트렌드마이크로의 바이러스 관제 센터인 트렌드랩(TrendLabs, 필리핀 마닐라 소재)의 2006년 5월 바이러스 분석 자료에 따르면, 복합형 바이러스 PE_DETNAT.A가 출현한 것으로 보고됐다. 이 바이러스는 네트워크 공유 시 파일을 감염시키는 특성 때문에 네트워크를 통해 전파되는 특징을 가지고 있다.
이 바이러스는 파일을 감염시키는 방식에서 그 자체를 호스트에 연결하는 다른 바이러스와는 달리 호스트를 바이러스 코드로 ‘이동’시키는 새로운 접근법을 취한 것으로 자체 개발된 압축 루틴을 사용하여 호스트를 압축한 다음, 이를 실행 파일의 또 다른 섹션으로서 추가한다.
또한 호스트 파일이 수정되는 것이 아니라, 압축되어 저장되기 때문에 호스트의 원본 상태를 복구할 수 있다. 하지만 이를 일반적인 치료 툴로는 복구할 수 없으며, 원본 파일을 검색하기 위해서는 치료 툴이 바이러스의 압축 해제 프로세스를 그대로 실행할 수 있어야 한다.
이 바이러스에 감염되면 감염된 호스트를 COOLER{random numbers}.EXE라는 이름으로 temp 폴더에 복사해 넣는다. 그 다음 temp 폴더에서 해당 사본을 실행한 다음, 호스트에서 스스로를 분리(감염 취소)시킨다. 이어 로컬 네트워크의 다른 컴퓨터로 전파시키기 위해 특히 공유 폴더에서 감염시킬 다른 파일을 찾기 시작한다. 또한 시스템 실행 및 감염 프로세스를 은폐하기 위해서 델파이(Delphi)라는 서비스 이름으로 설치된다. (레지스트리 키 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesDelphi)
감염된 이후에는 외부 링크에서 TSPY_LINEAGE라는 변종까지 다운로드하여 리니지 게임의 로그온 증명서와 같은 정보를 유출시킬 수 있다.
트렌드마이크로는 이 신종 바이러스에 대해 여러 복잡한 바이러스처럼 보이지 않을 수도 있지만 트로이 목마나 바이러스들이 보다 치명적인 손상을 입히기 위해 어떻게 새로운 방법과 기존의 방법을 결합하여 사용할 수 있는지를 보여준다고 분석했다.
현재로서는 이 바이러스가 페이로드를 가지고 있지 않다는 점을 다행으로 여겨야 할 테지만 이 악성 코드 작성자는 조만간 페이로드를 포함시킬 계획을 세우고 있을 것으로 전망된다.
이에 대해 트렌드마이크로는 이 바이러스에 촉각을 곤두세우고 있으며 보다 안전하게 디지털 정보를 교환할 수 있도록 하기 위해 최선의 노력을 기울여 나갈 것이다.
다시 기승을 부리는 마이톱(MYTOB)
지난 2005년 2월부터 트렌드마이크로는 마이톱 계열의 웜을 처음 탐지하기 시작했으며, 현재까지 발견된 웜 중 가장 치명적인 웜이라고 평가했다. 2005년 한 해에만 거의 300여 종의 MYTOB 변종이 발견되는 등 많은 변종이 나타났다. 또한 수 개월 전에 이미 마이톱 웜 계열은 12월에 집계된 모든 악성 코드 중에서 최대 변종을 보인 것이다.
이러한 위세가 2006년이 들어서면서 잦아드는 듯 하였으나 지난달 10개의 새로운 변종이 탐지해 마이톱 변종이 지속될 것으로 전망되고 있다. 따라서 항상 경계 태세를 늦추어서는 안된다.
대부분의 마이톱 변종은 IT 관리자로 가장하여 사용자들이 메일의 첨부 파일을 실행하도록 부추기는 사회 공학적 기법을 사용한다. 주로 사용자들이 e-메일 계정이 일시 정지되었다고 생각하거나 최근에 암호가 변경되었다고 생각하도록 만드는 방식이다.
