사세르, 감염율 저하 중,
넷스카이 30% 증가 1위 차지
트렌드마이크로의 아웃브레이크 솔루션 센터인 트렌드랩(TrendLabs)이 지난 10월 한 달 동안 상위 10개 바이러스의 감염 횟수를 추적한 결과 감염 횟수는 지난달에 비해 20% 정도 감소했다. 그러나 특히 넷스카이.P 등 몇몇 바이러스는 감염 빈도가 오히려 증가한 것으로 나타났다.
지난 3개월에 걸쳐 감염율 1위를 차지한 사세르(SASSER) 바이러스는 감염 속도가 저하되고 있는 중으로 드러났다.
트렌드랩에 따르면 “이는 대부분의 컴퓨터에 LSASS의 취약성을 해결할 수 있는 패치 프로그램이 설치되어 있어서 사세르 바이러스가 새로운 공격 대상을 찾아내는데 실패했기 때문”으로 풀이했다. 이와는 대조적으로 넷스카이는 감염율이 30% 증가하여 사세르를 제치고 감염율 1위를 차지했다. 이 바이러스는 3월부터 시작하여 전세계적으로 약 2백만 대 이상의 컴퓨터를 감염시켰으며 이는 사세르 바이러스 총 감염 횟수의 3배에 이르는 수치이다.
넷스카이.P를 제외한 5가지 넷스카이 변종 바이러스가 상위 10위 리스트에 올라 있으며 총 바이러스 감염 건수의 거의 절반을 차지하고 있다. 넷스카이 감염율은 4월 초 절정에 이르렀다가 이 후 몇 달간 하락했다. 그러나 10월에 들어와 감염 건수는 다시 상승하기 시작하여 대략 40만 건에 이르렀으며 이는 넷스카이가 절정이었던 달의 약 5분의 1에 해당하는 수치이다.
넷스카이가 이토록 지속적으로 승승장구하는 것은 출처가 불분명한 이메일 메시지의 첨부파일을 열어 보고 싶어하는 구제가 불가능해 보이는 인간적 성향을 이용하고 있기 때문인 것으로 보인다.
사세르가 보안 취약성을 이용하여 증식하는 반면, 넷스카이는 ‘인간적 약점’을 이용해 확산된다고 볼 수 있다.
트로이 목마와 봇 프로그램의
지속적인 증가
트렌드랩은 10월 한달 동안 1,817개의 악성 프로그램을 발견했으며 이는 지난달에 비해 22% 증가한 수치이다. 최근 몇달 동안 발견한 트로이목마 건수는 점점 증가하여 현재 활동하고 있는 악성 프로그램의 과반수를 기록하고 있다. 트로이 목마는 지난 달에 비해 30% 가량 더 확산돼 전체 악성 프로그램의 47%를 차지하게 됐다. 백도어 프로그램까지 합한다면 트로이 목마의 비율은 거의 65%에 이른다.
웜은 두번째로 흔한 악성 프로그램으로 발견된 악성 프로그램의 30%를 차지한다. 이 중 75%는 컴퓨터를 조정해 좀비 네트웍을 형성한 후 공격을 개시할 수 있는 봇 프로그램이다.
일반적으로 봇 프로그램은 감염된 컴퓨터를 원격 제어할 수 있는 백도어 구성요소도 지니고 있으므로 이를 이용해 바이러스를 더욱 확산시키고 보안이 취약한 것으로 알려진 컴퓨터를 감염시킬 수 있다.
최근의 경향에서 보는 바와 같이 봇 공격은 실제로 금전적인 동기에서 발생하기도 한다. 악의적인 봇 프로그램 사용자는 백도어 기능을 이용하여 감염된 시스템으로부터 정보를 훔친 후 나중에 해당 정보를 계속 판매할 수 있다.
일부 바이러스 제작자들은 해커 포럼이나 이와 유사한 온라인 모임에서 자신이 제작한 프로그램을 판매하기도 한다. 또한 봇 바이러스에 감염된 시스템의 액세스 권한을 판매하는 경우도 있다.
파일 삭제 자피.B, 5개월 간 2위 고수
파일 삭제 기능이 있는 자피(ZAFI).B는 올해 6월 출현한 이래 트렌드랩의 악성 프로그램 감염율 순위 리스트에서 2위 아래로 내려간 적이 없으며 넷스카이의 6개 변종을 제치고 계속하여 동일한 입지를 고수하고 있다. 자피.B는 6월 출현한 이후 감염율이 하락한 적은 있었으나 유포된 지 5개월이 지난 지금까지도 주요 악성 프로그램으로 간주되고 있다.
트렌드마이크로에 따르면 자피.B는 장수 바이러스인 넷스카이와 마찬가지로 사회 공학을 이용하여 사람들을 유인함으로써 효과를 거두고 있다고 평가했다.
자피.B의 감염율은 9월에 비해 35% 하락했으며 이는 6월 총 감염 횟수의 30%에 불과하다. 그러나 자피의 파괴성은 결코 과소평가할 수 없는 것이다. 자피.B는 임의의 폴더에서 .EXE 파일을 덮어쓰기 한 다음 삭제한 .EXE 파일 이름을 차용하여 해당 폴더에 자체 복사본을 만든다. 또한 ZAFI.B는 ‘regedit’, ‘msconfig’, ‘task’ 등의 문자열이 포함된 프로세스를 즉각 삭제해 버리는 것이 특징이다.
