트렌드마이크로의 아웃브레이크 솔루션 센터인 트렌드랩의 2005년 3사분기 바이러스 총결산 보고에 따르면 지난 3개월 동안 MYTOB 변종 4개, SOBER 웜, WURMARK 웜, BOBAX 웜 등 7개의 경보급 악성 프로그램이 눈에 띄게 활동을 한 것을 나타났다.
특히 가장 눈에 띄는 것은 웜 ZOTOB.D와 RBOT.CBQ으로 둘 다 윈도우즈 플러그앤플레이 취약점 MS05-039를 악용하는 악성 프로그램이다. 이 두 웜의 공격의 이면에는 악명 높은 천재적 해커로 Diab10이라는 이름을 쓰는 18세의 모로코인 Farid Essebar가 지목되고 있다. Farid는 최초의 WORM_MYTOB 변종을 탄생시킨 주범 중 하나로 지목되기도 했었다. 결국 Farid와 그 일당인 Coder(21세의 Atilla Ekici)는 웜 비상 발생 2주 후에 체포됐다.
악명 높은 새 웜 ‘드로퍼’,
다운로드 연속시켜 바이러스 전파
드로퍼는 첨부 파일로 전자 메일을 통해 발송된 트로이목마 구성 요소인 TROJ_SMALL.AHE에 포함된 웜 BOBAX.P에서 처음 발견됐다. 이 트로이목마는 위에 말한 웜의 복사본을 다운로드한다. 이번 분기에 나타난 웜 BAGLE.DA에는 한 단계 더 나아가 트로이목마 구성 요소가 2개 있다. 웜 BAGLE.DA는 TROJ_BAGLE.DA를 전자메일로 대량 발송한다. 보통은 트로이목마 구성 요소가 웜의 복사본을 다운로드하지만 이번에는 TROJ_DLOADER.ACT라는 또 다른 트로이목마를 다운로드한다. 마지막 트로이목마는 결국 해당 웜을 다운로드하는 구성 요소이다. 그 이후로 MYTOB 변종은 웜 MYTOB.KM과 TROJ_DROPPER.LV 웜 드로퍼를 나란히 다시 사용하는 방식으로 사용했다.
이렇게 최근 자주 활용되고 있는 또 다른 경향은 스팸 메일에 악성 프로그램 파일을 직접 첨부하지 않고 악성 프로그램 저자가 메시지 본문에 링크를 포함시키는 것이다.
트렌드마이크로의 보안 전문가는 “이 기술은 기업체에서 유해 첨부 파일이나 의심스러운 첨부 파일까지도 검색하거나 차단하는 전자 메일 검색 시스템 또는 애플리케이션에 사용되는 필터를 교묘히 빠져나갈 수 있다”며 “사용자가 메일 메시지 본문에 포함된 유해 링크를 클릭하도록 유혹하게 처리해 사용자가 링크 클릭-다운로더1-다운로드-다운로더2-다운로드 주기를 통해 감염되기 쉽다”고 우려했다.
3분기 악성 프로그램 전년 대비 2배 증가
2004년과 2005년 1분기 중의 악성 프로그램 감지 건수는 1,300건 정도로 거의 같은 수준을 유지했지만, 첫 분기만 예외로 하고 2004년과 2005년 2분기 및 3분기를 각각 비교해보면 악성 프로그램 감염의 총 발생 건수가 2배 차이를 보였다. 작년 3분기에 발생 건수는 2,675건이었지만 올해는 거의 5,000건에 가까운 4,716건에 이르렀다.
하지만 이전 분기인 2분기의 4068건에 비해 648건만 증가하는 데 그쳤다. 1분기에서 2분기로 넘어오면서 그 수가 급증하여 거의 3,000건 정도나 더 늘어난 수치를 기록했다. 현재 상황으로 볼 때 발생 건수가 주춤한듯해 보이나 지난해 같은 분기와 비교했을 때는 꾸준히 급증했음을 확인할 수 있다. 트로이목마 스파이웨어를 1분기와 2분기(각각 551건 및 842건)에 포함시키면 앞서 언급한 급증세에 보다 빨리 추가되지만 웜 발생 건수 역시 배가되었다는 점도 주목할 수 있다. 트로이목마는 403건에서 1,514건으로 지난 분기에 크게 증가했다. 그 수치가 이번 분기에는 떨어졌지만 웜, 트로이목마 스파이웨어 및 현저히 높아진 ‘기타’ 악성 프로그램이 유입되면서 상당히 낮은 상승률에도 불구하고 이번 분기에 꾸준한 관리가 필요하다.
휴대전화 기기를 위협하는 악성 프로그램
최신 휴대용 기기는 통신 기능뿐만 아니라 복잡한 컴퓨팅 기능도 제공한다. 특히 휴대전화는 스냅샷 포착부터 오디오 및 비디오 캡처는 물론 짧은 메모에서 문서 작성 등까지 휴대용 PC를 방불케 한다.
