애드웨어나 피싱 결합 스파이웨어 위협 증가, 이기종 플랫폼 교차 악성코드 등장

트렌드마이크로의 바이러스 관제센터인 트렌드랩(TrendLabs, 필리핀 마닐라 소재)의 2006년 4월 바이러스 분석 자료에 따르면, 스파이웨어가 애드웨어나 피싱 등과 결합으로 더욱 교묘한 수법으로 컴퓨터 사용자나 기업을 노리고 있는 것으로 나타났다.

더욱 교묘한 애드웨어 설치 증가
스파이웨어는 보통 은밀하게 사용자 정보를 감시하고 수집하는 모든 소프트웨어 프로그램으로 암호, 은행 계좌정보 등 사용자의 개인정보를 도용할 목적으로 악의적인 바이러스 제작자에 의해 작성 및 설치되는 프로그램이다. 그러나 최근에는 스파이웨어 형태를 가진 애드웨어가 등장해 보안위협의 대상으로 떠오르고 있다.
애드웨어는 사용자의 간단한 개인정보를 수집하고 팝업 광고를 게재하거나 사용자 컴퓨터에 외부 소프트웨어를 설치하는 등 악의적인 활동들을 수행한다.
다시 말해 스파이웨어는 악의적인 바이러스 제작자에 의해 작성이 되며 애드웨어의 경우는 주로 회사에서 광고/홍보 및 특수한 목적으로 만들어지고 배포되는 경우가 대부분이다. 이들 애드웨어 회사 중 일부는 수백만 달러의 IPO 런칭을 거론할 만큼 탄탄한 자금력을 보유하고 있다.
최근 스파이웨어와 애드웨어의 결합은 합법적인 마케팅 기법과 명확하게 구분되지 않기 때문에 컴퓨터 사용자와 보안 기업 모두에게 심각한 과제가 되고 있다. 트렌드마이크로 안티스파이웨어 전문가는 “‘한 사람에 대한 프라이버시 침해가 또 다른 사람에게는 정당한 마케팅 활동이 될 수 있는 것이 문제이다”며 “모든 사람들이 스파이웨어와 애드웨어에 대한 서로 다른 독자적인 정의를 가지고 있어 옥스포드 영어 사전식의 정의가 적용되지 않는다”고 설명했다.
스파이웨어 주기의 수익 흐름에는 광고주, 제품 마케팅을 위해 고용한 대행사, 실제로 사용자의 컴퓨터에 전달되는 소프트웨어 프로그램 ‘악성행위(payload)’의 작성자인 퍼블리셔(publisher), 마지막으로 다양한 퍼블리셔(publisher)들을 위해 복합적인 페이로더를 배포하는 배포자(‘설치 건수’를 기준으로 수익 확보) 등 4가지 유형의 참가자 또는 소스가 관여하게 된다.
이에 대해 트렌드마이크로 안티스파이웨어 전문가는 “스파이웨어는 사용자의 정보 보안을 훼손시킨다. 또한 실제로 시스템 리소스를 고갈시킬 수 있는 외부 소프트웨어와 엄청난 광고물로 컴퓨터 자원을 고갈시키는 데 자주 활용될 뿐만 아니라 사용자가 모르는 사이에 설치되어 종종 사용자가 시스템을 거의 사용할 수 없을 정도로 성능이 저하될 때까지 컴퓨터에 존재한다”고 경고했다.
트렌드마이크로의 연구조사에 따르면, 스파이웨어와 애드웨어는 2005년 전체 위협 중 29%를 차지했다. 관련 금액 때문에 이러한 추세는 2006년 이후에도 지속될 것으로 예상된다. 애드웨어를 이용한 캠페인은 상당한 이익을 창출하기 때문에 많은 애드웨어 기업들이 가능한 많은 PC에 제품을 설치하기를 열망하고 있다.
스파이웨어 및 애드웨어의 위협이 지속적으로 성장함에 따라 업데이트된 안티바이러스 및 안티스파이웨어 소프트웨어를 사용하여 P2P 네트워크, 웹 또는 FTP 서버 등 소스에 관계없이 이루어지는 모든 다운로드를 포함해 인터넷을 통해 다운로드되는 모든 프로그램을 검사하는 것이 더욱 중요해졌다.