트렌드마이크로는 ZAFI.B가 감염율이 큰 원인으로 사회 공학 이용 기술을 들었다. 자피.B는 포르노나 음성 메시지, 또는 e-카드로 위장한 첨부파일을 메일에 포함시켜 대량으로 발송함으로써 사용자가 열어 보도록 유인한다. 또한 이 바이러스는 P2P(Peer-to-Peer) 네트웍을 통하여 확산되는데 이 때 인기 있는 파일 이름(winamp 7.0 full_install.exe이나 Total Commander 7.0 full_install.exe 등)을 차용하여 공유 폴더에 자리를 잡는다.
마이둠과 베이글의 재발,
추가 확산 주의
10월 나타난 마이둠과 베이글의 최신 변종인 베이글.AU와 마이둠.AA는 수많은 보도 기사에서 중점적으로 다뤄졌다. 올해 초부터 소동을 일으키기 시작했던 악명 높은 대량 메일링 웜 계열의 최신 변종 중 하나인 마이둠.AA는 다음과 같은 내용으로 번역할 수 있는 문자열이 코드에 포함되어 있어서 큰 파장을 일으켰다.
이 텍스트에는 바이러스 백신 회사들에 대한 협박과 더불어 독일 기업 SecurePoint가 사세르 및 넷스카이 바이러스를 제작한 혐의로 기소당한 스벤 야쉔(Sven Jaschen)을 고용한 것에 대한 반응이 나타나 있다.
베이글로 인해 13개의 중급 위험 경보가 이미 발동됐으며 10월에만 무려 15개 변종이 나타나는 등 베이글은 올해 기록된 대부분의 바이러스를 발생시켰다.
최근 발생한 베이글의 변종인 베이글.AL은 8월 31일 발생했다. 또한 베이글 바이러스는 지난 10개월 중 6개월 동안 매월 최소 1회 이상 바이러스 경보를 발동시켰다. 10월 말 베이글_AU와 베이글_AT는 각각 다시 한번 중급 위험 경보를 발동시킴으로써 올 한 해 동안 발생한 베이글 건수는 총 28건에 이르게 됐다.
MS 발표 후 2주 만에 악성 프로그램 공격 시작
10월 12일 마이크로소프트는 새로운 보안 업데이트 10개를 발표했는데 이 중 8개는 컴퓨터의 원격 제어에 이용할 수 있는 것이었다. 그로부터 겨우 2주 후 MS04?032를 이용하여 패치되지 않은 컴퓨터를 원격 제어하는 악성 프로그램인 HKTL_MS04?032가 발견됐다. 그래픽스 렌더링 엔진(Graphics Rendering Engine) 취약성이 .WMF 및 EMF 이미지 파일에 대한 렌더링 코드에 존재하며 해커는 이를 이용하여 피해자의 컴퓨터를 원격 제어할 수 있다. 이러한 취약성을 해결하는 패치를 시스템에 설치하지 않는 한, 해당 파일 형식을 사용하는 응용 프로그램은 모두 해커의 공격에 취약한 상태가 된다.
국내 웜 바이러스 피해건수 감소 추세
10월 국내 사용자로부터 신고, 탐지된 웜 바이러스는 총 2862건으로 전월 대비 19.2%감소했다.(3541건 -> 2862건) 넷스카이나 베이글의 대량의 영문메일로 전파되는 웜은 다소 증가한 것으로 기타 웜이나 바이러스가 줄어들었기 때문으로 풀이된다. 이는 인터넷 침해사고 대응지원 센터(www.krcert.or.kr)가 조사한 10월 바이러스 통계 자료에 따른 것이다.
이와함께 아고봇이나 IRC봇 등과 같은 봇 변종의 탐지 건수는 총 213건으로 전체 건수 중 7.4%를 차지한다.
10월에 신고된 봇 계열 웜이 총 213건으로 전월의 362건에 비해 41%이 상이 감소했으나 전 세계 총 감염 추정 PC 대비 국내 감염율은 전월과 비슷한 수준이므로 지속적인 사용자의 주의가 요구된다.
새로OS 설치 후 보안 패치 적용 및
개인 방화벽 권장
악성 봇에 감염된 시스템은 대용량의 스팸메일 발송, 특정 사이트에 대한 DDoS 공격에도 악용될 수 있으며, 계속적으로 변종 형태의 악성 봇이 국내에서도 유포되고 있으므로 개인 사용자 및 시스템 관리자들의 지속적인 검점 및 주의가 필요하다.
이와함께 OS를 설치한 뒤 네트웍에 연결했을 때, 웜에 감염되는 경우가 많으므로 네트웍에 연결한 즉시 최신의 보안 패치를 적용한 후 백신 등을 이용해 시스템을 검사해야하며 개인용 방화벽 등을 이용해 재감염을 방지하는 노력을 기울여야 한다.