부 정보를 훔칩니다. 

Fortinet의 지원 방법

 Fortinet 안티바이러스 서비스는 FortiGuard Labs 글로벌 위협 인텔리전스 시스템의 성능을 활용합니다. FortiGuard는 평균적으로 95,000개의 멀웨어 프로그램을 1분 안에 제거합니다. FortiGuard는 전 세계 위협 환경에 다양한 유형의 바이러스에 대한 지식을 통합함으로써 이를 실현합니다. 대응책은 각종 위협을 무력화하도록 설계되어 있고, 그 다음 FortiGuard에서 자동으로 실행하여 FortiGuard 우산 아래의 네트워크를 보호합니다.

FortiGuard 바이러스 방지 보호 시스템은 FortiGate, FortiSandbox, FortiMail, FortiWeb, FortiCache 및 FortiClient와 함께 제공됩니다.