ILOVEYOU

다른 뜻에 대해서는 아이 러브 유 문서를 참고하십시오.

ILOVEYOU 또는 러브 바이러스 또는 러브 버그는 2000년 5월 4일 필리핀에서 시작된 웜으로, 2000년 5월 4일과 그 이후에 1천만 대 이상의 윈도우 개인용 컴퓨터를 감염시켰다. 이 웜은 "ILOVEYOU"라는 제목의 이메일 메시지와 "LOVE-LETTER-FOR-YOU.TXT.vbs"라는 첨부파일로 퍼지기 시작했다.^[1] 윈도우 컴퓨터는 일반적으로 이 파일 확장자(VBS, 해석형 파일의 일종)를 기본적으로 숨기기 때문에, 사용자들은 그것이 일반 텍스트 파일이라고 착각하기 쉬웠다. 첨부파일을 열면 비주얼 베이직 스크립트가 실행된다. 먼저, 웜은 로컬 컴퓨터에 피해를 주며 무작위 파일(Office 파일과 이미지 파일 포함)을 덮어쓰고, MP3 파일은 삭제하지 않고 숨긴다. 그런 다음 마이크로소프트 아웃룩에서 사용하는 윈도우 주소록에 있는 모든 주소로 자신을 복사해 매우 빠른 속도로 퍼졌다. 이는 이전의 어떤 이메일 웜보다도 빠른 전파였다.

ILOVEYOU

바이러스에 걸린 후의 이메일 모습
보통 명칭	ILOVEYOU
다른 이름	러브 바이러스, 러브 버그(Love Bug), 러브레터(Love Letter)
유형	컴퓨터 웜
기원 지점	필리핀
개발자	Reonel Ramones, Onel de Guzman
영향을 받는 운영 체제	윈도우 9x, 윈도우 NT 4.0, 윈도우 2000
작성 언어	VBScript

오넬 드 구즈만^[2]이라는 당시 24세의 필리핀 마닐라 거주자이자 AMA 컴퓨터 대학^[3]의 컴퓨터공학과 학생이 이 악성 소프트웨어를 만들었다. 당시 필리핀에는 악성코드를 제작하는 것에 대한 법이 없었기 때문에, 필리핀 의회는 이후 유사한 행위를 방지하기 위해 2000년 7월에 "전자상거래법(공화국법 제8792호)"을 제정했다. 그러나 필리핀 헌법은 소급적용 법률을 금지하고 있기 때문에, 오넬 드 구즈만은 기소될 수 없었다.

배경

ILOVEYOU 웜은 당시 필리핀 AMA 컴퓨터 대학(AMA Computer College) 학생이었던 오넬 드 구즈만이 코딩했다. 웜을 만들 당시 드 구즈만은 가난했고, 국가의 전화접속 인터넷 비용을 감당하기 어려웠다.^[4] 그는 인터넷 접속이 인간의 권리라고 믿었으며,^[5] 인터넷 로그인 정보를 훔치기 위한 트로이 목마 개발을 제안하는 학위 논문을 대학에 제출했다.^[6] 그는 이를 통해 사람들이 인터넷 접속을 감당할 수 있게 될 것이라고 주장했으며, 피해자들이 실질적인 손실을 입지 않는다고 주장했다.^[4] 그러나 그의 제안은 대학에서 "불법적"이라며 거부당했고, 학교 측은 자신들이 "도둑을 키우는 기관이 아니다"라고 말했다.^[6] 이에 드 구즈만은 교수들이 편협하다고 주장했고,^[7] 결국 자퇴하고 웜 개발에 착수했다.^[8]

구조

드 구즈만은 ILOVEYOU를 VB스크립트로 작성했으며, 윈도우 스크립트 호스트를 통해 코드를 실행했다. 이 웜은 악성 이메일 첨부파일을 통해 배포되었다. 이메일은 "ILOVEYOU"라는 제목과 "첨부된 저의 러브레터를 확인해 주세요!(Kindly check the attached love letter from me!)"라는 메시지를 포함하고 있었으며, 첨부된 파일 LOVE-LETTER-FOR-YOU. TXT.vbs에 웜이 들어 있었다.^[9]

이 파일을 열면 웜은 관련 디렉터리에 자신을 복사하여 컴퓨터가 재부팅될 때 자동으로 실행되도록 한다. 복사본 세 개 중 두 개는 합법적인 윈도우 라이브러리 파일처럼 위장되어 있으며, 이름은 각각 MSKernel32.vbs와 Win32DLL.vbs이다. 나머지 하나는 원래의 LOVE-LETTER-FOR-YOU. TXT.vbs 이름을 유지한다.

