정의
트로이 목마는 컴퓨터 보안 분야에서 사용되는 용어로, 사용자의 인식 없이 시스템에 설치되는 악성 소프트웨어의 일종이다. 정상적인 프로그램이나 파일처럼 가장해 사용자에게 실행을 유도하며, 실행된 후에는 백도어, 스파이웨어, 랜섬웨어 등 다양한 악성 행위를 수행한다. 트로이 목마 자체는 자체적으로 복제하거나 스스로 전파하지 않으며, 주로 소셜 엔지니어링이나 다운로드 파일, 이메일 첨부파일 등을 통해 전파된다.
어원
‘트로이 목마’라는 명칭은 고대 그리스 신화에 등장하는 트로이 전쟁에서 사용된 목마 이야기에 기인한다. 그리스군이 거대한 목마를 트로이 성벽 안에 몰래 넣어 두고, 목마 안에 숨어 있던 병사들이 밤에 나와 성을 함락시킨 사건에서, 겉보기와 실제 목적이 다른 점을 비유하여 악성코드에 적용하였다.
주요 특징
| 구분 | 설명 |
|---|---|
| 전파 방식 | 사용자 유인(소프트웨어 다운로드, 이메일 첨부, 웹사이트 위장) 통한 직접 설치 |
| 행위 | 정보 탈취, 원격 제어, 백도어 설치, 추가 악성코드 다운로드 등 |
| 전파성 | 자체 복제·전파 기능이 없으며, 스스로 다른 시스템으로 퍼지는 웜과 구분 |
| 탐지 난이도 | 정상 파일과 동일한 이름·디지털 서명 등을 사용해 탐지를 회피 |
| 대응 | 안티바이러스·엔드포인트 보안 솔루션, 소프트웨어 업데이트, 사용자 교육 등 |
역사
초기의 트로이 목마는 1970년대와 1980년대 초반에 등장했으며, 대표적인 예로 1984년 발표된 “Morris Worm”에 포함된 트로이 목마 모듈이 있다. 이후 1990년대에는 인터넷 보급과 함께 이메일 및 웹 기반 배포가 급증했으며, 2000년대에는 은행 트로이 목마, 스파이웨어 트로이 목마 등 다양한 변종이 등장하였다. 최근에는 모바일 플랫폼을 대상으로 한 트로이 목마와 클라우드 환경을 악용하는 형태도 보고되고 있다.
탐지 및 방어
- 시그니처 기반 탐지: 알려진 악성코드 해시값·패턴을 데이터베이스와 대조.
- 행위 기반 탐지: 비정상적인 파일 접근·네트워크 통신 등을 모니터링.
- 샌드박스 실행: 의심 파일을 격리된 환경에서 실행해 동작 분석.
- 시스템 무결성 검증: 파일 해시값·디지털 서명 검증을 통한 변조 여부 확인.
- 사용자 교육: 의심 파일 다운로드·첨부 파일 실행 방지 교육.
법적·사회적 영향
대부분의 국가에서 트로이 목마를 포함한 악성코드의 제작·배포·사용은 컴퓨터 범죄에 해당한다. 한국에서는 「특정경제범죄가중처벌 등에 관한 법률」 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따라 처벌 대상이 된다. 기업 및 공공기관에서는 트로이 목마에 의해 발생한 데이터 유출·서비스 중단에 대한 법적·재정적 책임을 질 수 있다.
관련 용어
- 웜(Worm): 자체 복제·전파 기능을 가진 악성코드.
- 백도어(Backdoor): 정상적인 인증 절차를 우회해 시스템에 비밀 접근을 허용하는 프로그램.
- 스파이웨어(Spyware): 사용자의 동의 없이 정보를 수집·전송하는 악성코드.
- 랜섬웨어(Ransomware): 파일을 암호화하고 복호화 대가를 요구하는 악성코드.
참고 문헌
- 김태균, 「컴퓨터 보안 개론」, 한빛미디어, 2021.
- 한국인터넷진흥원, “악성코드 동향 보고서”, 2023.
- NIST Special Publication 800-83, “Guide to Malware Incident Prevention and Handling”, 2022.
(본 내용은 공개된 학술·산업 자료에 기초한 객관적 설명이며, 최신 보안 동향에 따라 추가·변경될 수 있다.)