스파이웨어ㆍ피싱 결합으로 위협 증가
이와 함께 트렌드마이크로의 보안 전문가는 전자상거래의 보안을 표적으로 하는 ‘스파이피싱(spy-phishing)’이라는 신종 공격이 등장했다고 밝혔다.
스파이피싱이란, 스파이웨어와 피싱이 결합한 것으로 신용카드, 은행계좌, 주민번호 등과 같은 민감한 개인정보를 제공하도록 수신자를 속이기 위해 합법적인 기업이 보낸 것처럼 보이는 e-메일을 사용한다는 점이 피싱과 조금 다르다.
스파이피싱은 다운로드한 트로이목마 바이러스가 합법적인 URL로부터 특정 정보를 도용하도록 프로그래밍된 표적별 스파이웨어 공격이다. 트로이목마는 사용자가 해당 URL을 방문할 때까지 사용자의 시스템에 조용히 자신을 감추고 있다. 트로이목마가 활성화되면 악의를 가진 제3자에게 정보를 전송한다.
대부분의 피싱 공격은 합법적인 것처럼 보이는 가짜 웹사이트로 링크되도록 하는 것이다. 사용자들이 속아서 이들 웹사이트를 방문하여 정보를 제공한다면 개인정보가 도용될 것이다. 다시 말해 스파이피싱은 컴퓨터에 스파이웨어를 설치한 다음 합법적인 웹사이트를 방문할 때까지 기다리는 것이다. 합법적인 사이트에 정보를 제공하면 스파이웨어는 특정 사이트에서 입력한 사용자의 키를 기록하도록 프로그래밍 되었기 때문에 사용자의 개인정보가 도용되는 것이다.
트렌드마이크로 안티바이러스 전문가는 “스파이피싱은 표적으로 설정한 합법적인 웹 사이트에 방문할 때 시스템을 피싱하는 것이다. 그곳에서 입력한 모든 데이터가 외부로 전송 및 도용된다면 이는 일종의 장기 피싱 공격과 같은 것으로 더 큰 위협대상이 될 것”이라고 분석했다.
이에 대처하기 위한 첫 단계는 자신이 보는 것을 제어할 수 있도록 인터넷 익스플로러 이외의 브라우저를 설치하는 것이다. 일부 브라우저 또는 타사 애플리케이션은 브라우저 주소 표시줄에 나타난 것에 관계없이 실제 URL이 무엇인지를 보여 준다.
원한다면 스크립팅 기능을 해제하고 매번 스크립트나 브라우저에서 액티브 X와 자바 같은 객체를 실행할지 묻는 메시지가 나타나도록 할 수도 있다. 이들을 설치했다면 스크립트를 설정 또는 해제할 수 있는 옵션이 있다는 메시지가 나타난다.
트렌드마이크로 바이러스 전문가는 “모든 설치 파일을 수락하는 데 신중해야 한다. 웹 서핑 등의 브라우징 활동에 방해가 되지만 않는다면 이들 프로그램을 실행하지 않는 것이 안전하며, 설치 필요시에는 반드시 해당 파일에 서명 확인을 통해 믿을 만한 출처에서 서명을 하였는지 확인 후 설치하는 주의가 필요하다”고 당부했다.
스파이피싱 문제를 해결하기 위해서는 안티스파이웨어를 사용하는 것이 가장 손쉬운 방법이다.

이종 디바이스간 교차 감염 바이러스 출현
트렌드랩은 그동안 서로 다른 플랫폼을 넘나드는 크로스 플랫폼 악성코드의 출현 가능성에 대해 예측해왔다. 이 예측대로 지난달에는 WORM_CXOVER.A라는 이종 디바이스 간 교차 감염 바이러스가 발견됐다.
즉 최근 바이러스 제작자들은 새로운 플랫폼 및 환경에서 원치 않는 코드를 전파하는 더욱 교묘한 프로그램을 배포하고 있다. 마이크로소프트 운영체제, 리눅스, 유닉스, 맥OS로부터 심비안(Symbian) 운영체제를 지원하는 휴대전화에 이르는 각 단계는 악성코드를 전파하는 기술적 한계를 허무는 데 일조하고 있다.
