1. 탐지?
▷ 정탐 (True Positive)
- 실제 악성코드나 공격을 보안 시스템이 올바르게 탐지한 경우
▷ 오탐 (False Positive)
- 정상적인 파일 , 행위를 악성으로 잘못 판단한 경우
▷ 미탐 (False Negative)
- 실제 악성코드나 공격을 탐지하지 못하고 지나친 경우
예측: 정상
2. 바이러스
- 숙주 파일 필요 - 실행파일이나 매크로에 코드를 삽입하여 전파
- 자가복제 - 감염된 파일 실행 시 다른 파일에 코드를 복사하여 전파
- 다형성 / 변형 - 암호화 /코드변형으로 시그니처 탐지를 회피
- 페이로드 실행 - 데이터 삭제, 시스템 손상, 정보유출 등 악의적 행위 수행
- 잠복기간 - 특정조건(날짜, 이벤트) 충족시 활성화 되는 논리 폭탄 형태
ex) ILOVEYOU (2000), Melissa(1999)
3. 웜 (Worm) - 자율 전파형 악성코드
- 네트워크 취약점 자동 스캔 및 익스플로잇
- 이메일 주소록 탈취 후 스팸 발송
- DDoS 공격용 봇 설치
- 백도어 생성 및 원격제어
ex) Conficker(2008) , SQL Slammer (2003)
4. 트로이 목마 (Trojan) - 위장형 악성코드
- 정상 소프트웨어처럼 위장하여 사용자를 속이고, 실행 시 악의적인 기능을 수행하는 악성코드, 자가복제 기능 없음
▷ 유형
- RAT -원격에서 시스템을 완전히 제어. 화면 캡처, 키로깅, 파일 조작 가능
- 백도어 - 정상 인증 우회 비밀 접근 경로 생성. 공격자 지속 접근 보장
- 뱅킹 -금융 정보·인증 정보 탈취. 화면 오버레이로 가짜 페이지 표시
- 다운로더 -감염 후 추가 악성코드를 인터넷에서 다운로드·실행
- 드로퍼 -내부에 악성코드를 숨겨 설치. 주로 초기 침투 수단으로 사용
- 루트킷 -OS 핵심부 침투, 존재 자체를 숨기는 고난도 악성코드
3예측: 정상
5. 랜섬웨어
▷ 유형
- 암호화형 (Crypto) - 파일 암호화후 복호화 키 대가로 금전요구
- 잠금형 (Locker) - 시스템 잠금, 화면 입력장치 제어 차단 후 금전 요구
- 이중 갈취 (Double Extortion) - 암호화 + 데이터 탈취 후 미납시 공개위협
- RaaS (Ransomware as a Service) : 서비스형 랜섬웨어 키트판매
6. 스파이웨어 & 키로거 - 정보탈취형
▷ 키로거 (Keylogger)
- 키보드 입력 전체기록 및 전송
- 화면 캡처 및 클립보드 감시
- HW/SW 방식 모두 존재
- 금융 자격증명, 비밀번호 탈취목적
▷ 스파이웨어(Spyware)
- 사용자 동의 없는 정보수집
- 웹브라우징 습관, 검색어 추적
- 설치 파일, 마이크/카메라 제어
- 광고 타겟팅 정보판매
▷ 인포스틸러 (Infostealer)
- 브라우저 저장 비밀번호 일괄 탈취
- 암호화폐 지갑 데이터 탈취
- FTP / 이메일 계정 자격증명 수집
- Redline, Raccoon, Vidar
7. 루트킷 & 봇넷 - 은닉 , 원격제어형
▷ 루트킷 (Rootkit)
- OS 핵심기능을 가로채 악성코드 존재를 숨기는 기술
- 커널레벨 : OS커널 수정, 가장 강력한 은닉
- 부트킷 : MBR / 부트로더 감염
- 하이퍼바이저 : 가상화 레이어 하이재킹
- 사용자 모드 : DLL 인젝션, API 후킹
▷ 봇넷(Botnet)
- C&C서버의 원격명령을 받아 동작하는 좀비 pc 네트워크
- DDoS 공격 : 대규모 트래픽으로 서비스 마비
- 스팸발송 : 수억 건 스팸이메일 발송
- 암호화폐 채굴 : 감염 pc 자원 불법 사용
- 정보탈취 : 키로거 , 인포스틸러 배포
- 클릭 사기 : 광고 클릭 자동화로 수익창출
8. 대응 방안
▷ 예방전략

▷ 탐지 대응 복구 전략

예측: 정상
'악성코드 > 악성코드 기초' 카테고리의 다른 글
| Virus Total (0) | 2026.06.22 |
|---|---|
| 악성코드 분석 - 정적vs동적 (0) | 2026.06.16 |