●바이러스 기상대_10월 통계

해커가 조종하는 ‘좀비 컴퓨터’ 확산
원격 조종되는 ‘좀비’ PC 수치가 지난해 9월에 비해 무려 23.5배 가까이 증가했다. 좀비 컴퓨터(Zombie computer)란 용어는 봇 원격 제어 프로그램에 의해 감염되어 원격 해커의 명령에 따라 제어되는 시스템을 말한다. 시스템이 봇 프로그램에 의해 감염되어 소위 ‘좀비 네트웍’ 또는 ‘봇넷(Botnet)’이라 불리는 공격자에 의해 원격 제어되는 경우 해당 시스템은 스팸 메일 릴레이는 물론 분산 서비스거부(DDoS) 공격과 새로운 공격 소스 코드를 위한 실행 장치 역할을 담당하게 된다.
트렌드마이크로의 아웃브레이크 솔루션 센터인 트렌드랩(Trend-Labs)의 9월 바이러스 분석 자료에 따르면 최근 봇에 감염된 컴퓨터 수치가 급격히 증가한 것으로 보고되었다.
이 보고서는 작년 9월에 트렌드랩이 겨우 17개의 봇 프로그램을 감지한 반면, 올해 9월에는 그 수치가 400개로 증가했다. 분명한 것은 해커가 네트웍을 조종함으로써 파급될 수 있는 위험 수위가 날로 증가하고 있다는 것이다. 초고속 인터넷망을 갖추고 방화벽이 설치되지 않은 모든 PC는 해커의 공격에 노출될 위험이 매우 높다.

봇 프로그램 23.5배 증가, 트로이 목마가
61% 차지
트렌드랩의 9월 분석 자료에서는 웜의 79%가 봇 프로그램인 것으로 나타났다. 이는 웜에 감염될 경우 사용자의 컴퓨터가 해커의 범죄에 이용될 수 있다는 것을 의미한다. 트렌드랩의 분석 결과, 인터넷에서 소스 코드를 쉽게 이용할 수 있기 때문에 봇 프로그램이 빠르게 확산되고 있다는 것이 확인되었으며, 이러한 분석 내용은 최근 수개월간 봇 프로그램을 사용하는 해커가 끊임없이 출현하는 이유를 뒷받침해 준다.
또한 트렌드랩은 9월에 트로이목마 프로그램이 계속 증가하여 전체 바이러스 감염의 45%를 차지했다고 보고하고 있다. 백도어 프로그램(백도어는 기본적으로 원격 액세스 트로이 목마에 해당)이 이 수치에 포함될 경우 9월에 트로이 목마가 전체 바이러스 감염의 61%를 차지하는 셈이다. 9월에 출현한 Troj_Small.EJ 바이러스가 감염 시스템의 툴바에 광고 소프트웨어를 설치하는 것 못지않게 우려되는 점은 이러한 트로이목마의 대부분이 금융정보를 빼내기 위한 공격에 관여하고 있다는 점이다. 많은 바이러스 제작자들이 금전적인 유혹 때문에 기존의 방식을 탈피하고 있다. 트렌드랩은 이러한 현상을 ‘순간적인 명성’을 얻거나 ‘세상의 이목’을 끄는 것이 더 이상 해커와 악성 프로그램 제작자의 주요 목표가 아니라고 설명한다. 이제 이러한 컴퓨터 시스템 침입자들은 순간의 명성을 얻는 것 보다 일확천금이라는 더욱 강렬한 유혹에 빠져 개인 금융정보를 빼내는데 몰두하고 있다. 은행 비밀번호 변경을 알리는 전자우편 ‘통지’ 및 금융기관 공식 웹사이트와 거의 동일하게 보이는 웹사이트로 인해 수만 명의 선량한 피해자가 발생할 수 있다.

신종 바이러스 수치 1년 전에 비해 600% 증가
9월 중 Worm_Sasser.B가 가장 빠르게 확산되어 전체 바이러스 감염의 31%를 차지했으며, 인도에서 가장 심각한 피해를 입혔다. 한편 넷스카이 시리즈는 전체 감염의 26%를 차지했다. 작년 9월에는 250개의 새로운 악성 프로그램이 발견된 반면, 올 9월에는 그 수치가 6배에 달하고 있다는 점에서 놀랄만한 변화를 짐작할 수 있다.
이는 해커들이 소스 코드를 약간만 변경하면 새로운 변종을 만들 수 있기 때문이다. 마이둠, 베이글 및 러브게이트 등은 이런 방식으로 무수히 많은 새로운 변종을 양산해왔으며, 현재도 이러한 활동이 계속되고 있다. 때문에 다수의 컴퓨터를 대상으로 대량 스팸 메일을 발송하여 서비스 거부 공격을 감행하기에 충분할 정도의 바이러스군이 형성되었다. 아고봇의 변종인 R봇과 최근에 발견된 우트봇 등은 모두 이러한 대표적인 사례에 속한다.
올해 1월에 처음 발견되었던 베이글 웜이 다시 출현했다. 초기 버전이 감염 시스템에서 추출한 전자우편 주소로 직접 대량 메일을 발송하는 것과 달리 최근에 출현한 베이글 변종은 새로운 전파 경로를 이용한다. 이 변종은 압축 파일 형태의 트로이 목마 다운로더 및 HTML 스크립트 구성 요소를 수집된 전자우편 주소로 전송한다. HTML 스크립트 구성 요소는 알려진 보안 취약성을 이용하여 트로이 목마 다운로더가 125개 웹사이트에서 주요 웜 프로그램을 다운로드하여 실행하도록 한다. 앞서 언급한 전자우편을 통한 확산과는 별도로 이 웜은 shar란 문자열이 포함된 폴더에 자기 복제본을 복사하여 네트웍를 공유하거나 P2P(peer-to-peer) 네트웍을 경유하여 전파된다.
지난 7월 다시 출현한 마이둠 바이러스에 대해 중급 경고가 내려졌으며, 9월에 새로운 경고가 전혀 발생하지 않았음에도 불구하고 최소 5가지의 새로운 변종이 출현했다.

