바이러스정보

게시글 '트로이목마란?'에 대한 정보
트로이목마란?
등록일 2005-12-11 조회 2,768
트로이목마 프로그램은 바이러스와 달리 자기 복제 능력이 없으며 유틸리티 프로그램 내에 악의의 기능을 가지는 코드를 내장하여 배포하거나 그 자체를 유틸리티 프로그램으로 위장하여 배포한다. 트로이목마가 설치되면 특정한 환경이나 조건 혹은 배포자의 의도에 따라 사용자의 정보 유출(Backdoor)이나 자료파괴 같은 피해를 입을 수 있다. 다음 표는 대표적인 악성 프로그램의 유형을 설명한 것이다. 주요목적 피해 가능성 복제 감염 예방/백신 바이러스 자료손실/삭제 ○ ○ ○ 치료(복원) 웜 피해확산 ○ ○ × 치료(삭제) 트로이목마 자료손실/유출 ○ × × 개인방화벽/삭제 혹스(Hoax) 심리적불안 △ × × · 조크(Joke) 심리적위협 △ × × 삭제 일반 사용자들은 바이러스라는 용어를 악성 프로그램을 총칭하는 의미로 많이 사용하고 있지만, 메일 또는 네트워크로 전파되는 형태는 웜으로 그리고 사용자 정보를 유출하거나 다른 시스템을 공격할 수도 있는 것들은 트로이목마로 분류할 수 있다. 위 표에서 보듯이 트로이목마는 복제나, 다른 파일로 감염되지 않으므로 백신 프로그램을 이용하여 치료(삭제)할 수 있고 개인 방화벽 프로그램을 이용하여 오픈된 포트 및 네트워크 환경을 감시할 수 있다. 2. 트로이목마의 감염 경로 대부분의 사람들이 트로이목마의 감염 경로가 다양하지 못하다고 생각하는 이유는 단순하게 server.exe 파일을 다운로드 하여 실행하게 되면 감염되는 것으로 알고 있기 때문이다. 그러나 이와는 달리 해커들은 다양한 방식으로 시스템을 트로이목마에 감염시켜 불법적인 행위에 악용하고 있다. ① 첨부 파일 대부분의 사람들이 이메일에 첨부된 파일에 의해 감염이 되는 경우가 가장 많다. 이메일의 첨부 파일은 성인물, 유료 사이트의 계정과 패스워드, 사용하는 프로그램의 패치 등 사람의 호기심을 끌만한 것으로 위장하고 있다. 그래서 사용자들은 이러한 형태의 첨부 파일로 인해 시스템이 감염 될 수 있다는 생각을 하지 못하고 첨부파일을 실행하게 되는 것이다. ② 물리적인 접근 이 감염방식은 인터넷과 같은 온라인이 아닌 로컬에서 일어나는 형태이므로 시스템의 보안에 심각한 문제를 일으키게 된다. 예를 들어서 시스템을 화장실이나 휴게실로 가기 위해 몇 분 정도 어떠한 안전장치 없이 방치하게 될 경우 이 몇 분은 해커에게 시스템을 트로이목마에 감염시키기에 충분한 시간이다. 또 다른 방식으로 CD-ROM의 자동 실행 기능을 이용하는 것이 있다. 이 방식은 컴팩트 디스크를 쓸 때 Autorun.inf 파일의 설정을 감염 된 파일이나 감염 되도록 조작 된 프로그램이 설치되도록 변경한다. 그리고는 시스템에 컴팩트 디스크를 CD-ROM에 넣게 되면 설치 파일이 자동으로 실행되어 감염된다. ③ 소프트웨어의 취약점 사용하는 소프트웨어를 최신버전으로 업데이트하지 않거나 패치를 설치하지 않아 소프트웨어의 취약점이나 버그 등으로 인해 트로이목마에 쉽게 감염이 될 수 있다. 예를 들어 사용자가 오래된 버전의 인터넷 익스플로어를 사용해 특정 웹 사이트를 접속 하게 될 경우, 인터넷 익스플로어를 최신 버전으로 업데이트하여야만 정상적인 이용이 가능한 것처럼 사용자를 속여 감염된 파일을 다운로드 하도록 한다 ④ 셰어웨어 셰어웨어를 사용 할 경우, 항상 의심을 가져야 하며 매우 위험할 수 있다고 생각해야 된다. 가장 손쉽게 시스템을 감염시킬 수 있는 방법 중 하나가 인터넷에서 배포되는 셰어웨어 이다. 