CIH 바이러스
1. 소개
진단명 Win95/CIH. 1999년 4월 26일, 전 세계의 수많은 PC를 파괴하면서 사람들에게 컴퓨터 바이러스가 얼마나 무서운지 인식시켜 준 바이러스이다. [1]
당시, 대만의 대동대학(大同大學)에 재학 중이던 학생인 첸잉하오(陳盈豪, 진영호)가 만든 바이러스로, Intel 32비트 어셈블리어(Turbo Assembler)로 작성되어 있다.[2]
이 사건의 여파로 2000년 이후에 생산된 메인보드에는 바이오스 변조(또는 손상) 방지 기술이 적용되었다. 기가바이트제 대부분의 메인보드의 경우, 아예 바이오스를 두 개 넣어서(...) 바이오스 두 개가 모두 죽지 않는 이상 컴퓨터가 벽돌이 될 일이 없도록 설계되어 있다.
2. 증상
각종 컴퓨터 바이러스 증상을 영상으로 모아둔 danooct1의 유튜브에 업로드된 실행영상. 이 영상은 한국인 유저가 해당 영상에 자막을 제안해서, 정식 한글 자막으로도 볼수 있다.
가상머신에서 실행한 결과. 참고로 알집 설치 파일은 CIH 바이러스에 감염된 상태다. 따라서 실행해서 설치를 진행하다가 블루스크린이 뜨거나 설치 후 몇 초 지난 후 블루스크린이 뜨기도 한다.
Windows Me에서 실행시
바이러스에 감염된 상태에서 '''매년 4월 26일 Windows의 부팅이 완료되면 즉시 BIOS와 하드디스크의 모든 데이터를 삭제한다.''' 따라서 컴퓨터 본체나 파워서플라이의 전원 스위치를 켰다 끄는 것을 아무리 반복해도 본체에는 전원 불만 올라오고 아무 일도 일어나지 않는다.
당시 유행하던 부팅 시 실행 바이러스는 끽해봐야 하드디스크의 MBR[3] 이나 FAT[4] 인덱스 등을 파괴하는 것이었기 때문에 하드디스크를 넘어 메인보드 EEPROM 내부에 저장된 바이오스를 조작하는 이 바이러스는 그야말로 신세계였다.
공교롭게도 체르노빌 원자력 발전소 폭발 사고가 일어난 날짜가 4월 26일이었기 때문에 당시 언론에서는 '체르노빌 바이러스' 등으로 소개했지만, 체르노빌 원전과는 아무 관련이 없다. 바이러스의 이름인 CIH는 제작자의 이름('''C'''hen '''I'''ng-'''H'''au)의 머릿글자를 따와서 만든 것이다.
이 바이러스는 컴퓨터 내부의 모든 실행 파일을 감염시키는데, 종래의 바이러스와는 달리 파일 속에서 빈 공간을 찾아 덮어쓰는 방식을 썼기 때문에 감염되어도 파일 용량의 차이가 발생하지 않는다.[5] 작업 관리자를 보면 바이러스가 실행되고 있다는 것을 알 수 있다. 그리고 감염이 완료된 실행 파일이 실행되면 CIH 바이러스가 같이 시작되며, 그리고 그 날짜가 4월 26일이면 바이러스가 컴퓨터를 파괴한다.
여담으로, 바이러스 코드의 용량은 고작 1KB이다.
3. 특징
후술할 아래 항목의 경우를 제외하면 파일이 감염되어도 티가 전혀 나지 않기 때문에 당시 유명하던 주요 셰어웨어(MoviePlayer, Winamp 등)의 정식 배포판이 바이러스에 감염된 채로 통신망에 배포되어 수많은 PC를 감염시켰다. 한국의 경우도 교육용 프로그램이 바이러스에 감염된 채 CD에 수록되어 팔려나가 바이러스를 전파시켰다.
하지만 몇 가지 버그가 있었다.
- Winzip Self Extractor로 만든 실행 압축파일에 감염되면 CRC 체크에서 에러를 내며 실행압축을 작동시킬 수 없다. 따라서 컴퓨터 사용자는 파일에 변화가 생겼음을 알 수 있다.[6]
- 인터넷 익스플로러에서 텍스트를 입력하는 폼이 포함되어 있을 경우 동작이 매우 느려진다.
- 스타크래프트에서 멀티플레이 시 연결 방법 선택 화면[7]이 매우 늦게 뜬다.
- 윈도우 NT 계열에서는 감염되지 않는다.
- 첫 번째 이유는 이 바이러스의 파일 감염 방식에 있다. 윈도우 NT 시대로 오면서 많은 실행 파일들이 빈 공간을 거의 만들지 않게 되어 파일 속에서 빈 공간을 찾아 감염시키는 방식이 통하지 않게 되었다.
- 두 번째 이유는 이 바이러스의 활동 방식에 있다. 윈도우 9x / Me 시절에 존재했던 버그[8]를 악용해서 시스템을 장악함과 동시에 파일 감염, 시스템 파괴 활동을 일으켰는데, 이 버그는 윈도우 NT 계열로 오면서 수정되었다. 다만, 윈도우 XP에서 작동시키는 방법이 있긴 하다.
