트로이 목마 (컴퓨팅)
컴퓨터 용어로, 악성 루틴이 숨어 있는 프로그램 위키백과, 무료 백과사전
트로이 목마(Trojan horse)는 악성 루틴이 숨어 있는 프로그램으로, 겉보기에는 정상적인 프로그램으로 보이지만 실행하면 악성 코드를 실행한다. 이 이름은 트로이 목마 이야기에서 따온 것으로, 겉보기에는 평범한 목마 안에 적군의 병사가 숨어 있었다는 것에 비유한 것이다.
트로이 목마는 보통 사회공학 기법의 형태로 퍼진다. 비록 어떠한 것도 포함될 수 있지만, 많은 현대의 트로이 목마들은 백도어로서 사용된다.[1] 이것들은 쉽게 발견되기 힘들지만, 무거워진 CPU와 네트워크 사용으로 느려지는 현상은 나타날 수 있다.
목적과 사용
요약
관점
만약 설치되었거나 상승된 권한으로 실행 중이라면, 트로이 목마는 일반적으로 제한 없는 접근을 할 수 있다. 이 능력을 가지고 무엇을 할 것인지는 공격자에게 달려 있다.
파괴적 목적
자원이나 신분의 사용
금전 절도, 랜섬웨어
데이터 절도
- 기밀정보 (도면, 군사정보, 사회기반시설 정보 등)
- 사용자의 비밀번호나 체크카드 정보
- 개인정보, 개인신용정보
- 영상정보 (CCTV, IP카메라 등)
스파잉, 감시 또는 스토킹
- 키로깅
- 사용자의 웹캠 보기
- 사용자의 컴퓨터 원격 관리: 원격 방식의 트로이 목마는 자신의 목적을 수행하기 위해 악성 컨트롤러와의 상호 작용을 필요로 할 수도 있다. 네트워크를 스캔해서 트로이 목마가 설치된 위치를 찾고, 해커가 제어할 수 있게 되는 경우도 가능하다.
이 방식의 트로이 목마는 자신의 목적을 수행하기 위해 악성 컨트롤러와의 상호 작용을 필요로 할 수도 있다. 네트워크를 스캔해서 트로이 목마가 설치된 위치를 찾고, 해커가 제어할 수 있게 되는 경우도 가능하다.
몇몇 트로이 목마는 오래된 버전의 인터넷 익스플로러와 크롬의 보안 결함을 악용하여 컴퓨터를 프록시 서버로 사용함으로써 이것을 통해 불법을 저지르는 경우도 있다.[4]
독일계 국가에서는, 정부에 의해 만들어지고 사용되는 스파이웨어를 Govware라고 부른다. 이것은 주로 타겟 컴퓨터에서의 통신을 가로채는데 사용되었다. 스위스와 독일 같은 몇몇 나라들은 이러한 소프트웨어를 이용한 합법적인 프레임워크를 갖는다.[5][6]
봇넷의 인기와 광고 서비스의 사용으로 인해 트로이 목마는 점점 인기를 얻어가고 있다. 비트디펜더에 의해 2009년 1월부터 6월까지 조사된 바로는 83%의 악성코드가 트로이목마와 유사한 형태였다.[7] 트로이 목마는 웜과 관련되어 있는데, 이것은 웜과 함께 인터넷을 가로질러 이동할 수 있기 때문이다. 비트디펜더는 15%의 컴퓨터가 봇넷의 멤버이며, 주로 트로이 감염에 의한 것이라고 언급했다.[8]
대표적인 트로이 목마
- 넷버스 (Netbus) - 12345번 포트 사용. 가장 사용하기 쉽고 퍼지기 쉬운 트로이 중의 하나.
- 백오리피스 (Back Orifice) - 31337번 포트 사용. 가장 유명하여 제거 툴이 가장 많은 트로이.
- 스쿨버스 (Schoolbus) - 54321번 포트 사용.
- Executor - 80번 포트 사용. 감염된 컴퓨터의 시스템 파일을 삭제/시스템을 파괴하는 트로이 중의 하나.
- Silencer - 1001번 포트 사용. 제거 툴은 나와 있지 않음.
- Striker - 2565번 포트 사용. 감염된 컴퓨터를 무조건 고물로 만들어 버림. 이는 시스템 드라이브 등 하드디스크를 모두 파괴하여 아예 부팅이 안 되게 하는 트로이이기 때문.
같이 보기
각주
외부 링크
Wikiwand - on
Seamless Wikipedia browsing. On steroids.