그리고 이것으로 인해 시스템이 매우 위험해질 수 있으므로 셰어웨어를 사용하기 전에는 항상 유명한 공개 자료실에 등록이 되어 있는 것이나 이것을 공개한 회사의 웹 사이트에서 관련된 다른 자료를 찾아 보는 것이 좋다. ⑤ 관리목적 공유 폴더 이용 2002년 말부터 발견되고있는 트로이목마 중 IRC 관련의 것들은 '관리목적으로 공유된 폴더' 가 존재하는 OS 로그인 계정의 취약한 암호를 사용하는 시스템을 별도 프로그램의 도움을 받아 스스로 찾고 트로이목마를 설치해두는 형태로 발전했다. 이런 종류의 트로이목마는 점점 증가 추세이며 자동으로 IP 주소대역을 검색하여 이런 시스템을 찾아 트로이목마를 설치하는 형태도 발견되었다. 이러한 전파 및 설치방법은 트로이목마에만 국한되지 않고 바이러스나 웜 등의 악성 프로그램들도 이용하고 있다. 3. 트로이목마의 형태 트로이목마는 다양한 형태들이 발견되고 있으며, 대부분 기능들이 복합적으로 내재되어 있으나 아직까지 알려지지 않은 다른 기능들도 많이 있다. ① 원격 조정 대부분의 트로이목마가 이 경우에 해당되며 이러한 원격 조정은 해커가 트로이목마에 감염된 시스템을 통해서 악의적인 행위를 할 수 있다. 이 유형은 다른 기능들과 같이 복합적으로 사용되고 있으며 해커는 감염된 시스템의 파일, 데이터 등 시스템에 관한 모든 것을 완벽하게 조정할 수 있다. ② 패스워드 가로채기 이 유형의 주된 목적은 트로이목마에 감염된 시스템에 존재하는 캐시된 패스워드를 찾아내는 것이다. 주로 메신저, 인터넷에 존재하는 웹사이트, 기타 응용 프로그램 사용시에 요구되는 사용자 계정과 패스워드를 사용자 모르게 공격자의 이메일 주소로 전송한다. 이러한 유형들 대부분이 윈도우가 재시작할 때 자동 실행되지 않으나 특정한 악용 행위의 상황 등에 따라 달라질 수 있다. ③ 키보드 입력 가로채기 이 유형은 시스템에서 사용자가 입력하는 키보드 입력을 임의의 로그파일에 복사한 후 해커가 설정해 놓은 특정한 이메일 주소나 메신저로 전송한다. 해커는 그 로그파일에서 패스워드, 사용자 계정과 같이 민감한 데이터를 찾아내게 되는 것이다. 대부분의 이 유형은 온, 오프 라인 로그의 두 가지 모두 기록을 할 수가 있으며 하루나 특정 시간 단위로 로그 파일을 편집하여 미리 설정해 놓은 메일 주소로 전송 할 수 있다. ④ 시스템 파일 파괴 형태 이 기능의 트로이목마는 감염된 시스템에 있는 파일이나 데이터들을 삭제하는 기능을 가지고 있으며 쉽게 이용할 수 있다. 그리고 핵심적인 시스템 파일들, 예를 들어서 .dll, .ini, .exe 파일들을 자동으로 삭제할 수 있다. 이러한 유형은 해커에 의해 작동되거나 논리 폭탄(Logic Bomb)처럼 특정한 실행으로 인해 특정한 날짜나 시간대에 자동으로 활성화되도록 지정 할 수 있다. ⑤ 서비스 거부 (Denial of Service) 공격 형태 최근에 들어서야 알려지기 시작한 형태로 감염된 숙주를 이용해 공격대상이 되는 시스템에 서비스 거부 공격(DoS)을 가 한다. 주된 악용행위는 고속 네트워크를 사용하는 다수의 시스템을 감염시켜 동시에 많은 트래픽을 공격 대상이 되는 시스템으로 전송하고 이로 인해 시스템의 리소스를 고갈시켜 일시적으로 시스템을 마비시키는 분산 서비스 거부 공격(DDoS)을 들 수 있다. 이러한 기능으로 잘 알려져 있는 DDoS 툴로는 WinTrinoo 있으며 그 외 유명한 DoS 공격 유형의 트로이목마로는 mail+bomb 이 있다. 이 것의 주된 공격 목적은 무작위로 제목과 본문을 설정한 메일을 감염된 시스템에서 생성해 특정 메일주소로 동시에 보내는 것이다. ⑥ FTP 형태 이 유형은 가장 단순하며 가장 오래된 형태이다. 단순하게 감염된 시스템에서 파일 전송을 위해 20번과 21번 포트를 오픈하여 공격자뿐 만이 아니라 일반 사용자도 접속할 수 있게 만든다. 