▲ 필자/정길선 박사     ©브레이크뉴스

1980년대 초, 불가리아의 컴퓨터 산업은 세계적으로 선두를 달렸다. 특히 개인용 컴퓨터 프라베츠(Pravetz)는 애플컴퓨터와 경쟁할 정도로 우수했고, 공산권 시장을 석권했을 정도였다. 그로 인해 불가리아는 “동유럽의 실리콘밸리”라는 별명이 붙을 정도였다고 전해진다. 그렇기 때문에 독재자인 지프코프의 명령으로 인해 불가리아는 본격적으로 컴퓨터 바이러스에 대한 연구가 진행된 나라이면서 많은 수의 해커들도 키워냈다. 특히 산업과 군사 관련 스파이들이 많았는데 이런 해커들은 대거 소련에 진출해 KGB 정보 담당의 일원들이 되었다. 그래서 과거 KGB 정보 담당 부서에는 불가리아 출신 제법 많았다고 한다. 불가리아의 해커들은 바이러스가 자신의 프로그램을 숨기는 '은폐형 기법'이라는 것을 최초로 도입하여 폭포 바이러스(Cascade)를 제작했다. 

불가리아의 폭포 바이러스는 유럽이나 미국에서는 재앙이나 다름없었다. 그렇기에 영화 <매트릭스>에서도 전뇌를 표현하기 위해 쓰인 '글자가 쏟아져 내리는 영상" 장면이 있다. 감독이자 폴란드계 미국인 출신인 래리 워쇼스키(Larry Wachowski)가 폭포 바이러스를 겪어보고 작품의 영감을 얻어 영화에 사용했으며 이는 할리우드 영화계에서 가장 혁명적 발상의 기법에 들어갈 정도로 이 바이러스의 위력은 대단했다. 이 폭포 바이러스는 1987년 경, 독일에서 처음으로 발견되었다. 이 바이러스는 사상 최초로 자신을 은폐하는 프로그램 암호화 기법을 도입한 바이러스이기도 하다. 그래서 처음 이 바이러스를 치료하는 백신을 만드는데 많은 난항을 겪었다고 전해진다. 이후 등장하는 모든 바이러스들은 이 프로그램 암호화 기법을 적극적으로 도입하게 되니 바이러스의 역사에서 선구자의 위치에 있다고 볼 수 있다.

이 바이러스의 증상은 감염된 파일을 실행하면 램에 올라가며, 램에 올라간 후 5분이 지나면 화면에 있는 글자가 하나씩 화면 아래로 떨어진다. 그냥 놔두면 글자가 전부 아래로 추락한다. 서양 쪽에서는 이 모양이 폭포 같다는 이유로 "Cascade"라는 이름이 붙었다. 폭포 바이러스 다음으로 파일에 감염되는 바이러스에서 발전하여 디스크의 부트 섹터에 감염되는 부트 바이러스가 최초로 제작된 곳도 불가리아였으며 이 또한 지프코프가 정적들의 컴퓨터를 공격하기 위해서 만들었다. 불가리아에서 만들어진 바이러스가 아주 극강일 때는 바로 도스(Dos) 시기이다. 이 때는 바이러스의 최강자라 불렸던 복합 감염형 바이러스인 DIR-II 바이러스와 다크 어벤저 바이러스가 있었다. 그로 인해 불가리아는 한 때 '바이러스 제작소'라는 악명이 붙어지기도 했다. 그 중 DIR-II 바이러스의 경우, 버그가 있는데, 바로 도스 5.0 이상에서는 제대로 작동하지 않는다는 점에 있다. 

