CIH 바이러스는 1998년 대만의 대학생 첸잉하오(陳盈豪, Chen Ing-hau)가 개발한 컴퓨터 바이러스이다. 일명 '체르노빌 바이러스(Chernobyl Virus)' 또는 '스페이스필러(Spacefiller)'로도 불리며, 주로 IBM PC 호환 시스템의 BIOS(Basic Input/Output System) 플래시 메모리와 하드 디스크의 데이터를 손상시켜 시스템을 부팅 불능 상태로 만드는 악성코드로 악명을 떨쳤다.
별칭
- 체르노빌 바이러스 (Chernobyl Virus)
- 스페이스필러 (Spacefiller)
- Win9x.CIH
역사 CIH 바이러스는 1998년 첸잉하오가 개발하였으며, 그의 이니셜을 따 CIH라는 이름이 붙었다. 그는 대만 다퉁 대학교 학생으로 알려져 있다. 이 바이러스는 1999년 4월 26일 처음으로 전 세계적인 피해를 일으키기 시작하여 큰 파장을 불러일으켰다. 4월 26일은 1986년 발생한 체르노빌 원자력 발전소 사고일과 같은 날짜였기 때문에 '체르노빌 바이러스'라는 별칭이 붙게 되었다.
작동 방식 및 특징 CIH 바이러스는 주로 실행 파일(.exe)에 자신을 감염시켜 전파되었다. 감염된 실행 파일이 실행되면 메모리에 상주하며 다른 실행 파일을 감염시킨다. 특히 윈도우 95, 98, ME 등 당시 주로 사용되던 MS 윈도우 운영체제에 치명적이었다.
주요 페이로드(payload) 발동일은 매년 4월 26일이었다. 이 날짜가 되면 바이러스는 다음과 같은 파괴적인 행동을 수행했다.
- BIOS 파괴: 가장 악명 높은 기능으로, 시스템의 플래시 BIOS를 덮어씀으로써 마더보드를 사용할 수 없게 만들었다. 당시에는 BIOS 업데이트 기능이 흔치 않았고, 복구도 어려워 사실상 하드웨어 파괴로 이어졌다.
- 하드 디스크 데이터 손상: 하드 디스크의 마스터 부트 레코드(MBR)와 파티션 테이블을 포함한 데이터를 덮어쓰거나 파괴하여 운영체제가 로드되지 않게 하고 저장된 모든 파일에 접근 불능 상태를 만들었다.
또한 CIH 바이러스는 실행 파일 내의 빈 공간에 자신의 코드를 삽입하는 '스페이스필러(Spacefiller)' 기법을 사용하여 파일 크기를 변경하지 않고 숨어들려 시도했다.
피해 및 영향 CIH 바이러스는 1999년을 전후하여 전 세계적으로 수백만 대의 컴퓨터가 감염되어 막대한 재정적, 데이터 손실 피해를 입었다. 수억 달러에 달하는 피해액이 추정되었으며, 이는 당시 가장 파괴적인 컴퓨터 바이러스 중 하나로 기록되었다. 이 바이러스는 사용자들에게 백신 소프트웨어의 중요성과 시스템 보안의 필요성을 각인시키는 중요한 계기가 되었다.
현재의 위협 최신 운영체제(예: 윈도우 2000 이상, 특히 NTFS 파일 시스템 기반)와 현대적인 BIOS/UEFI 펌웨어 환경에서는 CIH 바이러스가 거의 작동하지 않거나 제한적인 영향만 미친다. 대부분의 플래시 BIOS는 이제 쓰기 방지(write protection) 기능을 기본으로 제공하며, 운영체제의 메모리 관리 방식 또한 크게 변화하여 바이러스가 시스템 깊숙이 침투하기 어렵다. 따라서 CIH 바이러스는 현재로서는 실질적인 위협이 되지 않는다.