이 계열의 웜은 e-메일 첨부 파일을 실행해 감염되도록 하기 때문에 사용자는 모든 e-메일 첨부 파일을 열 때 주의해야 한다. 트렌드마이크로 보안 전문가는 대부분의 마이톱 e-메일은 매우 일반적으로 작성되며 사용자가 가입한 어떤 서비스와도 해당 사항이 없다고 설명한다.
이 바이러스의 위협에 주의하기 위해서는 발신자를 모르는 경우에는 e-메일을 열지 않을 것을 권고한다. 또한 발신자를 아는 경우에도 발신자로부터 예고가 없는 경우라면, 또는 e-메일 내용이 발신자의 성격에서 벗어난다고 생각된다면 첨부 파일을 열지 않는 것이 좋다.
신종 피싱 공격 - 특정 목표를 겨냥한 표적 공격
합법적 기업으로부터 정보를 제공하도록 요청하는 e-메일을 수신하는 것이 피싱의 대표적인 예다. 대부분의 피싱은 의심하지 않는 사용자들에게 수천 개의 메시지를 전달하는 방식으로 대량으로 수행된다. 하지만 몇 명의 사용자에게만 선택적으로 전송되는 또 다른 유형의 피싱도 있다. 이를 스피어 피싱이라고 한다.
두 유형의 피싱 공격 모두 사용자를 속여 기밀 정보를 제공하도록 유인하며, 종종 위조 웹사이트에서 원본과 유사하게 보이거나, 동일한 로고와 활자를 사용하여 이루어진다. 또한 두 유형의 공격 모두에서 사용자를 해당 사이트로 유인하는 메시지는 일반적으로 공인 기관으로부터 발송된 것처럼 보이도록 위장된다.
그렇다면 피싱과 스피어 피싱 간의 차이점은 무엇인가? 트렌드마이크로에 따르면 주로 겨냥하는 표적의 규모가 다르며, 이에 따라 서로 다른 공격 기법을 사용한다는 것이다.
가장 중요한 차이점은 바로 공격의 세분화 수준이다. 기존의 대량 피싱은 바다에 거대한 그물을 던져 넣어 물고기의 종류나 크기에 관계없이 모두 낚아 올리는 것과 유사한 방식이다. 반면 스피어 피싱의 경우 공격은 특정 그룹, 회사 또는 조직을 대상으로 이루어지며 일반적으로 희생자에 대한 사전 지식을 전제로 하기 때문에 특정 대상을 겨냥한 사회 공학적 기법을 사용한다.
일반적인 피싱 사기와 마찬가지로 스피어 피싱도 신용카드, 은행 계좌 또는 주민번호 등과 같은 민감한 개인 정보를 제공하도록 수신자를 속이기 위해 합법적인 기업이 보낸 것처럼 보이는 e-메일을 사용하는 신원 도용의 형태를 띤다.
하지만 일반적인 피싱 사기는 주로 일반적인 사회 공학적 기법으로 수많은 수신자에게 스팸을 보내는 반면, 스피어 피싱 공격은 동일한 회사 직원, 공통의 관심사 등 공통된 연결 고리가 있는 5~10명의 수신자에게 선택적으로 전송한다.
물론 해당 그룹의 유대를 바탕으로 대상이 명확하게 지정된 사회 공학적 기법을 사용한다는 것이 특징이다. 그리고 대상이 지정된 표적 공격이기 때문에 때때로 추가적인 기법이 사용되는 데 이는 표적 수신자가 알고 있는 사람 또는 조직으로부터 메일이 전송된 것처럼 위장(이를 스푸핑이라고 함)하기 때문에 공격의 성공 확률이 높다.
또한 피싱과 마찬가지로 스푸핑된 e-메일 메시지는 수신자에게 개인 프로필을 업데이트하거나 일부 트랜잭션을 수행하기 위해 링크를 클릭할 것을 요청한다. 이 링크를 클릭하면 희생자는 실제와 비슷하게 보이도록 설계된 위조 웹사이트로 이동된다. 여기서 입력한 개인 정보나 재무 정보는 직접 공격자에게로 전달된다.
트렌드마이크로는 스피어 피싱에 대해 온라인 거래는 메인 URL에서 시작해야 하며 e-메일 메시지의 링크에서 시작하지 않을 것을 권고하며, 피싱 차단 기능이 포함된 통합 소프트웨어 보안 제품을 사용할 것을 권장한다.