개인 금융관련 비밀정보 도용 우려
9월에 발견된 TROJ_BANKER 및 TROJ_BANCOS는 개인의 금융 관련 비밀 정보를 도용하는데 중점을 두고 있다. 트렌드마이크로는 해커가 금전적인 유혹에 빠져 업무를 마비시키고, 스팸 메일을 배포하며, 서비스 거부 공격을 감행할 뿐만 아니라 패치되지 않은 다른 시스템을 스캔할 수 있는 최고 명령자에게 좀비 컴퓨터를 넘겨주게 되는 것을 우려했다. 예를 들어 사세르 및 블래스트 웜은 윈도우즈 LSASS(MS04-011) 및 RPC DCOM Buffer Overrun(MS03-026) 등과 같은 취약성을 이용하여 무수히 많은 컴퓨터를 감염시킬 수 있다. 봇 프로그램은 바로 이러한 취약성을 노리고 있기 때문이다.
트렌드마이크로는 시티뱅크를 IP 주소로 사용하고, 6개의 스팸 방지 데이터뱅크에 의해 블랙리스트에 올려진 피셔를 분석한 결과, 악성 프로그램을 조정하는 해커들이 부정한 방법으로 돈을 인출하기 위해 봇넷을 이용하고 있음을 밝혀낸 바 있다.

JPEG 파일의 보안 결함 이용한 POC코드 출현
지난 9월 14일에 마이크로소프트는 JPEG GDI+보안 취약성(Microsoft Security Bulleting MS04-028)을 발표했다. 재정 관련 정보가 누출될 수 있는 주요 취약성을 발표한 이후에 흔히 볼 수 있듯이 이러한 보안 결함을 이용하려고 시도하는 각종 공격 코드가 출현했다. 이러한 사실을 입증하듯 마이크로소프트의 발표 3일 후 이 취약성을 이용한 POC 코드가 출현했다. 9월 24일 JPEG 보안 결함(트렌드마이크로에 의해 HKTL_JPGDOWN.A로 명명)을 이용하는 툴킷이 출현하여, 사용자가 ‘Make’ 버튼을 누르기만 하면 특수하게 제작된 JPG 감염 파일을 생성할 수 있게 되었다. 이 프로그램은 이미 인터넷에서 널리 유포되고 있으며, 트렌드마이크로 보안 전문가는 이로 인해 파괴적인 공격이 점점 더 확산될 것을 우려하고 있으며 스파이웨어는 물론 성인용 웹사이트 및 VCD 스팸 모두 이러한 이미지 파일을 이용하여 컴퓨터를 감염시킬 수 있다.

국내, 전체 신고건수 중 봇 계열이 7%
한편, 국내에서는 국내 백신업체에 신고 탐지된 웜/바이러스는 총 3, 541건으로 전월 대비 59.6%가 감소한 것으로 나타났다(8월 8, 759건→9월 3,541건). 이는 인터넷침해사고 대응지원센터(www.krcert. or.kr)가 조사한 9월 바이러스 통계자료에 따른 것이다.
넷스카이를 비롯해 베이글, 두마루 등 대량의 영문 메일로 전파되는 웜의 비율은 전체의 66%(2천 344건)로 전월의 76.4%에 비해 소폭 감소했다. 반면 마이둠이나 러브게이트 등은 소폭 증가한 것으로 나타났다. 또한 국내에서도 봇 계열(아고봇, IRC봇 등)은 총 267건으로 전체의 7%를 차지하고 있으나, 국내외 주요 기관을 포함한 피해사례가 지속적으로 보고되고 있다.

윈도우즈 보안 패치 업데이트 등 항상 요망
인터넷침해사고 대응지원센터는 보안이 취약한 컴퓨터는 이보다 훨씬 더 쉽게 봇넷이나 좀비 네트웍의 일부가 될 것이라고 우려했다. 트렌드마이크로는 모든 사용자가 정기적으로 소프트웨어 패치를 적용하는 것은 물론 윈도우즈 설치 후 윈도우즈 업데이트 사이트(http://windowsupdate.microsoft.com/)를 방문하는 것과 같이 정기적으로 모니터링하는 습관을 갖는 것이 중요하다면서, 그렇지 않을 경우 컴퓨터가 쉽게 해커의 공격을 당하게 될 것이라고 경고했다.
저작권자 © 아이티데일리 무단전재 및 재배포 금지