하지만 최근의 경향은 미리 설정해 놓은 패스워드를 통해 감염된 시스템에 해커만 접속할 수 있도록 하고 있다. ⑦ 시스템 보호 기능 삭제 형태 백신이나 개인용 방화벽과 같이 시스템 보호를 목적으로 사용되는 프로그램의 주요 파일을 삭제하여 그 기능을 하지 못하도록 하는 형태이다. 일반적으로 특정한 트로이목마 내부에 포함되어 하나의 기능으로 사용되고 있다. 백신이나 개인용 방화벽의 주요 파일이 삭제되어 정상적인 기능을 수행하지 못하게 되면 해커는 트로이목마에 있는 다른 기능을 이용하여 감염된 시스템에서 악용 행위를 할 수 있게 된다. 4. 트로이목마의 작동 방식 트로이목마는 크게 두 가지로 클라이언트 파일과 서버 파일로 나누어진다. 서버 파일은 특정한 감염 경로를 통해 시스템의 한 부분에 설치되어 해커가 클라이언트 파일을 이용하여 원격지에서 접속할 수 있도록 특정한 포트를 오픈 하게 된다. 특정한 포트를 이용해 서버 파일과 클라이언트 파일이 통신하기 위해서는 일반적으로 TCP/IP 프로토콜을 사용하나 어떠한 경우 UDP 프로토콜을 이용하여 접속하기도 한다. 서버파일은 주로 c:windows나 c:winnt 등의 윈도우가 사용하는 디렉토리 하위에 주로 설치되며 파일명 또한 explorer.exe나 windll.exe와 같이 시스템이 사용하는 파일인 것처럼 위장한다. 그리고 설치가 된 후, 외부에서 접속이 가능하도록 특정 포트를 오픈하는데 대부분 5000번대 이상의 포트를 오픈하여 시스템이 사용하도록 예약된 포트들과 중복을 피하고 있다. 레지스트리나 win.ini, system.ini, autoexec.bat 등을 수정하여 감염된 시스템이 리부팅하게 될 경우, 서버파일 역시 재실행 되도록 설정되어 있다. 원격지에서 감염된 시스템에 접속하기 위해서는 IP주소를 알아야 하는데 대부분의 트로이목마는 IP주소를 메일이나 메신저 등을 이용해 해커에게 전송한다. 이 방식은 시스템이 인터넷에 접속 할 때 마다 매번 IP주소가 달라지는 유동IP를 가지게 될 경우 사용이 된다. 그러나 감염된 시스템이 고정IP를 가지거나 유동IP라도 장시간 시스템을 리부팅하지 않아 같은 IP주소인 경우 접속하기가 더욱 쉬워 진다. 아래는 트로이목마가 시스템이 리부팅 되어도 재실행 될 수 있도록 설정 되는 자동 실행 방식이다. ① Win.ini c:Windowswin.ini 에 있는 load와 run부분 Load = <트로이목마의 서버 파일> Run = <트로이목마의 서버 파일> ② system.ini c:windowssystem.ini 에 있는 boot의 shell 부분 shell=Explorer.exe, <트로이목마의 서버 파일> ③ 레지스트리 레지스트리는 윈도우가 실행되는데 필요한 시스템의 모든 정보를 모아 놓은 데이터 베이스로, 시스템의 하드웨어, 소프트웨어, 사용자 계정, 네트워크 설정 등에 관한 정보 등이 기록되어 있다. 서버 파일은 아래에 있는 레지스트리 설정을 변경하여 윈도우가 리부팅 할 때마다 재실행 되도록 한다. Hkey_Local_MachineSoftwareMicrosoftWindowsCurrent VersionRun Hkey_Local_MachineSoftwareMicrosoftWindowsCurrent VersionRunonce Hkey_Local_MachineSoftwareMicrosoftWindowsCurrent VersionRunservice Hkey_Local_MachineSoftwareMicrosoftWindowsCurrent VersionRunserviceonce Hkey_Current_UserSoftwareMicrosoftWindowsCurrent VersionRun Hkey_Current_UserSoftwareMicrosoftWindowsCurrent