[IT/보안] 악성코드 분류기준 2

악성코드 분류기준 
 http://labs.no-ad.co.kr/net/SpywareCriteria.aspx
 

 

1. 개요 
 
 
1.1 개요 
 
이 문서는 스파이웨어, 바이러스, 웜 등을 포함하는 악성코드에 대한 ㈜노애드 의 자체 정의 및 기준을 기술하고 있습니다. 
이 문서에 기술된 정의 및 기준은 노애드 및 노애드2+에 내장된 검사/치료 데이터베이스의 기반이 됩니다.

본 문서에서 기술되는 악성코드는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조 제2항의 규정에 의해 정의된 악성프로그램과 같은 의미를 가집니다.
 
*악성프로그램 : 정당한 사유없이 정보통신 시스템, 데이터 또는 프로그램 등을 훼손, 멸실, 변경, 위조 또는 그 운용을 방해할 수 있는 프로그램.
 
 
 
1.2 참고 자료 
 
 스파이웨어 기준안 (2005/8/30, 정보통신부) 
 
 
 
1.3 문서 갱신 주기 
 
이 문서는 사용자의 컴퓨터 사용에 위협 혹은 불편을 야기하는 새로운 행위가 발생할 때마다 사전 고지 없이 수시로 갱신됩니다. 
 
 
 
2. 스파이웨어 정의 및 기준 
 
 
이 장에서는 스파이웨어의 정의와 기준을 기술합니다. 
이 분류에 속하는 프로그램은 노애드 및 노애드2+가 제거할 수 있습니다.
 
 
2.1 스파이웨어 정의 
 
스파이웨어는 사용자의 동의 없이 혹은 사용자를 속여 설치되어 사용자의 컴퓨터 사용에 위험한 행위를 수행하거나 개인정보를 빼돌리는 악성코드입니다. 
ActiveX 보안 경고 창만을 이용한 설치는 설치 동의로 간주하지 않으나, 해당 웹사이트의 서비스를 이용하기 위해 그 사이트를 방문할 때만 실행되는 프로그램은 예외로 합니다.

다음 절에서 기술한 행위를 수행하는 프로그램은 스파이웨어로 인정할 수 있습니다.

스파이웨어 인정 기준에 해당하는 행위 뿐만 아니라, 그레이웨어 인정 기준에 해당하는 행위를 함께 수행하는 프로그램은 스파이웨어로 인정합니다
 
 
 
2.2 스파이웨어 인정 기준 
 
2.2.1 프로그램 설치 과정 
 
 설치과정에서 사용자의 명확한 동의를 확인하지 않는 행위. 
 
 운영체계 또는 타 프로그램의 보안 취약점을 이용하여 설치 또는 실행하는 행위(1항). 
 
 미디어 파일 실행, 웹페이지 표시, 기타 정상적인 프로그램의 실행에 필수적인 요소가 아님에도 프로그램 설치를 강요하는 행위. 
 
 프로그램 다운로드 혹은 설치과정에서 사용자에게 함께 설치됨을 알리지 않은 프로그램을 함께 설치하는 행위(4항). 
 
 사용자가 프로그램 설치를 취소했을 때 해당 프로그램 혹은 또다른 프로그램을 설치하는 행위(4항). 
 
 
 
 
2.2.2 프로그램 운용 과정 
 
 브라우저의 일반 설정, 홈페이지 설정이나 검색 설정 또는 시스템 설정을 임의로 변경하는 행위(1항). 
 
 정상 프로그램의 운영을 방해, 중지 또는 삭제하는 행위(2항). 
 
 정당한 사유 없이 정상 프로그램의 설치를 방해하는 행위(3항). 
 
 프로그램 파일이나, 실행중인 프로세스, 프로그램 창 등의 정보를 사용자 또는 시스템 도구로부터 숨기는 행위(1항). 
 
 사용자의 승인 없이 프로그램을 자동으로 실행하는 행위(1항). 
 
 이 문서에 기술된 위협행위를 수행하거나 수행할 가능성이 있는 다른 프로그램이 포함되어 있거나 다운로드하여 설치하는 행위(4항). 
 
 자신이 포함하고 있거나 다운로드하여 추가로 설치한 프로그램을 위협상황으로 진단하는 행위(4항). 
 
 사용자의 컴퓨터에 실제로 존재하지 않는 위협 상황이 존재한다고 사용자를 기만하는 행위(정보통신망 이용촉진 및 정보보호 등에 관한 법률 제48조제2항). 
 