하지만 오히려 이 버그가 증상을 악화시키는 계기가 되어 원래는 별로 파괴적이지 않았던 증상이 이후에는 점차 치명적인 증상으로 변했다. 자신을 복제해 감염 파일에 써넣는 다른 바이러스들과는 달리 특이한 방법의 감염을 사용했던 것도 특징이다. 자기 자신을 디스크의 맨 뒤 클러스터에 저장해 두었고, 디렉토리에 저장되어 있는 프로그램의 시작 위치를 바이러스가 위치하는 클러스터로 바꾸어 파일을 실행할 때마다 바이러스가 먼저 실행되도록 하는 방식이다. 이는 자기 자신을 복제하는 다른 바이러스와 달리 디스크 내에 바이러스 프로그램은 하나 뿐이라는 것이 특징이다. 이 때문에 바이러스 탐지 자체가 굉장히 어려웠고 바이러스를 퇴치하기 쉽지 않았기다. 심지어 MBR(마스터 부트 레코드)에 감염되기 때문에 포맷을 해도 완전히 삭제되지 않는다는 점이 굉장히 악질적인 바이러스로 기억된다. 이 바이러스는 도스 시절 다크 어벤저 바이러스와 더불어 도스 시절 최악의 바이러스에 1, 2위를 다투던 그야말로 사용자들과 프로그레머들의 숱한 애를 먹였던 악명 높은 바이러스였다.

다크 어벤저 바이러스의 영어 명칭은 Dark_Avenger이며 1989년에 만들어졌다. 혹은 바이러스 제작자의 이름을 Dark avenger라고 칭하고 그 바이러스의 이름을 Eddie라고 칭하기도 한다. 이 바이러스에 감염된 파일 내부에는 This program was written in the city of Sofia (C) 1988-89 Dark Avenger라는 문구가 숨어 있다고 한다. 이 바이러스의 경우, 감염 속도와 증상이 매우 빠른데다 심지어 안티 바이러스 프로그램을 삭제하는 등의 역공격까지 가하는 등, 20세기 최강 바이러스 중에 하나였다. 다크 어벤저의 증상은 일단 자신을 복제해 실행 프로그램을 감염시킨다. 이어 1,800바이트를 늘리고, 감염된 프로그램이 16번째로 실행되면 다른 파일을 지우거나 시스템을 완전히 파괴시킨다. 정확 말하자면 16번째로 실행될 경우 디스크의 아무 위치에나 자신을 복제해서 덮어 씌우는데, 그게 OS의 중요한 부분이라면 쓸모없이 파괴되어 버린다. 파일의 경우에도 덮어 씌워지면 복구가 불가능하게 된다.

여기까지만 해도 비교적 단순하게 나타나지만, 이 바이러스의 가장 큰 문제는 변형이 만들어지기 굉장히 쉬웠다는 것에 있다. 이로 인해 여러 가지의 바리에이션들이 금방 만들어져 퍼지게 되었고, 이것을 잡는 것은 쉽지 않았다. 한 가지 유형의 다크 어벤저가 탐지되었다고 해도 곧 다른 유형의 다크 어벤저 변형이 만들어지며 그게 탐지되어도 또 다른 변형이 만들어지는 현상이 수없이 진행되는 것이다. 잘못하면 하드디스크를 날려 먹을 수 있는 아주 위험한 바이러스인데 변형까지 수십 가지가 되어 탐지가 쉽지 않았기 때문에 당당히 도스 시절 최악의 바이러스에 랭크되었다. 물론 이 바이러스가 유행하던 시기에 알려진 의외의 사실이 있었다. 이 바이러스는 DIR-II 바이러스를 치료하는 능력이 있었던 것이다. DIR-II는 당시로서는 새로운 유형의 바이러스였던데다 V3 등 당시 의존할 수밖에 없던 백신류 프로그램들의 대응이 늦어서 상당한 피해를 입었고 대단한 악명을 떨쳤었는데, DIR-II에 감염된 PC에 다크 어벤저 바이러스가 감염되면 먼저 있던 DIR-II가 없어진다는 사실이 알려진 것이다. 