2개의 신종 파일 바이러스 발견
최근에는 스파이웨어, 루트킷, 스파이피싱 등을 비롯한 ‘현대적’ 개념의 파일 바이러스들은 ‘수명을 다한’ 위협으로 간주되고 있다. 그러나 지난 2개월 간, 보안 전문가들은 여러 신종 파일 바이러스들을 탐지했으며, 이번 주에만 P2P(Peer-to-Peer) 네트워크에서 비교적 높은 성공도를 기록한 PE_POLIP.A 및 PE_DETNAT.A 등 2종의 바이러스에 감염된 것으로 나타났다.
과거 1990년대로 거슬러 올라가 살펴보면, 파일 바이러스들은 최초로 출현한 바이러스 유형 중 하나였다. 1990년대 중반까지 이러한 유형의 위협은 거의 사라졌다. 그러나 트렌드마이크로의 수석 위협 분석가는 파일 바이러스들은 결코 완전히 사라지지 않았다고 지적했다. 또한 실제로 파일 바이러스가 다시 기승을 부리고 있진 않지만, 정기적으로 소수의 파일 바이러스가 나타나는 것을 확인할 수 있다. 유명한 바이러스 작성 그룹이 최신 버전의 웹진을 발표하는 여름 막바지까지 교묘한 새 기법을 활용하는 새로운 배치(batch)가 출현할 것으로 예상하고 있다.
파일 바이러스들은 매우 급속히 전파되지 않기 때문에 비교적 적은 수의 시스템을 감염시키지만, 근본적으로 매우 파괴적일 수 있을 뿐만 아니라, 탐지 및 제거가 어려울 수도 있다. 그 이유는 파일 바이러스 작성자들이 모든 악성 코드 작성자들 중에서 가장 뛰어난 기술을 보유하고 있는 경향이 있기 때문이다.
이들은 운영 체제의 내부 활동을 제대로 이해하고 있는 전통적인 하드코어 기술 그룹이다. 이들은 기계 코드나 어셈블리 언어를 이용하며 0과 1을 조작하는 방법을 알고 있다.
그 결과, 바이러스를 탐지하고 감염된 파일을 정상적인 상태로 치료해 복구하는 것이 매우 어렵게 됐다. 트렌드마이크로의 보안 전문가는 파일바이러스와 같은 잊혀진 바이러스에 대해서도 끊임없는 주의가 필요하므로 보안 위협과 여타 보안 위협들을 지속적으로 검사할 것을 강조한다.
루트킷, ‘판도라의 상자’
지난해 연말경 널리 알려진 몇몇 루트킷 인스턴스들로 인해 일반 사용자에서 기업 사용자를 망라하는 전 세계 사람들에게 이러한 보안 위협이 알려지게 됐다. 그러나 언론 보도가 줄어들면서 많은 사용자들은 이러한 강력한 위협의 위험을 완전히 잊게 됐다. 그러나 보안 전문가들은 이러한 위협은 여전히 매우 활발하게 활동하고 있으며 악성 코드 작성자들 사이에서 다시 한번 인기를 얻고 있다고 지적했다.
일부 사용자들은 작년 11월 이전까지 이러한 위협에 대해 들은 적이 있겠지만, 루트킷은 유닉스 초창기부터 존재해 왔으며, 해커들은 자신의 권한을 관리자급으로 높이기 위해 시스템상에 루트킷을 설치하고 루트킷으로 열 수 있는 일명 ‘백도어’를 통해 계속해서 돌아 올 수 있도록 했다. 그러나 오늘날 루트킷은 PC 환경에서 사용되고 있기 때문에 공통 사용자의 컴퓨터에 대한 보안을 위협하고 있다.또한 루트킷은 PC 환경에서 여타 몇몇 프로세스를 완전히 볼 수 없도록 하기 위해 운영 체제를 수정한다. 뿐만 아니라 낮은 수준의 컴퓨터 함수 호출을 대체하고 윈도우가 부팅되기 전에 위장할 수 있다. 그런 다음 루트킷은 운영 체제의 여러 부분을 가로채 원하는 모든 것을 완전히 보이지 않도록 만들 수 있다.