VersionRunservice Hkey_Current_UserSoftwareMicrosoftWindowsCurrent VersionRunonce Hkey_Users.defaultSoftwareMicrosoftWindowsCurrent versionRun Hkey_Users.defaultSoftwareMicrosoftWindowsCurrent versionRunonce ④ startup 및 레지스트리 c윈도우가 실행 될 때에는 아래의 startup 디렉토리에 있는 실행 파일들은 자동으로 실행되도록 설정되어 있으며 이 디렉토리는 아래의 레지스트리에 설정되어 있다. c:WindowsStart menuProgramsStartup c:Documents and SettingsAdministratorStart menuProgramsStartup Hkey_Current_UserSoftwareMicrosoftWindowsCurrent VersionExplorershell ⑤ bat 파일 c:autoexec.bat은 윈도우 실행시 시스템의 사용환경을 설정하는데 사용되며 여러 가지 프로그램이 이 파일에 등록되어 있어 자동으로 실행되게 설정되어 있다. 그리고 c:windows winstart.bat 역시 도스 환경에서 자동으로 실행되게 설정되어 있다. 5. 트로이목마의 감염 확인 백신이 모든 트로이목마들을 완벽하게 진단 할 수는 없지만 시스템에 나타나는 특이한 증상으로 트로이목마의 감염 여부를 의심 해 볼 수 있다. - 정상적으로 접속한 웹 사이트에서 몇 번의 윈도우 대화 창이 나타난 후 웹 브라우저를 실행 할 때 마다 특정한 웹 사이트로 접속되는 현상 - 이상한 윈도우 메시지 박스가 스크린에 나타나 사용자 계정과 패스워드 등의 질문을 하는 경우 - 사용자가 변경하지 않은 윈도우 설정이 바뀌어 있거나 CD-ROM이 알 수 없는 이유로 열리고 닫히는 경우 - 도스 모드에서 netstat 를 실행 하였을 때 높은 숫자의 알 수 없는 포트가 열려서 리스닝 상태가 되어 있는 경우 - 트로이목마가 자동실행 되도록 수정하는 파일이나 레지스트리 위치에서 사용자가 설치하지 않은 파일이나 프로그램이 설정이 되어 있는 경우 6. 트로이목마 치료(삭제)방법 위에서 잠깐 언급했듯이 트로이목마는 다른 곳으로 복제되거나 다른 파일을 감염시키지는 않는다고 했다. 또한 바이러스나 웜과 달리 치료방법이 다르고 특별나지도 않다. 그러므로 백신 프로그램으로 트로이목마의 실행파일을 진단, 삭제하고 윈도우 부팅 시 자동으로 실행되도록 하는 레지스트리 값을 제거해주면 말끔히 해결된다. 다음은 V3Pro 2002 Deluxe를 이용하여 트로이목마를 치료하는 모습이다. 1) 프로세스에서 실행 중인 트로이목마를 진단하고 사용자에게 ‘강제 종료후 치료’를 권유한다. 2) ‘강제 종료 후 치료’를 누르면 프로세스에서 트로이목마의 실행이 중지됨과 동시에 해당 파일을 삭제한다. 3) 트로이목마가 레지스트리 값을 생성했다면 삭제와 동시에 레지스트리 값도 삭제한다. 이러한 일련의 작업은 백신 프로그램이 모두 해주므로 사용자는 백신 프로그램의 엔진파일이 자동으로 업데이트 되도록 해두고 정기적으로 시스템을 검사하는 것이 좋다. 그런데 트로이목마를 삭제 후에도 재발견한 경험이 있는 사용자가 있다면 다음과 같은 점을 의심해 보도록 하자. 일부 트로이목마는 자신이 언젠가는 삭제될 수 있다는 것을 알고 제작되므로 Dropper (드롭퍼)형태로 설치된 경우가 많다. Dropper란 정상적인 파일 등에 트로이목마나 웜, 바이러스가 숨겨진 형태를 일컫는 말이다. 