ILOVEYOU

3. 전파 경로

ILOVEYOU는 'I love you'라는 제목의 메일로 'LOVE-LETTER-FOR-YOU.TXT.vbs'라는 vbs 파일을 첨부하여 유포되었다. 메일을 받은 사용자가 이 파일을 열면 웜이 작동했다.^[47]

데 구즈만(De Guzman)은 VBScript를 사용하여 ILOVEYOU 웜을 작성했으며, 윈도우 스크립트 호스트(Windows Script Host)를 이용하여 코드를 실행했다. 웜은 "ILOVEYOU"라는 제목과 "내가 보낸 사랑 편지를 확인해주세요!"라는 메시지가 담긴 이메일의 첨부 파일인 `LOVE-LETTER-FOR-YOU.TXT.vbs`에 포함되어 있었다.^[7]

파일을 열면 웜은 자신을 복사하여 컴퓨터 재부팅 시 실행되도록 했다. `MSKernel32.vbs` 및 `Win32DLL.vbs`라는 이름의 정상적인 윈도우 라이브러리 파일로 위장한 복사본과 원래 이름인 `LOVE-LETTER-FOR-YOU.TXT.vbs`를 유지하는 복사본을 만들었다.^[8]

웜은 `WIN-BUGSFIX.exe`라는 트로이 목마를 다운로드하려고 시도했다. 이를 위해 피해자의 인터넷 익스플로러(Internet Explorer) 홈페이지를 트로이 목마를 다운로드하는 URL로 설정했다. 다운로드가 성공하면 트로이 목마는 재부팅 시 실행되도록 설정되고 인터넷 익스플로러 홈페이지는 빈 페이지(About:blank)로 설정되었다. 이 트로이 목마는 구즈만의 주요 목표인 비밀번호 탈취를 수행했다.^[8]

웜은 피해자의 주소록에 있는 모든 연락처로 자체 이메일을 보냈다. 웜은 레지스트리 키가 없을 경우에만 이메일을 보내는 방식으로, 한 사람에게 여러 개의 이메일이 전송되는 것을 방지했다. 또한 인터넷 릴레이 채팅(Internet Relay Chat) 채널을 통해서도 확산될 수 있었다.^[8]

웜은 연결된 드라이브에서 수정할 파일을 검색했다. 발견된 특정 확장자를 가진 파일들은 웜의 코드로 덮어쓰거나, 복사본을 생성한 후 원본 파일을 숨기는 방식으로 변경했다. MP2(.mp2) 및 MP3(.mp3) 파일의 복사본도 마찬가지로 생성되지만 원본 파일은 삭제되는 대신 숨겨졌다.^[8]

웜은 원래 마닐라에서만 작동하도록 설계되었지만, 데 구즈만(De Guzman)이 호기심에 이 제한을 제거하여 전 세계로 확산되었다.^[4]

이 웜은 2000년 5월 4일 필리핀 마닐라의 판다칸 지역에서 발생했다.^[14] 그 후 직원들이 금요일 아침에 업무를 시작하면서 기업 이메일 시스템을 통해 서쪽으로 이동했다. 먼저 홍콩으로, 그 다음 유럽으로, 그리고 마지막으로 미국으로 이동했다.^[26][15] 웜은 메일링 리스트를 표적의 출처로 사용했기 때문에 메시지는 종종 지인으로부터 온 것처럼 보여 피해자들이 열어볼 유인이 더욱 커졌다. 각 사이트의 소수 사용자만 첨부 파일을 열어도 수백만 개의 메시지가 생성되어 메일 시스템을 마비시키고 연이은 네트워크의 컴퓨터에 있는 수백만 개의 파일을 덮어썼다.^[16]

3. 1. 사회 공학 기법

• 이메일 제목: "''I love you''"
• 본문: "''kindly check the attached LOVELETTER coming from me'' (번역: 제가 보낸 첨부된 러브레터를 확인해주세요)"^[45]
• 첨부 파일: "'''LOVE-LETTER-FOR-YOU.TXT.vbs'''" - 이 파일을 실행하면 감염

3. 2. 이중 확장자

4. 작동 방식

ILOVEYOU는 아웃룩 주소록에 등록된 모든 이메일 주소로 자신을 복제하여 자동 발송한다.^[45] 발송되는 이메일 제목은 "''I Love you''"이며, 본문은 "''kindly check the attached LOVELETTER coming from me'' (번역: 제가 보낸 첨부된 러브레터를 확인해주세요)"이다.^[45] 이메일에 첨부된 "'''LOVE-LETTER-FOR-YOU.TXT.vbs'''" 파일을 실행하면 감염된다.