MARA(Mobile Research Antivirus Research Association)에 따르면 다양한 운영체제, 특히 윈도우 PC 플랫폼과 윈도우 모바일 CE를 통해 악성코드를 성공적으로 전파 및 실행하는 또 다른 방법이 발견됐다. 이는 Symbian.SIS 파일을 감염시키는 윈도우 파일 PE_VLASCO.A 등과 같은 악성코드와 마찬가지로 처음에는 정상적인 것처럼 보인다. 그러나 MARA가 발견한 연구 결과에 의하면 이 악성코드는 PC OS나 윈도우 모바일 CE 플랫폼에서 모두 효과적으로 확산될 수 있는 것으로 나타났다.
이것이 가능한 이유는 바로 액티브싱크(ActiveSync) 때문이다. 액티브싱크는 마이크로소프트에서 개발한 동기화 프로그램으로 이 프로그램의 궁극적 목적은 윈도우 PC와 윈도우 모바일을 실행하는 PDA 간에 파일, PIM 데이터 등을 동기화하는 것이다.
실행 시 트렌드마이크로에서 탐지한 WORM_CXOVER.A와 같은 .NET 기반 악성코드는 특수 함수를 이용, 특히 ‘CE’와 ‘모바일’과 같은 특수한 문자열을 검사해 실행 플랫폼을 확인한다. 이들 문자열이 확인되면 이는 곧 .NET 기반 악성코드가 모바일 플랫폼 상에서 실행되고 있다는 것을 의미한다. 이 때 이 웜은 모바일 플랫폼에 코드를 계속 실행하게 된다. 반면 ‘CE’, ‘모바일’ 등이 확인되지 않는 경우에는 데스크탑 컴퓨터를 위한 코드를 실행한다.
이 악성코드는 모바일 장치 상에서 그것이 실행되는 것을 탐지하면 내 문서 폴더의 모든 파일과 하위 폴더를 삭제한다. 그런 다음 윈도우즈 폴더 내에 자체 복사본을 만들고 모바일 장치의 시작 폴더 내에 링크를 생성하도록 유도한다.
이 프로그래밍 언어는 이해하기 쉽고 간편하게 디컴파일할 수 있기 때문에 이 악성코드가 PC에서 모바일 장치로 손쉽게 전환하는 작업에 사용되고 있다. C#로 개발되었고, 수준 높은 코드로 간편하게 디컴파일 및 해체될 수 있는 기계어로 실행 가능하다.
또 기술이 급속하게 발전하면서 뛰어난 확산 능력을 지닌 악성코드가 추가로 더 많이 개발되어 출현하고 있다. 머지않아 더 많은 크로스 플랫폼 악성코드가 출현하고 모바일 장치에서 다른 모바일 장치로 전송되기 시작될 것으로 보여 앞으로 큰 위협이 될 것으로 전망된다.

바이러스의 새로운 형태 ‘표적공격’
이러한 스파이웨어에 대한 위협이나 이기종간 위협 외에 지난달까지는 뚜렷하게 바이러스 경보 발령이 일어나지는 않았다. 이는 바이러스의 위협이 없던 것이 아니라, 더 이상 강력한 전파력을 가진 바이러스보다는 표적공격을 위한 집중하는 바이러스가 증가하고 있음을 반증한다. 트렌드마이크로는 이와 같은 현상은 단순히 ‘위협구도(threat landscape)’의 변화라고 풀이하고 있다.
과거 악성코드 작성자들은 주로 미성년이었으며 그 제작 동기도 악명을 널리 떨치거나 친구들에게 뽐내기 위한 일종의 자기 과시형이었다. 많은 컴퓨터를 감염시켜 더욱 큰 ‘명성’을 얻는 데 치중했지만 2005년부터는 널리 ‘악명’을 떨치는 자기과시형 보다는 경제적 이익을 추구하는, 보다 ‘전문가’적인 활동으로 방향 전환을 하고 있는 것이다.