여기에 다크 어벤저 자체는 백신 프로그램의 대응도 비교적 빨랐고, 치료 자체도 별다른 후유증 없이 백신 한번 돌리면 깔끔하게 끝났기에 PC통신이나 컴퓨터 잡지 등에서 DIR-II의 치료법으로 다크 어벤저를 일부러 감염시킨다는 방법까지 소개되기도 했다. 그래서 미국의 만화 작가인 브라이언 마이클 벤디스(Brian Michael Bendis)가 이 다크 어벤저에 영감을 받아 슈퍼히어로 팀인 어벤저스의 대체 버전으로 다크 어벤저스(Dark Avengers)를 만들기도 했다. 이와 같은 불가리아의 바이러스 생산에 자극을 받은 타 동유럽 국가들도 연구와 생산에 들어갔는데 자국을 통제하고 서방에 공산주의 프로파간다를 날리며 민주주의 진영을 공격하는 것도 이만한 것이 없었다. 불가리아의 이웃나라 루마니아는 안티 바이러스 백신 소프트웨어인 비트디펜더를 개발하여 혹시나 모를 불가리아의 바이러스 공격을 대비하기도 했다. 현재는 시대가 바뀌면서 치료 백신도 발달했기 때문에 불가리아제 바이러스는 거의 사멸했고 초창기 컴퓨터의 어둠 속 제왕이었던 불가리아제 바이러스는 역사 속으로 사라지게 된다.  lukybaby7@gmail.com

*필자/ 정길선. 

노바토포스 회원, 역사학자, 고고인류학자, 칼럼니스트, 러시아 과학아카데미 유라시아 고고인류학연구소 연구교수.

*아래는 위 기사를 '구글 번역'으로 번역한 영문 기사의 [전문]입니다. '구글번역'은 이해도 높이기를 위해 노력하고 있습니다. 영문 번역에 오류가 있을 수 있음을 전제로 합니다.<*The following is [the full text] of the English article translated by 'Google Translate'. 'Google Translate' is working hard to improve understanding. It is assumed that there may be errors in the English translation.>

IT Industry: Bulgarian Computer Virus, the Devil of the 20th Century

- Jeong Gil-seon Columnist

In the early 1980s, Bulgaria’s computer industry was a world leader. In particular, its personal computer Pravetz was so good that it could compete with Apple Computer and dominated the communist market. It is said that Bulgaria was nicknamed the “Silicon Valley of Eastern Europe” as a result. As a result, Bulgaria was a country where research on computer viruses was conducted in earnest due to the orders of dictator Zhivkov, and it also nurtured a large number of hackers. In particular, there were many industrial and military-related spies, and these hackers went to the Soviet Union in large numbers and became members of the KGB intelligence department. Therefore, it is said that there were quite a few Bulgarians in the KGB intelligence department in the past. Bulgarian hackers were the first to introduce the “stealth technique” in which viruses hide their programs, creating the Cascade virus.

The Bulgarian Cascade virus was a disaster in Europe and the United States. That is why there is a scene in the movie <The Matrix> where 'images of letters pouring down' were used to express the brain. Director Larry Wachowski, who is Polish-American, experienced the waterfall virus and used it in his film after being inspired by it. The power of this virus was so great that it became one of the most revolutionary techniques in the Hollywood film industry. This waterfall virus was first discovered in Germany around 1987. This virus was also the first virus to introduce a program encryption technique that conceals itself. It is said that there were many difficulties in creating a vaccine to treat this virus for the first time. Since then, all viruses that appeared have actively introduced this program encryption technique, so it can be said to be a pioneer in the history of viruses.

The symptoms of this virus are that when an infected file is run, it is loaded into RAM, and after 5 minutes of loading into RAM, the letters on the screen fall down one by one. If left alone, all the letters fall down. In the West, it was named "Cascade" because its shape resembles a waterfall. Waterfall virus Next, the first boot virus that infects the boot sector of a disk, which evolved from a virus that infects files, was also created in Bulgaria, and this was also created by Zifkov to attack his enemies' computers. The time when viruses created in Bulgaria were extremely powerful was during the DOS era. At that time, there were the DIR-II virus and the Dark Avenger virus, which were considered the strongest viruses. Because of this, Bulgaria was once infamous as a 'virus factory'. Among them, the DIR-II virus had a bug, which was that it did not work properly in DOS 5.0 or higher.

