용어 사전
악성코드란 — 종류, 감염 경로, 그리고 기본 방어
악성코드는 기기나 데이터에 해를 끼치는 악성 소프트웨어의 총칭입니다. 바이러스·랜섬웨어·스파이웨어·트로이 목마·웜·봇 등의 종류와 주요 감염 경로, 그리고 방어법(업데이트·EDR·최소 권한·백업)을 공격 절차 없이 방어 관점으로 설명합니다.
"기기나 데이터에 해를 끼치는 악성 소프트웨어"의 총칭 — 그것이 악성코드입니다. 주요 종류와, 종류가 달라도 공통되는 방어법을 설명합니다(공격 절차는 싣지 않습니다).
악성코드의 종류(개괄도)
이름은 많지만, 외워야 할 것은 "대략 이런 무리가 있다"는 지도뿐이면 충분합니다. 방어법은 뒤에서 설명하듯 공통이기 때문입니다.
바이러스
정상 파일에 기생해, 실행되면 증식하며 감염을 퍼뜨린다. 단독으로는 움직이지 못한다.
웜
단독으로 자기 복제하며 네트워크를 넘어 자동으로 확산한다. 방치된 네트워크에서 폭발적으로 퍼진다.
트로이 목마
유용한 정상 소프트웨어로 위장해 침입한 뒤, 뒤에서 악성 동작을 한다. "스스로 설치해 버리는" 것이 특징.
랜섬웨어
파일을 암호화하고 몸값을 요구. 지금은 데이터 탈취를 동반한 이중 갈취가 주류(→전용 기사).
스파이웨어
눈치채이지 않고 숨어, 키 입력·인증 정보·열람 기록 등을 훔쳐낸다.
봇 / 봇넷
감염 기기를 원격 조종하고, 다수를 묶어 공격에 악용. 명령은 C2에서 도착한다(→C2).
실제로는 하나의 악성코드가 여러 성질을 함께 갖는 경우도 드물지 않습니다(예: 트로이 목마로 침입하고, 스파이웨어로 정보를 훔치고, 마지막에 랜섬웨어를 떨어뜨린다). 그렇기에 "이건 무슨 바이러스?"라는 분류에 시간을 들이기보다, 진입·탐지·복구의 방어를 굳히는 편이 실용적입니다.
주요 감염 경로(진입을 알기)
악성코드는 마법처럼 나타나는 것이 아니라, 거의 정해진 진입점을 통해 들어옵니다. 여기서는 높은 수준의 경로만 제시합니다(구체적인 수법은 싣지 않습니다).
어느 쪽이든 "무심코 연다 / 오래된 채로 방치한다 / 출처를 확인하지 않는다"라는 사람과 운영의 틈이 진입점입니다. 뒤집어 보면, 다음 방어로 대부분은 막을 수 있습니다.
방어법(종류가 달라도, 할 일은 같다)
종류마다 개별 대책을 외울 필요는 없습니다. 악성코드 전반에 통하는 세 층의 방어를 쌓는 것이 기본입니다.
진입을 막기: 업데이트·의심스러운 파일·MFA
OS와 소프트웨어를 꾸준히 업데이트해 알려진 구멍을 방치하지 않기. 짐작 가지 않는 첨부·매크로·링크를 열지 않기. 주요 계정은 다중 인증(MFA)으로 보호해, 인증 정보가 도난당해도 즉시 침입되지 않도록 하기(→ MFA 고르기).
탐지 층을 두기: 안티바이러스/EDR
OS 기본을 포함한 안티바이러스로 알려진 위협을 막고, 더 높은 방어가 필요하면 EDR로 "행위"를 감시해 미지의 것도 포착하기(→ EDR이란). 다만 탐지는 만능이 아니므로, 이것 하나에 의존하지 않기.
피해 범위 좁히기: 최소 권한
일상 작업을 관리자 권한으로 하지 않기. 권한을 필요한 최소한으로 해 두면, 만일 실행되더라도 피해가 퍼지는 것을 억제할 수 있다(기기 한 대·계정 하나의 침해를 전체로 파급시키지 않기).
되돌릴 수 있게 하기: 백업
마지막 보루는 백업. 특히 랜섬웨어에는 오프라인/변조 불가능한 사본과 정기적인 복원 테스트가 결정타가 된다(→ 백업과 복구의 기본).
