트로이 목마 (Trojan Horse)란?
상태바
트로이 목마 (Trojan Horse)란?
  • 이석기 컨설턴트
  • 승인 2001.12.15 00:00
  • 댓글 0
이 기사를 공유합니다

A3 보안 컨설팅

제목 : 트로이 목마 (Trojan Horse)
분류 : [A3 Security 보안강의자료]

비인가된 사용자에 의한 불법 침입이 가능한 트로이 목마 버전의 TCP Wrapper, MS사에서 제공하는 유용한 패치 프로그램을 가장한 IE의 트로이목마 프로그램, 그리고 최신 버전의 루트킷(rootkit) 발표 등 최근 트로이 목마와 백도어 관련 사고가 증가하고 있다.

트로이 목마(trojan horse)는 정상적인 기능을 할 것처럼 보이나 실제로 다른 기능을 하는 프로그램을 말하며 때로는 트로이목마가 시스템의 불법적인 침입을 위한 백도어로 사용되기도 한다.

따라서 이번주 세코뉴스 보안강의자료에서는 시스템을 침해할 수 있는 악성 프로그램인 트로이 목마와 개념을 먼저 살펴보고, 최근 발견되고 있는 트로이 목마 프로그램들을 소개한다.

그리고 다음주에는 백도어의 종류, 백도어 프로그램 설치를 위한 패키지인 루트킷에 대해서 알아본다.

1. 트로이 목마의 개념

가. 트로이 목마(trojan horse)란?

트로이목마는 정상적인 기능을 하는 프로그램으로 가장하여 프로그램 내에 숨어서 의도하지 않은 기능을 수행하는 프로그램의 코드 조각이다. 이는 바이러스나 웜에서 주로 사용하는 메커니즘이다.

고전적인 의미로 트로이 목마는 오딧세우스의 소설에 등장하는 것으로 트로이 전쟁 동안 사용된 커다랗고 속이 텅 빈 목마이다. 그리스는 이 목마에 병사들을 숨긴 채 트로이 성 입구에 놔 두었다. 트로이 사람들은 그 목마를 성 안으로 가져 왔고, 트로이 병사들이 잠든 한밤중에 목마에 숨어 있던 병사들이 목마 안에서 나와 도시를 공격하고 마침내 전쟁을 승리로 이끌었다.

최근의 컴퓨터 세계에서 말하는 트로이 목마는 유용하고 흥미있는 기능을 수행하거나 그런 기능을 하는 것처럼 보이는 독립된 프로그램에 숨어 있다. 이러한 표면적으로 드러나는 기능과 함께 트로이 목마 프로그램은 어떤 다른 비인가된 기능을 수행한다. 전형적인 트로이 목마는 유용한 것으로 가장하여 사용자가 그 프로그램을 실행하도록 속인다. 사용자가 의심하지 않고 그 프로그램을 실행하게 되면 실제 기대했던 기능이 수행된다.

하지만 실제 목적은 사용자의 합법적인 권한을 사용하여 시스템의 방어 체제를 침해하고 공격자는 접근이 허락되지 않는 정보를 획득하는 것이다. 트로이 목마는 새로운 시스템 기능에 대한 정보를 보여주거나 새로운 게임이라고 하는 프로그램들에 숨어 있는 경우가 많다.

전통적인 트로이 목마 공격은 Dennis M. Ritchie에 의해 소개되었다.

공격자는 정상적인 login 기능을 하는 것 같은 패스워드 수집기(Password grabber)프로그램을 작성한다. 의심없는 사용자가 로그인 프롬프트(login :)를 보면 로그인하려고 하고, 프로그램은 정상적인 로그인 순서로 사용자가 평범한 방법으로 로그인하고 있다고 생각하게 한다. 하지만 트로이 목마를 가진 그 프로그램은 로그인 ID와 패스워드를 받으면 이 정보를 공격자 소유의 파일에 복사하거나 메일로 공격자에게 전송한다. 그리고 “login incorrect”라는 오류 메시지를 보낸다. 사용자는 자신이 잘못 쳐 거부었다고 생각하고 로그인 ID와 패스워드를 다시 친다. 그 동안 트로이 목마를 가진 프로그램은 빠져 나오고 실제 login 프로그램에게 제어권을 넘겨 준다. 다음에 사용자는 성공적으로 로그인하게 되고 자신의 로그인 ID와 패스워드 정보가 유출되었다는 사실을 전혀 의심치 않는다.

어떤 이는 이러한 종류의 트로이 목마를 "Trojan mule"이라고 부르는데 그 이유는 전형적인 트로이 목마처럼 유용한 시스템 정보를 보여주는 프로그램이나 게임 프로그램에 숨어 있는 것과는 다르게, 유용한 기능을 가장하지 않고 단순한 눈속임이기 때문이다.

어떤 트로이 목마는 자기 존재의 흔적을 남기지 않아 발견될 염려가 없고, 의심받지 않는 소프트웨어에 숨어 있다. 또 발견되기 전에 스스로를 파괴하도록 프로그래밍 될 수도 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.