따라서 트로이 목마 삭제 후에도 다시 재발견된다면 또는 윈도우 부팅 시 시작되는 시작 프로그램들 중 의심스러운 파일이 있다면 안철수연구소 바이러스 신고센터를 이용하여 신고하거나 문의하면 처리 방법에 대하여 자세히 안내받을 수 있다. ※ 트로이목마를 삭제하는 이유 일부 사용자들은 백신 프로그램이 트로이목마를 ‘치료’ 하지 않고 ‘삭제’ 하는 것에 대하여 백신 프로그램의 성능이 좋지 않다고 생각하는 경우가 있다. 이것은 잘못된 생각이며 위 표에도 나와 있듯이 트로이목마는 진단된 프로그램 자체가 악성 프로그램이므로 백신이 이를 삭제하는 것으로 이해해야 한다. 그리고 트로이목마는 시스템 파일인 것처럼 파일명을 위장하는 경우가 있어서 사용자들이 오해하는 경우가 많은데 이런 경우 삭제하더라도 시스템에는 아무런 영향을 미치지 않는다 7. 트로이목마 예방 방법 위에서 잠깐 언급했듯이 트로이목마는 다른 곳으로 복제되거나 다른 파일을 감염시키지는 않는다고 했다. 또한 바이러스나 웜과 달리 치료방법이 다르고 특별나지도 않다. 그러므로 백신 프로그램으로 트로이목마의 실행파일을 진단, 삭제하고 윈도우 부팅 시 자동으로 실행되도록 하는 레지스트리 값을 제거해주면 말끔히 해결된다. 다음은 V3Pro 2002 Deluxe를 이용하여 트로이목마를 치료하는 모습이다. 트로이목마라고 해서 일반적인 바이러스 예방법과 크게 다르지 않다. 다음 내용을 참고하도록 한다. 1) 프로그램은 여러 사람이 문제없이 사용하는 것을 사용한다. 특히 불법 상용 프로그램, 게임 등이 업로딩 되는 소위 말하는 ‘Warez’를 조심해야 한다. 백도어를 해킹목적으로 사용하는 많은 사람들이 상용게임 립 버전, 또는 상용 프로그램의 설치 파일에 위장해서 인터넷에 올리는 경우가 많다. 국내에서도 이런 백도어 변형이 많이 발견되고 있으며 국내의 해킹 사이트에서 직접 이런 파일을 올리는 경우도 있다. 2) 잘 모르는 사람이 보낸 파일은 실행하지 않는다. 연구소로 트로이목마(백도어)가 설치되었다고 연락하는 상당수의 사람들이 메신저 등의 인터넷 채팅 프로그램을 통해 받은 프로그램을 실행하고 감염되었다고 한다. 잘 모르는 사람이 자신의 사진이라고 하거나 호기심을 자극할 수 있는 이름의 파일명을 보낸다면 트로이목마일 가능성이 높다. 3) E-mail에 첨부된 실행파일은 반드시 철저한 확인 후 실행한다. 대중화 되어 있는 E-mail을 통하여 웜이나 바이러스가 첨부되어 보내지거나 또는 자동으로 웜에 의하여 발송되는 경우가 있다. 따라서 아는 사람이 보낸 파일일지라도 확실한 프로그램이 아니면 실행하지 않아야 한다. 참고로 요즘 백신 프로그램들은 POP3 및 아웃룩 검사기능을 수행하므로 이러한 기능을 활성화 해두면 사용자가 따로 검사하지 않아도 자동으로 검사해준다. 4) 최신 엔진의 백신 프로그램을 사용한다. 최신 엔진의 백신 프로그램은 바이러스나 웜뿐만 아니라 신종 트로이목마(백도어)에 대한 대처를 하고 있다. 따라서 백신 프로그램의 최신 엔진이 나오면 빨리 업데이트 해야 한다. 많은 사용자들이 백신 프로그램을 사용하지만 업데이트를 하지 않아 낭패를 보는 경우가 많다. 요즘은 대부분 인터넷 및 네트워크 연결된 경우이므로 자동 업데이트 기능을 수행해두면 사용자가 실행하지 않아도 자동으로 업데이트 된다. 5) 백신 프로그램 감시 프로그램을 활성화한다. 일부 사용자들은 백신 프로그램의 감시 프로그램이 시스템 리소스를 많이 차지한다고 해서 감시 프로그램 실행하지 않는 경우가 있다. 이러한 감시 프로그램들은 윈도우 부팅 시 자동으로 실행되어 윈도우 종료 시까지 알려진 악성 프로그램들로부터 시스템을 보호해 준다. 또한 요즘처럼 시스템 사양이 좋아지고 프로그램이 최적화되어 있으므로 많은 리소스를 차지하지도 않으므로 이 기능을 반드시 활성화 하도록 하자. 