수십만 대의 컴퓨터를 감염시켜 곤경과 위협에 빠뜨리기 보다는 소수의 컴퓨터를 감염시킴으로써 발각되지 않고 원하는 목적(주로 금전적인 이익)을 이루려는 경향이 뚜렷해졌기 때문이다.
2005년에는 10만 명의 사용자에게 뿌려진 스팸 보다 특정 회사와 그 사용자 또는 공통의 이해관계를 가진 특정 그룹에 집중된 보안관련 표적공격이 점점 더 증가하고 있는 것으로 조사됐다. 이러한 표적공격은 트로이목마와 웜을 공격 대상에 살포해 의심하지 않는 사용자가 덫에 걸려들기를 교묘히 기다린다. 따라서 새로운 악성코드는 오랜 기간 탐지되지 않을 수도 있다. 바이러스 제작자는 트로이목마가 탐지·제거되기 전에 더욱 많은 기밀 정보를 수집할 수 있다.
트렌드마이크로는 이러한 표적공격의 추세가 올해에도 계속 이어질 것이며 더욱 증가될 것으로 예측하고 있다. 실제로 지난 몇 주 동안 이러한 공격 유형이 현저히 증가한 것이 감지됐다. 불특정 다수에게 대량의 스팸 형태의 e-메일을 발송하는 것이 아니라 특정 소수를 타깃으로 e-메일 메시지를 전송하는 것이다.
다음은 트렌드마이크로가 수집한 지난 몇 주간에 있었던 표적 공격의 실제 예이다.
TSPY_FOLIN.AP
TSPY_PERFLOG.L
TROJ_DLOADER.CLE
TROJ_SMALL.SY
TROJ_SMALL.BOO

각기 다른 공격이지만 이들 각각은 비교적 소규모 그룹에게 스팸 메일을 발송한 것이며, 이들 중 일부는 영어로 작성되지 않은 것도 있다. 하나는 중국어로 작성되었고 하나는 포르투갈어로 작성되었다. 이들 중 일부는 e-메일을 통해 전달되지만, 또 일부는 사용자가 악성 웹 사이트에 방문했을 때 사용자 시스템에 다운로드된 것이다. 하지만 이들 모두는 소수의 사용자를 대상으로 공격했기 때문에 대다수의 사용자에게는 알려지지 않았다.
이러한 위협은 안티스파이웨어 및 안티바이러스 제품을 최신 상태로 유지하는 것이 무엇보다도 중요하며, e-메일 내용이 확실하지 않은 경우에는 첨부 파일을 클릭하거나 링크를 따라 들어가지 않아야 한다고 전문가들은 당부하고 있다.

안철수연구소 1분기 악성코드ㆍ스파이웨어 동향 분석
게임 계정 탈취 트로이목마, 가짜 안티스파이웨어 기승
올 1분기 악성코드/스파이웨어의 주요 동향은 ▲게임 계정 탈취 급증 ▲가짜 안티스파이웨어 증가 ▲웜의 약세와 트로이목마의 강세 ▲피해의 국지성 심화 등으로 나타났다. 안철수연구소가 매월 발표하는 ‘시큐리티대응센터 리포트 3월호’에 따르면, 지난해에 이어 올해도 온라인 게임 사용자 계정을 탈취하는 트로이목마가 맹위를 떨쳤다. 지난해 1분기에는 6개에 불과했던 것이 올 1분기에는 122개로 20배 이상 증가했다. 또한 스파이웨어를 비롯한 유해가능 프로그램의 경우 가짜 안티스파이웨어 제품으로 인한 피해가 증가했다. 트로이목마는 2005년에는 주로 원격 제어, 웹사이트 변조, 프록시 서버 종류가 주류였다. 그러나 2006년은 국내 온라인 게임의 사용자 계정을 탈취하거나 다른 악성코드를 다운로드하는 종류가 증가했다. 해외는 이메일 웜 또는 은행 계정을 탈취하는 트로이목마가 기승을 부리는 것과 대조적이다. 한편 지난 2월에는 이례적으로 트로이목마 제작 건수가 감소했는데 그 원인이 중국 최대 명절 휴일 때문인 것으로 추정될 만큼 중국산 악성코드가 차지하는 비중이 컸다. 악성코드 피해 유형은 과거와 달리 국지적인 양상을 보이고 있다. 광범위하게 퍼지는 증가세는 둔해진 반면 금전적 이익을 목적으로 특정 국가나 특정 IP 대역에서 피해를 일으키는 경우가 증가하고 있다.
