외산 가짜 백신 기승ㆍ외산 스파이웨어 급증ㆍ 웹사이트 공격의 지능화 등
보고서에 따르면 올해 3분기까지 새로 발견된 악성코드 및 스파이웨어는 16,768개로 전년 동기 대비 2.6배 증가했다. 급증한 이유로는 악성코드를 손쉽게 제작하고, 만들어진 악성코드로 자동 공격할 수 있는 툴들이 지속적으로 제작, 공유됨에 따른 것으로 분석했다.
또한 7대 보안 이슈로 ▲외산 가짜 백신 기승 ▲외산 스파이웨어 급증 ▲웹사이트 공격의 지능화 ▲PDF, DOC, PPT 파일 취약점을 악용하는 악성코드 증가 ▲DDoS를 유발하는 봇넷(BotNet)의 활동력 증가 ▲DNS 캐쉬 포이즌 취약점 공격 코드 첫 보고 ▲전통적인 바이러스의 피해 지속 등을 들었다.
1. 외산 가짜 백신 기승
백신 프로그램으로 위장해 설치된 후 스팸 메일을 발송하거나 다른 악성코드를 설치하는 '가짜 백신'이 기승을 부리고 있다. 외산 가짜 백신이 올해 초부터 조금씩 발견되다 3분기 들어 급증했다. 상반기에 25개가 발견됐고 3분기에만 75개가 발견돼 총 100개에 이르는 것으로 나타났다. 이들 가짜 백신은 AntivirusXP 2008, AntivirusXP 2009, VistaAntivirus 2008, WinXSecurityCenter, XPProtector2009 등의 이름으로 마치 정상 백신처럼 사용자를 속이고 있어 각별한 주의가 필요하다.
가짜 백신은 악성코드, 가짜 코덱 프로그램 등을 통해 허위 보안 경고 창을 띄우거나, 팝업 창으로 떠서 악성코드가 발견됐다고 허위 진단해 설치를 유도한다. 불규칙하게 경로명을 바꿔 설치되기 때문에 진단하기 어려우며, 삭제한 후에도 다른 악성코드에 의해 재감염되는 경우가 많다.
가장 피해를 많이 준 AntivirusXP2008(V3 진단명 Win-Trojan/Fakeav.variant)의 경우 백신의 진단/치료를 막기 위해 자신에게 접근(엑세스)하지 못하게 막는 기법을 썼기 때문에 일부 백신은 진단조차 못하거나 진단만 하고 치료를 못하는 상황이다. 안철수연구소는 AntivirusXP2008과, AntivirusXP2008을 재감염시키는 다른 악성코드를 진단/삭제할 수 있는 전용백신(http://kr.ahnlab.com/info/download/dwVaccineList.ahn)을 제공 중이다.
2. 외산 스파이웨어 급증
올해 하반기에 들어 국내에서 제작, 배포되는 스파이웨어는 줄고 외산 스파이웨어는 급증하고 있다. 1월에 국산의 비율이 60%였으나 점차 줄어 9월에는 11%에 그쳤다. 국내 스파이웨어가 줄어든 이유는 올해 상반기에 국내 스파이웨어 제작사 단속이 있었고, 2007년 말부터 사용자 동의 없이 액티브X로 설치되는 것을 모두 스파이웨어로 분류했기 때문인 것으로 보인다.
그러나, 국산 프로그램은 스파이웨어의 범주에 들지는 않지만 유해한 프로그램이 많이 발견되고 있다. 리워드(적립금 제공) 프로그램이나 툴바 프로그램 중 다수가 사용자 동의를 받고 설치돼 스파이웨어로 분류되지는 않지만 사용자의 사생활을 침해할 가능성이 있는 기능을 포함하고 있다.
외산 스파이웨어는 성인 사이트, 스팸 메일을 통해 국내에 유입돼 많은 피해를 주었다. 가짜 동영상 코덱 설치를 유도하며, 이를 설치할 경우 여러 개의 가짜 백신과 허위 안티스파이웨어가 사용자 동의 없이 설치된다. 이 외에도 상용 프로그램을 변조한 프로그램으로 위장해 설치되거나, 응용 프로그램의 취약점을 이용해 설치되기도 한다. 이들 스파이웨어에 감염된 시스템은 스팸 메일을 대량 발송해 다른 사용자에게 피해를 입힐 수도 있다.
3. 웹 사이트 공격의 지능화
올해 초부터 본격적으로 시작된 대량 중국발 웹사이트 공격은 3분기에도 여전히 지속되고 있다. 웹사이트가 해킹되어 악성코드를 유포하거나 경유지로 이용된 수치는 3분기까지 2876건으로 2007년 한 해 전체 수치인 2183건을 이미 앞지른 상태이다. 또한 무료 위험 사이트 차단 서비스인 '사이트가드(AhnLab SiteGuard www.siteguard.co.kr)'의 집계 결과 10월 9일 현재 위험에 노출된 웹사이트는 12236개에 달한다.
