암호바이러스와 확장 공격

본 논문은 암호학을 악성 소프트웨어에 적용하는 연구 분야인 ‘암호바이러스(Cryptovirology)’를 소개하고, 그 주요 공격 메커니즘과 방어 전략을 체계적으로 정리한다. 서론에서는 암호학이 전통적으로 정보 보호와 비밀 통신을 위한 도구로 사용되어 왔으나, 최근에는 이러한 기술이 악성코드의 은폐성·공격 효율성을 높이는 데 활용될 수 있음을 강조한다. 암호바이러스는 크게 두 가지 목표를 가진다: (1) 악성코드 자체에 대한 프라이버시와 역공학 방어 강화, (2) 공격자가 피해자와의 통신에서 익명성을 확보한다는 점이다. 관련 연구 파트에서는 2005년 발표된 GPcode, Trojan.Pgpcoder 등 초기 암호 기반 랜섬웨어 사례를 언급한다. 이들 사례는 대칭키 암호화만을 사용했으며, 비대칭키를 이용한 진정한 ‘cryptoviral extortion’은 아직 실증되지 않았다고 지적한다. 또한, 기존 폴리모픽·메타모픽 바이러스가 단순히 변형을 위해 암호화를 사용하는 것과 달리, 암호바이러스는 강력한 암호학적 원리를 핵심 설계 요소로 채택한다는 점을 강조한다. 배경 섹션에서는 대칭키와 비대칭키 암호화, 해시 함수, 난수 발생기(TRBG) 등 기본적인 암호학 개념을 정리하고, ‘kleptography’와 같은 특수 공격 개념도 간략히 소개한다. 핵심 공격 방법론은 두 가지로 구분된다. 첫 번째는 ‘Cryptoviral Extortion’이다. 공격자는 스마트카드에 비밀키를 저장하고, 바이러스 내부에 공개키만 삽입한다. 바이러스가 감염된 시스템에서 TRBG를 이용해 임의의 대칭키와 IV를 생성하고, 이를 이용해 파일 시스템 전체를 암호화한다. 이후 대칭키와 IV를 공격자의 공개키로 다시 암호화해 피해자에게 전달한다. 피해자는 복호화에 필요한 비대칭 암호문을 공격자에게 보내고, 대가로 비대칭 복호화된 대칭키를 받아 파일을 복구한다. 이 프로토콜은 공개키 기반이므로, 분석가가 바이러스 코드를 역분석해도 비밀키를 얻을 수 없다는 점에서 기존 대칭키 기반 랜섬웨어보다 강력하다. 그러나 스마트카드 보안, TRBG 품질, 대용량 암호문 전송 비용, 백업 복구 가능성 등 실현상의 과제가 남아 있다. 두 번째는 ‘Secret Sharing Virus’이다. 여기서는 개인키를 네트워크에 분산 저장한다. Shamir’s Secret Sharing과 유사하게 키를 m개의 조각으로 나누어 서로 다른 노드에 저장하고, 일정 수 이상의 조각이 모여야 복호화가 가능하도록 설계한다. 이를 통해 단일 노드가 전체 키를 확보하지 못하도록 하여 분석가의 키 추출을 방지한다. 그러나 네트워크 토폴로지, 조각 전파 메커니즘, 조각 손실 시 복구 전략 등에 대한 구체적 구현이 제시되지 않아 실제 적용 가능성은 제한적이다. 논문은 또한 암호바이러스가 분산 환경에서 어떻게 확장될 수 있는지, ‘access‑for‑sale’ 웜과 같은 새로운 변종이 어떻게 시스템‑특정 티켓을 이용해 백도어를 열 수 있는지 등을 논의한다. 방어·대응 방안으로는 (1) 암호 API에 대한 접근 제어와 키 관리 정책 강화, (2) 시스템 콜 훅을 이용한 악성 암호화 동작 감시, (3) 정기적인 백업 및 오프라인 복구 체계 구축, (4) 스마트카드와 같은 하드웨어 보안 모듈(HSM)의 활용을 제시한다. 또한, 암호 도구 자체에 대한 감사(audit)와 사용 제한을 통해 악성코드가 암호화 기능을 남용하는 것을 방지해야 한다고 강조한다. 결론에서는 암호바이러스가 기존 악성코드와 차별화되는 기술적 특성을 가지고 있으며, 특히 비대칭키와 비밀분할 기법을 활용한 공격이 향후 더욱 정교해질 가능성을 제시한다. 따라서 보안 연구자와 실무자는 암호학적 방어 메커니즘을 포함한 다층 방어 전략을 마련해야 함을 역설한다.