엔진 업데이트가 항상 최신이라고 해도 이 기능을 활성화 시켜두지 않으면 백신 프로그램은 반쪽자리 기능밖에 수행하지 못한다. 다음과 같이 설정한다. (V3Pro 2002 Deluxe 경우) ① V3Pro 2002 Deluxe를 실행한다. ② 메뉴에서 ‘환경설정’ → ‘검사’를 선택한다. ③ ‘실시간 감시’ 항목에서 ‘시스템 감시’를 체크한다. ④ 체크를 했다면 시스템을 재부팅 하도록 한다. 부팅과 동시에 윈도우 트레이에 아래와 같이 실행 중인 아이콘이 표시될 것이다. 6) 개인용 방화벽 프로그램을 설치한다. 시스템을 악성 프로그램으로 보호하기 위하여 우리는 백신 프로그램을 사용한다. 그러나 요즘은 시대가 많이 변화되었다. 대부분의 컴퓨터들은 부팅과 동시에 인터넷에 연결된다. 따라서 그 만큼 악성 프로그램이 유입될 수 있는 경로가 늘어난 것이다. 가령 공유된 폴더가 있다고 가정하자. 인터넷에 연결된 경우 누군가 공유폴더로 접근하여 자료를 유출하거나 변조, 삭제할 수 있다. 나아가 윈도우 2000의 관리목적으로 공유된 폴더가 있고 로그인 계정의 암호를 사용하고 있지 않거나 유추하기 쉬운 암호를 사용하고 있다면 백신에 예방기능이 없는 새로운 IRC 트로이목마가 설치될 수 있고, 누군가 관리자 권한으로 접근하여 시스템을 장악할 수도 있다. 이러한 위험으로부터 안전하려면 백신 프로그램에게만 이 무거운 짐을 맡기기에는 너무 버겁다. [ ▲ V3Pro 2002 Deluxe의 든든한 파트너 Ahnlab Personal Firewall ] 이럴 때 개인 방화벽 프로그램을 설치해두었다면 오픈된 포트로 전송되는 패킷을 막아주어 새로운 IRC 트로이목마도 예방이 가능하고 남으로부터 자기 시스템에 대한 권한을 획득 당하지도 않게 된다. 또한 개인 방화벽 프로그램을 설치하면 오픈된 포트, 또는 특정 포트로 접속 하려는 모든 상황을 감시하고 사용자에게 이러한 과정을 수행할지 물어오므로 사용자가 판단 후 이러한 작업을 허용하거나 불허할 수도 있게 된다. 또한 요즘 문제시되고 있는 조작된 UDP, ICMP 등의 패킷 공격으로부터도 안전하게 보호해주기도 한다. [ ▲ 시스템에 연결된 네트워크 상황과 알려진 트로이목마의 접근포트를 감시하고 있다. ] 따라서 요즘 컴퓨터 환경에 맞도록 시스템을 보호하려면 백신 프로그램과 개인 방화벽 프로그램을 함께 사용하는 것이 악성 프로그램 및 침입자로부터 시스템을 안전하게 보호하는 것이다. 나아가 중요한 정보를 다루는 시스템 또는 사용자라면 데스크탑용 암호화 제품도 함께 설치해두면 외부 또는 내부 사용자에 대한 정보유출의 문제도 말끔히 해결된다. 8. 미래의 트로이목마 대부분의 윈도우 사용자는 앞으로도 악의적인 해커들의 공격대상이 될 것이다. 그 것은 대부분의 사용자들이 보안(Security)라는 말의 의미를 잘못 이해하고 있는데 이것은 개인용 방화벽이나 백신이 유일하게 시스템을 보호할 수 있는 솔루션이라 생각하고 있기 때문이다. 그리고 실제로도 방화벽이 어떻게 작동하는지, 어떻게 구성하는지 알지 못하고 있어 문제가 더욱 심각해 질 수 있다. 트로이목마는 가까운 미래에 더욱더 커다란 보안문제를 발생 시킬 것이며 해커들은 독창적이며 악의적인 기능들을 만들어 트로이목마 내부에 포함을 시키게 될 것이다. 그리고 서버파일을 감염된 시스템에서 더욱 더 찾기 힘들도록 그 위치를 숨기게 되며 더 다양한 자동실행 방식을 구성하게 될 것이다. 그 예로 인터넷에 있는 시스템들의 포트를 무작위로 스캔 한 후 취약점이나 버그 등을 탐지하게 되면 자동으로 시스템을 해킹하거나 트로이목마에 감염되도록 하는 프로그램들이 해커들 사이에서 새로운 화두가 되고 있으며 지금 이 순간에도 인터넷 어딘가에서 그러한 악의적인 시도가 발생하고 있을 것이다.