이 웜은 WIN-BUGSFIX.exe라는 트로이 목마를 다운로드하려 시도한다. 이를 위해 피해자의 인터넷 익스플로러 홈페이지를 특정 URL로 설정하여 브라우저를 열면 트로이 목마가 다운로드되도록 만든다. 다운로드가 성공하면, 트로이는 재부팅 시 실행되며 홈페이지는 빈 페이지로 설정된다. 이 트로이 목마는 구즈만의 주요 목적을 달성하는 수단으로, 비밀번호를 훔친다.^[10]

웜은 피해자의 주소록에 있는 모든 연락처에게 동일한 이메일을 전송한다. 동일한 연락처에게 반복적으로 이메일이 전송되지 않도록 하기 위해, 한 번 이메일이 발송되면 해당 주소록 항목에 대한 레지스트리 키를 생성한다. 이 키가 없을 경우에만 이메일이 발송되므로, 새롭게 추가된 연락처에도 이메일이 전달될 수 있다. 또한 ILOVEYOU는 IRC(인터넷 릴레이 채팅) 채널을 통해서도 퍼질 수 있다.^[10]

웜은 연결된 드라이브를 검색하여 파일을 수정한다. 발견한 모든 VBScript 파일(.vbs, .vbe)은 웜의 코드로 덮어쓰며, .jpg, .jpeg, .js, .jse, .css, .wsh, .sct, .doc, .hta 파일은 원래의 파일 이름에 .vbs 확장자가 추가된 웜 복사본으로 대체된다. .mp2 및 .mp3 파일의 경우에도 복사본이 생성되지만, 원래 파일은 삭제되지 않고 숨김 처리된다.

방식

이 이메일 형식은 사회공학을 악용한 첫 사례 중 하나로 여겨진다.^[11] 피해자들은 연인으로부터의 러브레터인 것처럼 가장된 첨부파일을 열도록 유도되었으며,^[12] 웜이 이전 피해자의 주소록을 이용해 이메일을 발송했기 때문에 수신자들은 이메일이 지인으로부터 온 것이라 믿기 쉬웠다.^[13] 이러한 점이 웜의 성공에 큰 기여를 했으며, 이후의 많은 악성코드 공격에서도 사회공학 기법이 활용되게 되었다.^[11]

첨부파일은 마이크로소프트 아웃룩의 기능을 악용했다. 아웃룩은 기본적으로 파일 확장자 중 첫 번째 마침표까지만 표시하기 때문에, 파일 이름이 왼쪽에서 오른쪽으로 구문 분석될 때 .txt까지만 표시되었고, 실제 확장자인 .vbs는 숨겨졌다. 따라서 피해자들은 첨부파일이 악성코드를 담을 수 없는 평범한 텍스트 파일이라고 착각했다.^[13] 드 구즈만은 또한, 윈도우 95의 버그로 인해 이메일 첨부파일의 코드가 클릭 시 자동 실행되었다는 점이 웜의 성공에 기여했다고 주장했다.^[14]

변종

ILOVEYOU가 VBScript로 작성되었기 때문에 사용자들이 이를 쉽게 수정할 수 있었다. 일부 사용자는 웜을 변경하여 필수 시스템 파일을 대체하고 시스템을 파괴하도록 만들 수 있었으며, 25개 이상의 다양한 변종이 인터넷상에 퍼졌다.^[15] 대부분의 변종은 영향을 받는 파일 확장자에 차이가 있었고, 어떤 것들은 이메일 제목을 바꾸어 특정 대상을 노렸다. 예를 들어 이탈리아어로 된 변종 "Cartolina"(엽서)나 "BabyPic" 등이다. 일부 변종은 단지 바이러스에 포함되어 있던 제작자 정보만 제거하거나 가짜 이름으로 바꾸는 등 사소한 차이만 있었다.^[15] 다른 변종은 .EXE 및 .COM 파일을 덮어쓰며, 이로 인해 컴퓨터는 재부팅 시 부팅이 불가능해졌다.