루트킷은 기본적으로 악의적이거나 위험한 것은 아니지만 오용될 위험을 가지고 있으며 악성 코드나 스파이웨어가 장시간 동안 탐지되지 않도록 할 수 있다.
예를 들어 하드 디스크나 사운드 카드와 같은 중요한 시스템 장치를 실행하기 위해서는 장치 드라이버가 필요하다. 이러한 장치 드라이버들은 모든 보안 조사가 실행되기 전에 메모리에 이미 구축되어 있어야 하며 언제든지 사용할 수 있어야 한다. 루트킷은 가능한 빨리 활성화되도록 설계된 매우 작은 장치 드라이버로 위장함으로써 이를 활용한다.
보안 전문가들은 대부분의 사용자들에게는 보이지 않는 악성 코드 및 스파이웨어에서 루트킷을 발견했다.
루트킷은 실행되고 있지만 완전히 보이지 않는다. 예를 들어 어떠한 윈도우 레지스트리 항목이나 ‘작업 관리자’에서도 볼 수 없어 더욱 탐지하기 어렵게 만든다. 또한 사용자가 이를 볼 수 없다면, 이 사용자는 루트킷의 존재 여부를 알 수 없다.
루트킷은 이미 널리 알려져있어 비교적 기본적인 기술을 갖추고 있는 프로그래머도 이 이름으로 트로이 목마나 다른 악성 코드를 작성할 수 있으며 시스템상에 삽입되면 보이지 않게 만들 수 있다.
이것이 바로 공식적으로 발견된 악성 코드가 또 다른 기업에서도 발생하게 되는 이유이다. 이들은 파일 이름의 일부로 보이지 않는 특정 문자열을 만들었다. 많은 악성 코드가 이와 동일한 이름을 사용하고 감지되지 않았다.
이들의 목적이 반드시 나쁜 것은 아니지만 이를 작성 및 설치하면 이른바 판도라의 상자를 열게 되는 것이다. 일단 이것이 판도라의 상자에서 나오면, 다른 사람들이 악의적인 목적으로 이를 활용할 수 있다. 바로 이 때문에 트렌드마이크로는 누가 설치하든 목적이 무엇이든 관계없이 루트킷을 절대로 허용하지 않는 입장을 고수하고 있다.
스파이웨어 ‘가치 제안’ 평가
지금까지 가장 널리 퍼진 ‘스파이웨어’는 그 제작자들이 ‘애드웨어’라고 부르기를 원하는 광고 소프트웨어이다. 사용자들이 온라인에 연결하는 위치를 모니터링한 다음, 팝업 광고를 사용자에게 퍼붓는다.
사용자들 대부분은 이 팝업에 대해 승인을 하면서도 일반적으로 어떻게 이 소프트웨어가 PC에 설치되는지 모르고 있다. 그러나 벤더들은 광고 소프트웨어가 사용자들이 요구하는 프로그램과 사이트를 지원하며 추가 광고는 프로그램과 사이트를 무료로 이용하는 데 필요한 ‘가치 제안(Value Proposition)’이라고 주장하고 있다.
이 가치 제안아리는 것은 실질적으로 무엇을 의미하는 것인지, 확산된 Claria의 배너 광고를 통해 확인해보자.
이 광고는 공식 시간으로 사용자의 컴퓨터 시계를 동기화하는 Precision Time이라는 프로그램을 홍보한다. 유용한 것처럼 들리지만 함정이 있다. 윈도우 XP에는 이미 이러한 기능이 포함되어 있다. XP 사용자들에게 Precision Time은 그 어떤 이점도 없다. 그와 반대로 Precision Time은 CPU 주기, 메모리 및 디스크 공간을 소모한다.
뿐만 아니라 Claria의 성가신 팝업 광고를 보여 주고 Claria 서버에 사용자들이 방문한 웹 사이트에 대한 기록을 전송한다. 이러한 광고 및 추적 기능은 Claria에 매우 중요하다. Claria는 높은 가격으로 대상 광고 공간을 판매할 뿐만 아니라 사용자들의 온라인 활동과 관련한 ‘조사 자료’에 대한 액세스를 판매한다. 그러나 일반 사용자들에게 Precision Time는 백해무익하며 Precision Time의 광고와 추적 기능이 큰 피해를 입히지 않더라도 성가시며 전혀 원치 않은 것이다.