 특정 사이트에 접속할 경우 사용자의 의사에 관계없이 마케팅 코드를 삽입하는 행위(1항). 
 
 컴퓨터의 네트워크 소통을 임의로 재설정하거나 포워딩하는 행위(1항). 
 
 Hosts 파일을 생성하거나 수정하여 네트웍 도메인 설정을 우회시키는 행위(1항, 5항). 
 
 컴퓨터의 네트워크 설정을 변경하는 행위(광대역 연결, 전화접속, 무선네트워크 등)(1항, 5항). 
 
 운영체계 또는 타 프로그램의 보안설정을 제거하거나 낮은 수준으로 변경하는 행위(5항). 
 
 정상적인 시스템 파일을 다른 파일로 바꾸는 행위(1항, 5항). 
 
 운영체계에서 기본적으로 제공하는 기능을 작동하지 않게 하거나 방해하는 행위(5항). 
 
 사용자의 동의, 확인 없이 시스템의 제어권을 획득하여 시스템을 운용하는 행위. 
 
 사용자의 동의, 확인 없이 컴퓨터에 저장된 파일 혹은 정보를 특정한 곳으로 전송하는 행위(7항). 
 
 컴퓨터 키보드 입력 내용이나 화면 표시 내용(e-mail, 인스턴트 메신저, 웹페이지의 폼 입력정보 등)을 수집, 전송하는 행위(다만, 정보통신 서비스 제공자가 이용자의 개인 정보를 수집하는 경우는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제 50조의5의 규정을 적용)(7항). 
 
 임의로 타인이 사용자의 컴퓨터에 원격으로 접속하게 하는 행위(컴퓨터에 저장된 파일에 접근, 변경, 삭제 및 프로그램 실행, 네트워크 이용 등을 포함). 
 
 프로그램의 운용 또는 업데이트 과정에서 사용자의 동의 없이 다른 프로그램을 컴퓨터에 설치하거나 업데이트하는 행위. 
 
 
 
 
2.2.3 프로그램 제거 과정 
 
 사용자가 프로그램을 제거하려고 할 때, 불필요하고 복잡한 과정을 반드시 거치도록 하거나 허위로 해당프로그램의 필요성을 표시하는 행위(제어판의 프로그램 추가/제거 항목에 표시되지 않는 경우도 포함)(6항). 
 
 사용자가 프로그램을 제거하거나 종료시켜도 해당 프로그램(해당 프로그램의 변종 프로그램도 포함)이 제거되거나 종료되지 않는 행위(제거작업 이후 시스템을 재시작 했을 때, 해당 프로그램에 관련된 파일이 다시 생성되는 경우도 포함)(6항). 
 
 프로그램 삭제 후 시스템 혹은 웹브라우저의 이전설정을 복구하지 않는 행위(1항, 5항). 
 
 
  
 
3. 바이러스/웜 정의 및 기준 
 
 
이 장에서는 바이러스/웜의 정의와 기준을 기술합니다. 
해당 기준은 ㈜노애드의 자체 기준으로 작성되었으며, 이 분류에 속하는 프로그램은 노애드 및 노애드2+ 프로그램에서 제거할 수 있습니다.
 
 
2.1 바이러스/웜 정의 
 
바이러스는 정상 파일의 일부를 변형시켜 여기에 자기 자신 또는 자신의 변형을 복사하여 유해한 작동을 하는 악성프로그램이며 바이러스에 감염되면 파일 변형, 시스템 오류, 작동 불능, 등을 일으킬 수 있습니다. 
웜은 바이러스와 마찬가지로 자기복제성을 가지고 있는 프로그램이지만, 바이러스가 숙주를 필요로 하는 것과 달리 독립적으로 존재합니다. 또한 사용자가 해당 프로그램을 실행하지 않아도 스스로 실행되며, 사용자의 PC에 존재하는 취약점을 찾아 네트워크를 통해 스스로 전파되는 특징을 가지고 있습니다.

다음 절에서 기술한 행위를 수행하는 프로그램은 바이러스/웜으로 인정할 수 있습니다.
 
 
 
2.2 바이러스/웜 인정 기준 
 
자기 자신을 복제하는 행위(로컬, e메일, 네트워크를 통한 복제를 포함합니다.) 
사용자가 인지하지 못한 방법으로 e메일을 전송하는 행위.

해당 프로그램 혹은 개발사에서 배포하지 않은 정상적인 파일(실행가능한 파일 뿐만 아니라 문서파일, 미디어 파일 등 모든 종류의 파일)에 새로운 코드를 삽입하는 행위