ILOVEYOU 웜이 보낸 이메일 메시지 예시는 다음과 같다:

• VIRUS ALERT!!(바이러스 경보!!)^[16]
• Important! Read Carefully!!(중요! 주의 깊게 읽으시오!!)^[16]

조크 바이러스

조크 바이러스(Joke Virus)는 2000년 전후로 등장한 웜 바이러스의 일종이자 러브 바이러스의 변종이다.^[17] 조크의 이메일 제목은 "fwd:Joke"이며, "Very Funny.vbs"라는 첨부 파일을 포함한다.^[18]

확산

처음에 드 구즈만은 웜이 마닐라에서만 작동하도록 설계했으나, 그는 단순한 호기심으로 이러한 지리적 제한을 제거했다. 이로 인해 웜은 전 세계로 퍼지게 되었고, 드 구즈만은 이러한 세계적 확산을 예상하지 못했다.^[19]

이 웜은 2000년 5월 4일 필리핀 마닐라의 판다칸(Pandacan) 지역에서 시작되었고,^[20] 금요일 아침 직원들이 업무를 시작하면서 기업 이메일 시스템을 통해 서쪽으로 퍼져 나갔다. 처음에는 홍콩, 그 다음에는 유럽, 그리고 최종적으로 미국으로 확산되었다.^[21][22] 이 웜은 메일링 리스트를 통해 전파되었기 때문에 메시지가 지인에게서 온 것처럼 보였고, 많은 사람들이 이를 "안전한" 것으로 여기고 첨부파일을 열었다. 각 네트워크에서 단 몇 명의 사용자만 첨부파일을 열어도 수백만 개의 이메일이 생성되어 메일 시스템을 마비시키고, 수백만 개의 파일이 덮어쓰이게 되었다.^[23]

영향

이 웜으로 인해 전 세계적으로 약 55억~87억 달러(당시 환율로 대략 6조 1천억~9조 7천억 원)의 피해가 발생한 것으로 추정되며,^[24][25] 웜을 제거하는 데는 약 100억~150억 달러(당시 환율로 대략 11조 2천억~16조 7천억원)의 비용이 들었다고 한다.^[26] 10일 이내에 5천만 건 이상의 감염이 보고되었으며,^[27] 전 세계 인터넷 연결 컴퓨터의 약 10%가 감염된 것으로 추산된다.^[26] 피해 대부분은 감염 제거 및 백업 파일 복구에 들인 시간과 노력에 기인했다. 당시 기준으로는 세계에서 가장 파괴적인 컴퓨터 관련 재난 중 하나였다.^[28][29][30]

유럽

영국에서는 2000년 5월 4일 영국 하원의 이메일 서버에 웜이 도달했고,^[31] 이에 따라 서버가 2시간 동안 중단되었다.^[32] 또한 벨기에의 은행 시스템도 영향을 받았다.^[33]

미국

미국에서는 대부분의 연방 정부 기관이 영향을 받았고, 법무부, 노동부, 사회보장국 등 여러 기관에서 운영 중단이 발생했다.^[34] 국방부의 운영도 심각하게 방해받았고,^[34] CIA(중앙정보국) 역시 영향을 받았다.^[35] 미 육군은 2,258대의 워크스테이션이 감염되었으며, 복구 비용은 약 79,200달러(당시 대략 9천만원)였다.^[36] 미국 보훈보건청(Veterans Health Administration)은 700만 건의 ILOVEYOU 이메일을 수신했으며, 문제 해결을 위해 240공수가 소요되었다. NASA(미국 항공우주국)의 일부 파일은 손상되었으며, 일부는 백업으로도 복구되지 않았다.^[37]

문화

이 사건은 2002년 펫 숍 보이스의 영국 Top 10 앨범 Release의 수록곡 "E-mail"에 영감을 주었으며, 이 곡의 가사는 사람들의 욕망이 어떻게 대규모 파괴를 초래했는지를 주제로 하고 있다.^{[출처 필요]}

"I love you [rev.eng]"는 2006년 7월에 전시된 개정판 전시로, 원래는 2002년 6월 독일 프랑크푸르트 응용미술관에서 전시된 후, 2003년 2월 베를린 트랜스미디어레, 2004년 8월 미국 브라운 대학교의 왓슨 연구소, 2004년 10월 덴마크 코펜하겐 통신박물관 등지에서 전시되었다.^[38]

2009년에는 Kiat Kiat Projects가 "How to Prevent Hair Loss"(탈모 방지법)라는 제목의 이메일 전시를 ILOVEYOU에서 영감을 받아 기획하였다.^[39][40]

2011년에는 서브직트: 아이 러브 유(Subject: I Love You)라는 제목의 영화가 제작되었으며, 주연은 제리코 로살레스와 브리아나 에비건이었다.^[41]

2019년에는 중국 예술가 궈오둥(Guo O Dong)이 ILOVEYOU를 포함한 6개의 바이러스에 감염된 노트북을 The Persistence of Chaos라는 이름으로 경매에 출품했다.^[41]