한편, 웹사이트 공격 방식은 새로운 취약점의 발견과 함께 더욱 다양해지고 있다. 또한, 탐지 시스템을 우회하는 방향으로 지능화하고 있다. SQL 인젝션을 악용하는 것을 비롯해 어도비 플래쉬 플레이어의 취약점과 MS-엑세스 스냅샷 뷰어의 취약점 등 새로운 취약점을 이용한 공격이 빠르게 등장하고 있다.
4. PDF, DOC, PPT 파일 취약점을 악용하는 악성코드 증가
최근 보고되는 취약점은 서비스나 시스템보다는 PDF나, DOC, PPT, HWP 같은 대중적인 애플리케이션에서 많이 발견되고 있다. 이런 취약점을 이용해 정상 파일을 악용한 악성 파일들이 속속 등장하고 있다. 8월에는 어도비 PDF 리더의 취약점을 악용하는 PDF 파일, 아래아한글 2007의 일부 기능을 악용하는 HWP 파일, MS 워드 및 파워포인트 취약점을 악용하는 오피스 파일이 신고됐다. 이 파일들을 실행하면 가짜 백신이 설치되거나 ARP 스푸핑 공격을 받게 된다. 이런 악성 파일은 웹사이트나 이메일을 통해 유포되므로 주의가 필요하다.
5. DDoS 유발하는 봇넷(BotNet)의 활동력 증가
DDoS(분산 서비스 거부) 공격을 유발하거나 스팸 메일 발송에 이용되는 봇넷의 활동력이 지속적으로 증가하고 있다. 봇넷이란 봇(Bots)이라는 악성코드에 감염된 여러 컴퓨터가 연결된 네트워크를 말한다. 봇이 설치된 컴퓨터는 악의적 공격자의 통제 하에 놓이게 되며, 공격자는 특정 서버를 다운시키는 DDoS(분산 서비스 거부) 공격, 스팸 메일 발송 등을 통해 금품을 갈취하는 범죄를 저지르고 있다.
6. DNS 캐쉬 포이즌 취약점 공격 코드 첫 보고
지난 2003년 발생한 1.25 인터넷 대란에서 DNS 서버의 중요성을 절감한 바 있는데, 지난 7월에 1.25 대란에 견줄 정도의 확산 위협을 내포한 DNS 취약점(DNS Cache Poisoning)과, 이의 공격 코드가 공개됐다. DNS 캐쉬 포이즌 공격은 DNS 서버의 캐쉬에 잘못된 정보를 삽입하는 공격으로, 한 번의 공격 성공으로 해당 서버의 데이터를 사용하는 모든 PC의 개인 정보를 가로채거나 악성코드 유포 등의 악의적인 행위를 할 수 있다. 실제 공격이 일어날 것에 대비한 철저한 방어가 필요하다.
7. 전통적인 바이러스의 피해 지속
취약점이 포함된 악성 파일과 온라인 게임 계정을 빼내는 악성코드가 여전히 기승을 부리고 있는 가운데 실행 파일을 감염시키는 전통적인 파일 바이러스도 여전히 피해가 많다. 특히 카슈.B(Win32/Kashu.B) 바이러스는 꾸준히 변형이 증가했다. 이 바이러스는 메모리 치료를 먼저 하지 않으면 재감염되는 등 진단/치료가 매우 까다롭다. 후크.C(Win32/Huhk.C) 바이러스는 1999년 4월 26일 전국적인 대란을 일으킨 CIH 바이러스처럼 파일의 빈 공간에 자신을 기록해 감염 후 파일 사이즈가 증가하지 않는 특징이 있다.
한편, 8월에는 베이징 올림픽 '특수'를 노린 악성코드가 중국 등 외국에서 이슈였다. 이런 악성코드는 올림픽 경기장을 슬라이드 쇼로 보여주면서 악성코드를 설치하거나, 중국 내 사회 문제를 언급하면서 악성코드를 실행하거나 악성 사이트로 유도하기도 했다.
안철수연구소 시큐리티대응센터 조시행 상무는 "악성코드는 자신을 위장하기 위해 다양한 지능적인 방법을 사용한다. 올해 등장한 기법이 백신으로 위장하는 것"이라며 "나날이 지능화하는 보안 위협으로부터 정보를 보호하려면 개인 및 기업 사용자와 인터넷 서비스 제공자, 보안 업계, 정부 등 각계각층의 노력이 필요하고 특히 기술력과 체계적인 긴급 대응 시스템을 갖춘 보안 전문 업체의 역할이 중요하다"고 전했다.
김정은 기자
jekim@itdaily.kr