물론, Claria보다 더 불공정한 거래도 있다. 수백, 수천 개의 웹 사이트들이 “Website Access by Zango Search Tools”라고 표시된 팝업을 반복해 보여 준다. 사용자가 이러한 Zango 광고 소프트웨어의 설치를 거부하더라도 영향을 받은 사이트의 또 다른 페이지를 보려고 하자마자 팝업이 다시 나타나는 경우가 많다. 계속된 팝업 공세로 인해 사용자는 해당 사이트를 보기 위해서는 Zango가 실제로 필요하다고 결론을 내릴 수도 있다.
그러나 사용자가 웹 사이트를 보기 위해 광고 소프트웨어를 설치해야 할 그 어떤 이유도 없다. 이러한 상황에서 Zango를 설치하는 모든 사람들은 대가로 어떤 것도 얻지 못하면서 개인 정보를 유출시키고 추가 팝업을 승인하게 되는 것이다.
이들과 같은 프로그램은 ‘애드웨어’라는 용어를 종종 사용하고 있지만 이 용어는 다소 혼동을 일으킨다. 이들 프로그램은 분명 광고를 보여 주는 소프트웨어이기 때문에 ‘애드웨어’라는 줄임말은 언뜻 적절한 것으로 보일 수도 있다.
그러나 이들 벤더를 ‘애드웨어’라고 부르는 것은 광고 지원 소프트웨어와 혼동을 일으킬 뿐만 아니라 광고를 승인하고 교환 대가로 사용자들에게 정당한 가치를 제공하고 있는 오늘날의 합법적인 벤더들과 혼동을 일으킬 수 있는 위험이 있다.
한편, AOL 인스턴트 메신저를 살펴보자. AIM은 광고를 보여 주며 이들 광고는 AOL의 인스턴트 메신저의 분명한 매출원이다. 그러나 AIM은 성가신 팝업으로 사용자를 방해하지 않으며 AIM의 광고들은 AIM 창의 가장자리에 조용히 위치하고 있다. 또한 AIM은 사용자들이 방문한 웹 사이트를 추적하지 않는다.
가장 중요한 것은 AIM의 광고가 AIM은 거의 사용하지 않는 사용자는 AIM 광고를 거의 볼 수 없다는 자기 구속적 가치 보장을 제공한다는 점이다. 마이크로소프트 및 야후 인스턴트 메신저, 언급하지 않은 Eudora, Gmail 그리고 거의 대부분 검색 엔진과 같은 다른 광고 지원 애플리케이션도 마찬가지이다.
그러나 애드웨어 벤더들은 운영 유지를 위해 법망의 허점을 노리고 있다. 사용자가 ‘동의합니다’와 같은 버튼을 누르면, 정책 결정자, 분석가 및 기타 여러 사람들이 해당 사용자의 선택을 따를 수 밖에 없다. 즉, 해당 사용자가 버튼을 누름으로써 ‘명백히’ 특정 프로그램을 원했다는 주장이다. 누가 사용자의 결정을 예측할 수 있는가? 이러한 충동을 의심해야 한다.
애드웨어의 경우, 분명 대부분의 상황에서 사용자의 선택을 지연시키지만 사용자들은 아무런 대가도 제공하지 않는 프로그램에 속아서 ‘동의’ 하고 실질적인 손해를 입을 수 있다. 따라서 사용자들의 소위 ‘동의’ 내용을 철저히 검토하는 것이 좋다.
사실 자칭 ‘애드웨어’ 벤더들은 사용자들이 원하지도 필요로 하지도 않는 소프트웨어를 설치하도록 하기 위해 숨은 저의가 있는 번들을 사용하고 있는 상황이다. 때문에 벤더가 웃음 기호나 스크린세이버, 또는 요청하지 않은 다른 무언가를 제공한다면, 우리가 초등 학생들에게 알려주고 있듯이 ‘아니오’라고 답하는 것이 현명한 일이다.