2024년 11월, 핀란드 헬싱키에 있는 Museum of Malware Art(멀웨어 예술 박물관)에서 ILOVEYOU에 대한 조각 작품을 전시했다.^[42]

수사

2000년 5월 5일, 드 구즈만과 또 다른 젊은 필리핀 프로그래머 Reonel Ramones는 필리핀 국가수사국(NBI)의 형사 수사 대상이 되었다.^[43] 현지 인터넷 서비스 제공업체 Sky Internet은 유럽의 컴퓨터 사용자들로부터 “ILOVEYOU” 웜이 자사의 서버를 통해 전송되었다는 다수의 연락을 받고 이를 보고했다.^[44]

드 구즈만은 자신의 컴퓨터를 아파트에서 치워 증거를 은폐하려 했지만, 웜이 포함된 디스켓과 공범으로 추정되는 인물에 대한 정보가 담긴 디스크 일부를 실수로 남겨 두었다.^[45]

Sky Internet의 Darwin Bawasanta가 수행한 감시와 수사 끝에, NBI는 자주 등장하는 전화번호를 추적해 마닐라에 있는 Ramones의 아파트에 도달했다. 그의 거처는 수색되었고, Ramones는 체포되어 필리핀 법무부(DOJ)의 수사를 받았다. 드 구즈만도 궐석 재판으로 기소되었다.

그러나 당시 NBI는 어떤 범죄 혐의를 적용할 수 있을지 명확하지 않았다.^[46] 제안된 혐의 중 하나는 공화국법 제8484호(Access Device Regulation Act, 접근 장치 규제법) 위반이었는데, 이 법은 주로 신용카드 사기를 처벌하기 위한 법으로, 두 사람이 ISP 접속을 위해 선불(혹은 도난된) 인터넷 카드를 사용했다는 점에서 적용 가능하다고 여겨졌다. 또 다른 가능성은 필리핀 형법(1932년 개정형법)에 따른 재산손괴죄(malicious mischief)였다. 그러나 이 혐의는 단순한 재산 피해 외에도 “고의적인 손상 의도”라는 요건이 있었고, 드 구즈만은 구금 수사 중 웜을 실수로 퍼뜨렸을 가능성을 주장했기 때문에 적용이 어려웠다.^[47] 2000년 5월 11일 그의 변호인이 주최한 기자회견에서, 그는 웜을 본인이 퍼뜨렸냐는 질문에 "그럴 수도 있다"고 답했다.^[48] NBI는 고의성을 입증하기 위해 드 구즈만이 마지막 학년에 자퇴한 AMA 컴퓨터 대학에 대한 조사를 진행했다.^[46]

재판 및 그 이후

당시 필리핀에는 악성코드 제작에 대한 법적 제재가 없었기 때문에, Ramones와 드 구즈만은 모두 석방되었고 국가검찰은 모든 혐의를 기각했다.^[49] 이 입법적 공백을 해소하기 위해^[50] 필리핀 의회는 2000년 7월, 웜 사태 발생 수개월 후에 공화국법 제8792호,^[51] 즉 전자상거래법(E-Commerce Law)을 제정했다.^[52]

2012년, 스미스소니언 협회는 ILOVEYOU를 역사상 가장 치명적인 컴퓨터 바이러스 10종 중 하나로 선정했다.^[53]

드 구즈만은 대중의 관심을 원하지 않았다. 그의 마지막 공개 출연은 2000년 기자회견이었으며, 당시 그는 얼굴을 가렸고 대부분의 질문은 변호인이 대신 대답했다. 이후 그의 행방은 20년간 알려지지 않았다. 그러던 중 2020년 5월, 사이버범죄에 관한 책 Crime Dot Com을 집필하던 탐사 저널리스트 Geoff White가 드 구즈만을 마닐라의 휴대폰 수리 가게에서 발견했다. 드 구즈만은 바이러스를 자신이 만들고 유포한 것을 인정했으며,^[54] 처음에는 단지 인터넷 접속 비밀번호를 훔치기 위해 개발했다고 밝혔다. 그는 접속 비용을 감당할 수 없었기 때문에 이러한 수단을 썼다고 했으며, 웜은 자신 혼자서 만들었다고 주장해, 공범으로 지목되었던 두 사람은 관련이 없음을 분명히 했다.^[55][56]

같이 보기

• 코드 레드
• 컴퓨터 바이러스
• 님다
• 컴퓨터 바이러스 및 웜 연표(Timeline of computer viruses and worms)