However, this bug actually worsened the symptoms, and the symptoms that were originally not very destructive gradually turned into fatal symptoms. Unlike other viruses that copy themselves and write them to infected files, it also used a unique method of infection. It stored itself in the last cluster of the disk, and changed the starting location of the program stored in the directory to the cluster where the virus is located, so that the virus was executed first whenever a file was run. Unlike other viruses that copy themselves, the virus program in the disk Its characteristic is that it is the only one. Because of this, virus detection itself was extremely difficult and it was not easy to eradicate the virus. It is remembered as a very malicious virus because it does not completely delete it even when formatting because it infects the MBR (Master Boot Record). This virus was a notorious virus that caused a lot of trouble for users and programmers, competing for the first and second place among the worst viruses in the DOS era along with the Dark Avenger virus. The English name for the Dark Avenger virus is Dark_Avenger and it was created in 1989. Or, the name of the virus creator is called Dark Avenger and the name of the virus is called Eddie. It is said that the phrase This program was written in the city of Sofia (C) 1988-89 Dark Avenger is hidden inside the file infected with this virus. In the case of this virus, it was one of the strongest viruses of the 20th century, as it had a very fast infection speed and symptoms, and even carried out counterattacks such as deleting antivirus programs. The symptoms of Dark Avenger were that it first copied itself and executed the executable program. Infects. Then, it increases by 1,800 bytes, and when the infected program is run for the 16th time, it deletes other files or completely destroys the system. To be exact, when it is run for the 16th time, it copies itself to any location on the disk and overwrites it, and if it is an important part of the OS, it is uselessly destroyed. In the case of files, if they are overwritten, they cannot be recovered.

Up to this point, it appears relatively simple, but the biggest problem with this virus is that it was very easy to create variations. Because of this, various variations were quickly created and spread, and it was not easy to catch them. Even if one type of Dark Avenger was detected, another type of Dark Avenger variation was soon created, and even if that was detected, another variation was created, and this phenomenon continued countless times. It was a very dangerous virus that could blow up your hard disk if done wrong, but because it had dozens of variations and was not easy to detect, it was ranked as the worst virus in the DOS era. Of course, there was a surprising fact that was known at the time this virus was prevalent. This virus had the ability to cure the DIR-II virus. DIR-II At the time, it was a new type of virus, and the response from antivirus programs such as V3, which were dependent on it at the time, was slow, so it suffered considerable damage and gained a great notoriety. However, it was revealed that if a PC infected with DIR-II was infected with the Dark Avenger virus, the existing DIR-II would disappear.

In addition, the Dark Avenger itself was relatively quickly responded to by antivirus programs, and the treatment itself was completed cleanly with one antivirus run without any particular aftereffects, so PC communication and computer magazines even introduced a method of deliberately infecting the Dark Avenger as a treatment for DIR-II. That's why American comic book writer Brian Michael Bendis was inspired by this Dark Avenger and created the Dark Avengers as an alternative version of the superhero team Avengers. Other Eastern European countries, stimulated by Bulgaria's virus production, also began research and production, and there was nothing better than controlling their own country, spreading communist propaganda to the West, and attacking the democratic camp. Bulgaria's neighboring country, Romania, used Bitdefender, an antivirus software. It was also developed to prepare for a possible Bulgarian virus attack. Now, as times have changed and treatment vaccines have been developed, the Bulgarian virus has almost disappeared, and the Bulgarian virus, which was the dark king of the early computers, has disappeared into history. lukybaby7@gmail.com

*Author/ Jeong Gil-seon.

Novatopos member, historian, paleoanthropologist, columnist, research professor at the Institute of Eurasian Paleoanthropology, Russian Academy of Sciences.