랜섬웨어? 트로이목마? 차이

 

 

랜섬웨어는 “파일/시스템을 잠그거나 암호화해 못 쓰게 만든 뒤, 복구(복호화 키 제공 등)의 대가로 금전을 요구”하는 ‘갈취형 악성코드’라는 점이 핵심이고, 트로이목마는 “겉보기엔 정상 프로그램처럼 위장해 사용자가 설치/실행하게 만든 뒤, 원격제어·정보탈취·추가 악성코드 설치 등 다양한 악성 행위를 수행”하는 ‘침투/위장형 악성코드’라는 점이 핵심입니다.

1) 목적(왜 감염시키나)

• 랜섬웨어: 금전 요구가 목적이며, 데이터/시스템을 인질로 잡아 압박합니다.
• 트로이목마(일반): 목표가 훨씬 넓고, 계정/금융정보 탈취, 원격 조종(백도어/RAT), 봇넷 편입, 추가 페이로드 다운로드 등 “침투 후 활용”이 목적일 때가 많습니다. 

2) 동작 방식(감염 후 무엇을 하냐)

• 랜섬웨어: 대표적으로 사용자 문서·이미지·업무파일 등을 찾아 암호화(또는 화면 잠금)하고, 안내문(랜섬노트)로 결제를 요구합니다. 
• 트로이목마: ‘정상 앱/첨부파일’처럼 속여 실행되며, 실행 후에는 데이터 탈취나 원격 접근 제공, 보안 무력화, 다른 악성코드(때로는 랜섬웨어) 설치로 이어질 수 있습니다. 

3) 피해 징후(사용자가 체감하는 증상)

• 랜섬웨어: “파일이 갑자기 열리지 않음(확장자 변경/암호화), 바탕화면/폴더에 몸값 안내문 생성, 시스템 사용 제한”처럼 즉시 눈에 띄는 경우가 많습니다.
• 트로이목마: 초기에는 조용히 숨어 동작하는 경우가 많아, 이상 로그인/정보 유출/백신 비활성/의심 트래픽/원격제어 흔적처럼 ‘간접 징후’로 늦게 발견되기도 합니다.

 

4) 포함 관계(헷갈리는 포인트 정리)

• 랜섬웨어는 “악성코드(멀웨어)”의 한 종류이고, 트로이목마는 “위장해 설치시키는 방식/분류”에 가까워서 서로 배타적이지 않습니다. 
• 실제로 “트로이목마가 먼저 침투→추가 페이로드로 랜섬웨어를 내려받아 실행” 같은 연계 공격이 흔히 언급됩니다.
• 즉, 랜섬웨어는 ‘무엇을 하느냐(갈취·암호화)’ 중심, 트로이목마는 ‘어떻게 들어오느냐(위장·사회공학)’ 중심으로 이해하면 구분이 쉬워집니다.