피해 건수나 변형 건수 면에서 가장 큰 비중을 보인 악성코드가 악성 IRC봇 웜에서 트로이목마로 이동한 것도 두드러진 특징이다. 이 같은 변화는 금전적인 이득을 취하려는 제작자들의 욕구에 기인한 것으로 분석된다. 또한 사용자들의 보안 의식 향상, 윈도우 XP SP2의 보급과 정부 차원의 적극적인 계도 활동의 결과로 악성 IRC봇 웜의 감염 및 피해 보고가 감소한 것도 한 요인으로 보인다.
가짜 안티스파이웨어 프로그램 중 최근 이슈가 된 것은 지난 2월 국내에서 제작된 비패스트(Befast)이다. 2005년 12월부터 포털 사이트의 게시판이나 블로그에서 액티브-X 형태로 배포됐으며 약 25만 대의 컴퓨터에 설치된 것으로 추정된다. 일반적인 가짜 안티스파이웨어 프로그램이 임시 파일, 사용하지 않는 레지스트리를 진단하거나 정상 파일 또는 레지스트리를 진단하여 검사 결과를 과장하는 반면, 비패스트는 설치 시에 스파이웨어가 사용하는 레지스트리 키를 스스로 생성하고 이를 진단하여 검사 결과에 표시하며 치료 시 과금을 요구한다. 이 방법으로 약 1억 8천만원의 부당 이익을 취한 비패스트 제작자는 4월에 가짜 안티스파이웨어 프로그램 제작자로는 국내 최초로 경찰에 구속됐다. 외국에서 제작된 가짜 안티스파이웨어 프로그램도 국내에서 많은 피해를 낳고 있어 외국 제품은 안전하다고 생각하는 일부 사용자들의 주의가 필요하다. 안티바이러스골드(AntiVirusGold)에서 출발해 UI와 이름만 바뀐 형태로 지속적으로 유포되고 있는 것이 대표적이다. 한편 웜과 결합된 스파이웨어도 속속 등장했다. IRC봇 웜이 감염된 컴퓨터에서 스파이웨어를 내려받아 실행되는 형태이다. 제작자는 스파이웨어를 설치하고 성인, 도박 사이트 등에 방문을 유도해 트래픽을 발생시켜 웹사이트로부터 그 대가를 받는 방법으로 이익을 취한다. 웜에 의해 설치되기 때문에 주로 보안에 취약한 컴퓨터에서 많이 발견되고 있으며 작년 12월부터 최근까지 꾸준한 피해를 주고 있다.
웜 제작자가 금전적인 이익을 목적으로 스파이웨어를 이용한다는 사실은 이미 알려진 사실이지만 최근 주체, 방법 등에서 웜과 스파이웨어의 관계가 구체적으로 밝혀지고 있다. 2006년 2월에는 워싱턴포스트에 한 미국 청년이 자신이 제작한 웜에 감염된 컴퓨터에 스파이웨어를 설치하고 한 달에 약 6,800 달러를 벌고 있다는 인터뷰 기사가 게재되기도 했다. 앞으로도 웜에 의한 유해가능 프로그램 설치 피해가 증가할 것으로 예상된다. 안철수연구소 시큐리티대응센터 강은성 상무는 “게임 계정을 빼내는 트로이목마나 가짜 안티스파이웨어의 기승은 금전적 이익을 노리는 범죄의 도구로 악용되고 있다. 사용자는 정보뿐 아니라 금전적 손실을 막기 위해서 정보보호에 각별히 신경써야 한다”며 “안티바이러스, 안티스파이웨어 제품을 설치하는 것은 물론 항상 최신 버전으로 유지하는 것이 중요하다”고 강조했다.
저작권자 © 아이티데일리 무단전재 및 재배포 금지