뉴테크웨이브 '악성코드 동향 분석' 발표··· 트로이목마(57%), 스파이웨어 및 웜(11%) 순
유형별로 살펴보면 트로이목마 57%, 스파이웨어 및 웜 11%, 기타 악성코드 8%, 백도어 5% 등으로 나타났다. 하지만, 발견된 바이러스에 감염된 컴퓨터의 수는 12,697개의 악성코드에 감염된 351,606대의 시스템들이 보고되어 지난 6월보다 30% 가량 증가한 것으로 나타났다.
이에 대해 뉴테크웨이브 연구소 최재혁 팀장은 "새로이 발견된 악성코드 중 다수는 Trojan.Nsanti.Packed 나 Trojan.PWS.Wsagame과 같은 온라인게임 암호유출용 트로이목마로서 6월부터 계속되는 ARP Spoofing을 통해 전파하는 형태의 악성코드가 많아졌기 때문"이라고 설명했다.
ARP Spoofing을 이용하는 악성코드에 감염되면 ARP Spoofing을 통해서 네트워크 통신이 모두 자신을 경유하도록 하며 HTTP통신(TCP Port 80)에 대해 자신을 전파하기 위한 스크립트를 삽입하도록 패킷을 변조하므로, 동일 네트워크 영역에 존재하는 시스템은 웹사이트에 접속할 때마다 해당 악성코드를 다운로드하고 실행하게 된다.
최 팀장은 "한 대의 시스템이 감염될 경우에도 해당 네트워크 대역의 모든 시스템에 영향을 주고 악성코드 전파를 시도하기 때문에 감염 시스템의 수량이 증가된 것으로 판단된다"며 " 최근 보도된 DNS 캐시 포이즈닝(Cache Poisoning) 공격코드에 의한 악성코드가 유포될 가능성이 있으므로 DNS 서버 관리자들은 자사의DNS 소프트웨어에 대한 패치에 주의를 기울여야 한다"고 당부했다.
한편, 뉴테크웨이브는 최근 발견되는 PWS(암호유출용 악성코드)들 중 국내 유명 메신저를 겨냥한 암호유출을 시도하는 형태가 발견됨에 따라, 국내 온라인게임뿐 아니라 국내에서 많이 사용하는 메신저에 대한 암호유출용 트로이목마가 많이 나타날 것이라고 예측했다.
김정은 기자
jekim@itdaily.kr