이 웜은 데 구즈만(De Guzman)의 주요 목표인 비밀번호 탈취를 위해 `WIN-BUGSFIX.exe`라는 트로이 목마를 다운로드하려고 시도했지만, 다운로드 원본 사이트가 폐쇄되어 실제로 작동하지는 않는다고 보고되었다.

4. 1. 자가 복제 및 전파

아웃룩의 주소록에 등록된 모든 이메일 주소로 자신의 복제본을 자동으로 전송한다.^[45] 이때 발송되는 전자 우편의 제목은 "''I Love you''"이며, 본문은 "''kindly check the attached LOVELETTER coming from me'' (번역: 제가 보낸 첨부된 러브레터를 확인해주세요)"이다.^[45] 이메일에 첨부된 "'''LOVE-LETTER-FOR-YOU.TXT.vbs'''" 파일을 실행하면 감염된다.

4. 2. 트로이 목마 다운로드 시도

5. 피해

이 바이러스의 창궐로 전 세계적으로 55억달러~87억달러의 피해가 발생한 것으로 추산되며,^[17][18] 웜을 제거하는 데 100억달러~150억달러의 비용이 소요될 것으로 예상되었다.^[19][20] 10일 이내에 5천만 건 이상의 감염이 보고되었고,^[21] 전 세계 인터넷 연결 컴퓨터의 10%가 영향을 받은 것으로 추산된다.^[19] 피해는 주로 감염을 제거하고 백업에서 파일을 복구하는 데 소요된 시간과 노력으로 인한 것이었다. 당시 이는 세계에서 가장 파괴적인 컴퓨터 관련 재난 중 하나였다.^[22][23][24]

감염되면, 아웃룩의 주소록에 등록된 모든 이메일 주소로 자신의 복제본을 자동 전송한다. 발송되는 이메일과 첨부 파일은 앞서 설명한 대로이며, "vbs", "vbe", "js", "css", "wsh", "sct", "hta", "jpg", "jpeg", "mp2", "mp3" 확장자를 가진 파일을 하드디스크에서 찾아 자신의 복제본으로 덮어쓴다. 또한, 악성 프로그램을 임의로 다운로드하는 기능도 있었지만, 다운로드 원본 사이트가 폐쇄되어 실제로는 작동하지 않는다고 보고되었다.

5. 1. 전 세계적 확산

5. 2. 주요 피해 사례

6. 변종

ILOVEYOU는 VBScript로 작성되어 사용자가 쉽게 수정할 수 있었고, 이로 인해 필수 파일을 교체하고 시스템을 파괴하는 다양한 변종이 인터넷에 퍼졌다.^[12] 이 바이러스는 러브레터로 위장해 소셜 엔지니어링 기법을 사용했다. 또한 윈도우의 초기 설정에서 파일 확장자를 표시하지 않는 점을 악용, '.TXT.vbs'라는 이중 확장자로 바이러스 본체(VBScript 파일)를 텍스트 파일(.txt 파일)처럼 위장했다. 스크립트 바이러스 특성상 변형이 용이하여 아종이 대량 발생한 것도 유행의 한 원인이었다.

6. 1. 다양한 변종의 등장

• VIRUS ALERT!!^[13]
• Important! Read Carefully!!^[13]

6. 2. 조크 바이러스

• VIRUS ALERT!!^[13]
• Important! Read Carefully!!^[13]

7. 수사 및 법적 대응

2000년 5월, ILOVEYOU 웜 사건 이후 필리핀 당국은 수사에 착수하여 법적 대응을 진행했다. 이 과정에서 몇 가지 어려움에 직면했는데, 주요 내용은 다음과 같다.

• 수사 대상 및 초기 대응: 필리핀 국가수사국(NBI)은 레오넬 라모네스와 오넬 데 구즈만을 형사 수사 대상으로 삼았다.^[35]
• 적용 법률 검토: NBI는 이들에게 어떤 법률을 적용할지 확신하지 못했다. 주로 신용카드 사기를 처벌하기 위한 '공공장소 접근장치 규정법' 위반이나, 고의적인 피해 의사가 필요한 '악의적인 재물손괴' 혐의를 검토했다.^[35],^[37]
• 피해 의도 입증: 드 구즈만은 웜을 무심코 유포했을 수도 있다고 주장하여, 고의적인 피해 의도를 입증하는 것이 중요했다.^[37]