기존형 안티바이러스(알려진 것의 대조)
- 알려진 악성코드의 "지문(시그니처)"과 대조해 탐지
- 간편·경량이며, 널리 퍼진 위협에는 유효
- 미지·갓 만들어진 변종은 놓치기 쉬움
- "설치해 두면 안심"이라고 오해되기 쉬움
EDR(행위의 감시)
- 파일명이 아니라 의심스러운 행위(수상한 암호화·외부 통신)로 탐지
- 미지의 공격이나 "정상 도구의 악용"도 알아챌 수 있음
- 기록이 남아, 감염 후의 조사·봉쇄에 쓸 수 있음
- 그래도 진입(업데이트)과 복구(백업)의 대체는 되지 않음
본 사이트의 견해: 종류의 암기는 방어 전략이 아니다
공격자는 이름도 겉모습도 계속 바꿉니다. 그래서 "이번 달의 악성코드 이름"을 쫓아도 방어는 강해지지 않습니다. 보편적으로 통하는 것은 진입·탐지·복구의 세 층이라는 구조 쪽입니다. 본 사이트는 스스로에게도 같은 원칙을 적용합니다 — 의존 패키지를 항상 업데이트해 진입을 막고, CVE를 기계 감시해 탐지하고, 구성을 재생성 가능하게 유지해 복구할 수 있게 하기. 악성코드 대책도 특별한 것이 아니라, 이 기초의 연장선 위에 있습니다.
맹점: "안티바이러스를 깔았으니 괜찮다"는 사실이 아니다
가장 흔한 오해가 탐지 소프트웨어 하나를 "부적"으로 삼아 버리는 것입니다. 탐지는 반드시 일정 비율을 놓치므로, 그곳이 뚫리는 순간 방어가 제로가 됩니다. 강한 것은 **진입(열지 않기·업데이트하기)**으로 모수를 줄이고, **탐지(안티바이러스/EDR)**로 잡고, 그래도 빠져나간 것을 **복구(백업)**로 무력화하는, 겹쳐 입기입니다. 어느 한 겹에 의존하지 않는 것이 악성코드 대책의 출발점입니다.
다음으로 읽기
- 용어집: 랜섬웨어란 (가장 피해가 큰 종류·이중 갈취) · C2(명령 제어)란 (봇이 조종되는 통신)
- 용어집: EDR이란 (행위로 미지도 탐지) · IOC(침해 지표)란 (감염의 흔적)
- 학습: 백업과 복구의 기본 (되돌릴 수 있는 상태=마지막 보루) · 보안 최소 체크리스트 (진입·탐지·복구의 토대)
FAQ
Q악성코드와 바이러스의 차이는 무엇인가요?
바이러스는 악성코드의 한 종류입니다. 악성코드는 '해를 끼치는 악성 소프트웨어' 전체를 아우르는 총칭으로, 바이러스·웜·트로이 목마·랜섬웨어·스파이웨어·봇 등을 모두 포함합니다. 일상 대화에서는 무엇이든 '바이러스'라고 부르기 쉽지만, 정확히는 '바이러스'란 자신을 다른 파일에 기생시켜 증식하는 한 종류를 가리키고, 악성코드는 그것들을 묶은 큰 우산 같은 말입니다.
Q무료 안티바이러스만으로 충분한가요?
개인의 기본으로는 OS 기본 보호(Windows의 Microsoft Defender 등) + 꾸준한 업데이트 + 백업 + 최소 권한으로 상당 부분을 커버할 수 있습니다. 다만 안티바이러스는 '알려진 나쁜 것'의 대조가 중심이라, 미지의·교묘한 것은 놓치는 경우가 있습니다. 더 높은 방어가 필요한 상황에서는 행위를 감시해 미지의 공격도 포착하는 EDR이 보완이 됩니다. 어느 쪽이든 '탐지만'에 의존하지 말고, 진입(업데이트·의심스러운 파일을 열지 않기)과 복구(백업)까지 갖추는 것이 중요합니다.
Q악성코드에 감염된 것 같습니다. 무엇을 해야 하나요?
먼저 당황해서 돈을 내지 마세요. 순서는 (1) 그 기기를 네트워크에서 분리하기(확산과 외부 통신을 멈추기), (2) 별도의 안전한 기기에서 이메일·은행·주요 계정의 비밀번호를 변경하고 다중 인증을 켜기, (3) 백업에서 복원하거나 초기화해 깨끗한 상태로 되돌리기, (4) 짐작 가는 진입점(열었던 첨부·설치한 앱·꽂았던 USB)을 끊기, 순입니다. 중요한 데이터를 다루는 기기라면 전문가 상담도 선택지입니다.