4. 대한민국에서의 피해
대한민국에는 1998년 6월에 상륙했다.
백신 업계에서는 CIH 바이러스의 위험성이 굉장히 크다는 점을 파악하고 언론에 그 위험성과 심각성을 경고했으나 언론은 가볍게 무시했다.
'''1999년 4월 26일. 대재앙이 시작되었다.''' 관공서, 회사 사무실, 가정용 할 것 없이 수많은 컴퓨터[11]가 먹통이 되었고, 백신업체 및 데이터 복구업체 역시 폭발적으로 쏟아지는 복구상담에 패닉에 빠지고, 기업에서는 사무실 PC가 죽어서 당장 업무를 할 수 없는 사태가 벌어진 것이다. 바이오스를 날렸기 때문에 전문적인 장비와 기술[12]이 있을 리가 없는 일반인은 도저히 손쓸 도리가 없었다.
안철수연구소와 하우리소프트 등 당시 국내의 몇 안 되는 백신 관련 소프트웨어 업체는 이 날부터 그야말로 대전쟁을 치렀고 이들 회사의 인지도 및 주가는 폭등했다.
안철수가 올린 CIH 바이러스 관련 내용이 있으니 참고바람.
5. 첸잉하오 체포, 그 이후...
첸잉하오는 바이러스가 작동한 이후 얼마 뒤에 현지 경찰에 바로 체포됐다.[13] 백신 프로그램이 값도 비싸면서 제대로 바이러스 치료를 해주지 않았던 것에 대해 앙심을 품고 CIH 바이러스를 만들었다고 진술했다. 하지만 그 시대에는 그의 행위를 범죄로 규정할 수 있는 법률이 존재하지 않았기에 그는 풀려나서 미국의 리눅스 관련 회사에 스카웃되어 엔지니어로 활동한 이후, 현재는 본국으로 귀국하여 GIGABYTE 사에서 엔지니어로 활동하고 있다.
그리고 더 이상 바이러스를 만들지 않겠다며 반성하는 의미로 CIH 바이러스를 치료하는 백신 프로그램을 만들어 배포했으며, 그 이후 CIH 외의 다른 바이러스도 치료하는 백신 프로그램도 만들어 배포했다.
6. 기타
한국의 힙합 뮤지션 주석도 CIH 바이러스의 피해자 중 한 명이다.
그는 2000년 11월 발매한 자신의 EP앨범 'Only The Strong Survive'의 수록곡 '파괴의 미학'에서 CIH 바이러스(가사에서는 '체르노빌 부트 바이러스')로 인해서 모든 음악 작업 데이터를 잃어버린 경험을 가사에 담고 있다.
[1] IT 뉴스는 이전부터 뉴스데스크에 등장해왔다. 대표적으로 1995년에 출시한 Windows 95의 출시 관련 뉴스들. 다만 최초의 바이러스 관련 뉴스일 수 있다.[2] 바이러스의 원시 프로그램(소스 코드)은 이곳에 공개되어 있다. GitHub[3] Master Boot Record. 하드디스크의 0번 섹터(통상 512바이트)에 존재. 부팅 후 가장 먼저 수행되는 프로그램인 부트로더(Bootloader)와 파티션 구성 정보가 들어있다.[4] File Allocation Table. FAT12/FAT16/FAT32 파일 시스템에서 파일들의 정보를 보관하는 테이블이다.[5] 파일을 감염시키는 기존 DOS 시절 바이러스의 경우 감염된 파일은 용량이 KB 단위로 조금 커진다.[6] 이것을 알게된 바이러스 제작자는 Winzip Self-Extractor 는 감염되지 않게 바이러스를 수정하였다.[7] 배틀넷, 모뎀, IPX 중 하나를 선택하는 그 화면.[8] 커널모드에서만 사용 가능했던 Privileged Instruction를 사용자 모드의 일반 응용 프로그램에서 충분히 사용할 수 있었던 버그. Ring0 권한 취득은 사실상 합법적 루트였기에 MS는 이를 막을 수 없었다. 이는 디버그를 위한 서비스였기 때문이다.[9] 중/소규모는 Windows NT, 대규모는 유닉스 기반이였다.[10] MS-DOS 만을 사용하는 PC도 존재했다.[11] 약 30만 대의 PC가 피해를 입었다고 알려져 있다.[12] 바이러스에 감염되지 않은 동종의 바이오스가 탑재된 메인보드 및 롬 라이터가 필요하다.[13] 바이러스 코드에 CIH Source : TTIT of TATUNG in Taiwan이라는 주석이 존재하며, 대동대학 본교에서도 우리학교에서 이런 바이러스를 만들었다고 자체적으로 보도했다. 대동대학에서는 매년 4월 26일을 기념한다고 한다. 자기 대학도 CIH로 대재앙을 맞아서(...)