7. 1. 수사 과정

7. 2. 법적 미비점

8. 영향 및 후속 조치

ILOVEYOU 웜은 필리핀에서 맬웨어 작성에 대한 법률이 없었기 때문에, 라모네스와 데 구즈만은 검찰에 의해 모든 혐의가 기각되면서 석방되었다.^[38] 2012년, 스미스소니언 협회는 ILOVEYOU를 역사상 가장 치명적인 10대 컴퓨터 바이러스 중 하나로 선정했다.^[10]

데 구즈만은 대중의 관심을 원하지 않았고, 2000년 기자 회견 이후 20년 동안 그의 행방은 알려지지 않았다. 2020년 5월, 탐사보도 기자 제프 화이트는 사이버범죄 관련 서적 "Crime Dot Com"을 조사하는 과정에서 마닐라의 휴대전화 수리점에서 일하는 데 구즈만을 발견했다고 밝혔다. 데 구즈만은 바이러스를 만들고 배포한 것을 인정했다.^[40] 그는 인터넷 접속 비용을 지불할 여유가 없어서 처음에는 인터넷 접속 비밀번호를 훔치기 위해 개발했다고 주장했다. 또한, 웜을 공동으로 작성했다고 비난받았던 다른 두 사람을 제외하고 자신 혼자 만들었다고 말했다.^[41][42]

8. 1. 전자상거래법 제정

8. 2. 스미스소니언 협회 선정

9. 문화적 영향

ILOVEYOU 웜은 여러 예술 작품에 영감을 주었다. 2002년 펫 샵 보이스의 노래 "이메일"은 이 바이러스의 확산에 기여한 인간의 욕망을 주제로 다룬다. 2006년에는 "아이 러브 유 [rev.eng]" 전시가 열렸으며, 이는 2002년부터 여러 장소에서 열린 전시의 확장판이었다.^[29] 2009년에는 "탈모 예방법"이라는 이메일 전시가 기획되었다.^[30][31]

2011년 영화 ''주제: 사랑해''^[32], 2019년 경매에 나온 랩톱 ''혼돈의 지속''^[33], 2024년 헬싱키 멀웨어 예술 박물관의 조각상^[34] 등은 ILOVEYOU 바이러스에서 영감을 받아 제작되었다.

9. 1. 대중문화 속 ILOVEYOU

참조

_[1] 잡지 May 4, 2000: Tainted 'Love' Infects Computers https://www.wired.co[...] 2021-07-28
_[2] 웹사이트 What is the ILOVEYOU worm, what does it do, and how do I detect and remove it? https://kb.iu.edu/d/[...] 2021-07-28
_[3] 웹사이트 ILOVEYOU Virus https://cyberhoot.co[...] 2021-07-28
_[4] 잡지 The 20-Year Hunt for the Man Behind the Love Bug Virus https://www.wired.co[...] 2020-09-15
_[5] 뉴스 Filipino Creator of the 'I Love You' Virus Just Did It So He Could Get Free Internet https://www.esquirem[...] 2021-01-19
_[6] 뉴스 Philippines drops charges in 'ILOVEYOU' virus case https://www.cnn.com/[...] 2024-07-01
_[7] 뉴스 Love bug virus creates worldwide chaos https://www.theguard[...] 2024-06-10
_[8] 논문 Analysis of the ILOVEYOU Worm 2000
_[9] 웹사이트 It has been 20 years since cybercrims woke up to social engineering with an intriguing little email titled 'ILOVEYOU' https://www.theregis[...] 2024-06-10
_[10] 웹사이트 Top Ten Most-Destructive Computer Viruses https://www.smithson[...] 2024-06-10
_[11] 웹사이트 This 20-Year-Old Virus Infected 50 Million Windows Computers In 10 Days: Why The ILOVEYOU Pandemic Matters In 2020 https://www.forbes.c[...] 2024-06-10
_[12] 웹사이트 I LOVE YOU Virus Help https://www.computer[...] 2013-02-11
_[13] 웹사이트 Symantec detects all known new variants of VBS.LoveLetter.A worm http://www.symantec.[...] Symantec 2013-02-08
_[14] 웹사이트 No excuse for virus toll, warns MessageLabs http://www.messagela[...] MessageLabs 2000-05-10
_[15] 뉴스 'Love bug' hacker is Pandacan man, 23 http://www.philstar.[...]
_[16] 웹사이트 6 Common Types of Malware https://blog.totalpr[...] 2021-07-28
_[17] 웹사이트 Top 10 worst computer viruses http://www.catalogs.[...] 2008-05-26
_[18] 간행물 Język angielski i niemiecki http://bi.gazeta.pl/[...] 2008-04
_[19] 웹사이트 This 20-Year-Old Virus Infected 50 Million Windows Computers In 10 Days: Why The ILOVEYOU Pandemic Matters In 2020 https://www.forbes.c[...] 2020-05-04
_[20] 웹사이트 The 'love' bug — 10 worst cybercrimes of the decade http://tech.ca.msn.c[...]
_[21] 뉴스 Microsoft May Have Been Target of Lovebug 2000-05-14
_[22] 웹사이트 5 most dangerous computer viruses of all time https://in.news.yaho[...] 2021-07-28
_[23] 웹사이트 10 Deadliest Computer Viruses of All Time https://www.hongkiat[...] 2021-07-28
_[24] 웹사이트 Top 10 Most Destructive Computer Viruses of All Time {{!}} Advanced Computer Consulting https://www.advanced[...] 2018-09-24
_[25] 웹사이트 How a badly-coded computer virus caused billions in damage {{!}} CNN Business https://www.cnn.com/[...] 2024-06-29
_[26] 웹사이트 'ILOVEYOU' e-mail worm invades PCs https://www.zdnet.co[...] 2024-06-29
_[27] 보고서 Critical Infrastructure Protection: “ILOVEYOU” Computer Virus Highlights Need for Improved Alert and Coordination Capabilities https://www.gao.gov/[...] 2024-06-30
_[28] 보고서 "ILOVEYOU" Virus: Lessons Learned Report https://www.gao.gov/[...] United States Army 2024-06-30
_[29] 웹사이트 I Love You [Rev.Eng] • Digicult {{!}} Digital Art, Design and Culture https://digicult.it/[...] 2024-12-15
_[30] 웹사이트 How to Prevent Hair Loss, Kiat Kiat Projects - NECSUS https://necsus-ejms.[...] 2024-12-15
_[31] 웹사이트 ArtAsiaPacific: Alternative Toolkits: Interview with Kiat Kiat Projects https://artasiapacif[...] 2024-12-15
_[32] 웹사이트 Premiere of Jericho Rosales' international film Subject: I Love You at Newport Beach Film Festival sold out https://www.spot.ph/[...] 2024-12-15
_[33] 웹사이트 A Laptop Infected With the World’s Most Dangerous Viruses Sold for $1.3 Million https://www.smithson[...] 2024-12-15
_[34] 웹사이트 Art and cybersecurity collide at the Museum of Malware Art https://cybernews.co[...] 2024-12-15
_[35] 웹사이트 Prosecution Of Cyber Crimes Through Appropriate Cyber Legislation In The Republic Of The Philippines http://www.acpf.org/[...]
_[36] 웹사이트 ILOVEYOU: The wrong kind of LoveLetter https://www.welivese[...] 2021-07-28
_[37] 뉴스 A Filipino Linked to 'Love Bug' Talks About His License to Hack https://www.nytimes.[...] 2000-10-21
_[38] 뉴스 Technology; Philippines to Drop Charges on E-Mail Virus https://www.nytimes.[...] 2000-08-22
_[39] 웹사이트 Republic Act No. 8792 — An Act Providing For The Recognition And Use Of Electronic Commercial And Non-Commercial Transactions And Documents, Penalties For Unlawful Use Thereof And For Other Purposes http://www.chanroble[...] 2001-08-01
_[40] 웹사이트 What is The First Computer Virus in The Philippines? (2022) https://kvskolkata.o[...] 2022-08-16
_[41] 뉴스 Love Bug's creator tracked down to repair shop in Manila https://www.bbc.com/[...] BBC News 2020-05-02
_[42] 간행물 Revealed: The man behind the first major computer virus pandemic https://www.computer[...] 2020-04-21
_[43] 웹아카이브 https://web.archive.[...]
_[44] 웹아카이브 https://web.archive.[...]
_[45] 문서 소스의 특성상, 반드시 이 문장이며, 일본어 문장 등의 생성은 할 수 없다.
_[46] 뉴스인용 지구촌 '러브' 바이러스 초비상…국내에서도 큰 피해 우려 https://news.naver.c[...] 동아일보 2000-05-05
_[47] 뉴스인용 <악성 '러브' 바이러스 증상 및 예방과 퇴치법> https://news.naver.c[...] 연합뉴스 2000-05-05
_[48] 뉴스인용 [지구촌 '러브 바이러스' 大亂] 기하급수적 확산 .. '피해실태/파장' https://news.naver.c[...] 한국경제 2000-05-07
_[49] 뉴스인용 IT 용어 아하! 조크바이러스 http://www.dt.co.kr/[...] 디지털타임스 2012-09-02
_[50] 뉴스인용 러브버그변종 'Joke' 바이러스 주의 요망 https://news.naver.c[...] 국민일보 2000-07-28