이와 함께 PC와 거의 똑 같은 기능을 갖게 되는 차세대 휴대전화기기는 유해 공격에 대한 취약점도 물려받게 된다. 3G 네트웍의 블루투스(Bluetooth)와 고속 WiFi를 위시한 무선 기술의 등장으로 익명의 무선 접속이 가능해졌다. 또한 악성 프로그램이 전파될 수 있는 다른 미디어도 생겼다. 최초의 SYMBOS 변종은 웜의 영향을 받는 전화기의 로고와 아이콘을 수정했고 여전히 다른 변종은 악성 프로그램을 퍼뜨렸다.
또한 새롭게 SYMBOS_CARDTRP가 등장해 휴대폰의 저장 능력을 활용하여 이 모바일 악성 프로그램은 전화기 메모리 카드에 PC 악성 프로그램을 심기도 했다.
이 악성 프로그램은 전화기에 영향을 줄 뿐만 아니라 악성 프로그램이 PC로 침투하기 위한 매개체이기도 한다. 그뿐 아니라 전화기에 사용되는 여러 가지 애플리케이션을 무용지물로 만들어버리기도 한다. 지금까지는 CARDTRP가 WORM_WUKIL L.B와 BKDR_BERBEW.A를 다운로드했다. 최근에는 이러한 ‘혼합 보안 위협’이 새로운 위협으로 떠오르고 있다.
트렌드마이크로 바이러스 전문가는 “‘혼합 보안 위협’은 전자 메일, 인스턴트 메시징(IM), 네트웍 공유 및 애플리케이션 취약점 등과 같이 다양한 전파 벡터를 통해 퍼지는 윈도우즈 웜 및/또는 파일 감염자, 백도어 트로이목마, 심지어는 스파이웨어와 같은 다른 악성 프로그램의 기능을 가진 웜”이라고 설명한다.
SYMBOS_CARDTRP 변종의 등장과 함께, 사람들이 윈도우즈 데스크톱 플랫폼에 영향을 미치는 기능을 가진 혼합 보안 위협 모바일 악성 프로그램을 보는 또 다른 방법이 추가될 수 있다.
기본적으로, 사용자가 자신의 휴대폰 메모리 카드가 감염되었을 수 있다고 의심하는 경우 가장 유력한 대응 방법은 ‘감염 가능성이 있는’ 메모리 카드를 PC에 삽입하여 ‘살균’하는 것이다.
PC 위협과 마찬가지로 모바일 위협은 서로가 영향을 주고 받으며 계속 진화한다. 점점 더 많은 장치가 컴퓨터 기능을 갖추게 됨에 따라 위협도 그 수가 늘어나고 기술도 교묘해지고 있어, 주의가 요구되고 있다.
한국은 스팸 왕국, 전세계 스팸의 31% 발생
악성 프로그램 감지 및 감염 건수의 급증세와는 달리, 9월 중에 수신된 사기 방지 메일의 총 갯수가 지난 달에 비해 약간 더 적긴 해도 피싱 건수는 비교적 주춤한 상태이다.
피싱 URL을 명시적으로 표시하는 방법은 피싱 해커가 여전히 가장 많이 사용하는 기법이다. 또한 사기 방지 메일의 총 수신 건수가 약간 떨어짐에 따라 피싱 건수도 떨어졌다.
피싱 범죄자들이 가장 많이 공격 목표로 삼는 회사는 여전히 페이팔(Paypal)과 이베이(eBay)이다. 또한 아마존(Amazon)도 이번 달에 10위에서 3위로 올라섰다. 이밖에 Bank of the West, Earthlink, Chase, Sky Bank 등 금융업체들이 피싱의 목표 기업 TOP 10 목록에 새로 들어왔다.
또한 한국에서 전 세계 스팸의 31%가 발생하여 스팸 발생이 가장 높은 국가로 꼽혔다. 이밖에 중국은 미국보다 약간 더 많아 2위이다.
핫 이슈로 떠오른 스파이웨어
이번 분기에 악성 프로그램 감지 및 감염 건수가 급증한 것은 주로 컴퓨터 사용 인구 증가와 트로이목마 스파이웨어가 등장한 두 가지 이유 때문인 것으로 분석된다.
트렌드마이크로 바이러스 전문가는 지난 8월의 월별 세계 전망에 따르면 인기 MMORPG(다중 접속 온라인 롤 플레잉 게임)인 ‘미르의 전설(Legend of Mir)’과 ‘리니지’에 대한 공격 건수가 경보 수준임을 보여준다고 말했다.
온라인 게임 계정에 대한 공격은 은행 계정에 대한 공격만큼이나 핫 이슈로 떠오르고 있다. 비디오 게임은 거의 영화를 보는듯한 실감나는 장면 연출과 대화식 진행 방식으로 발전해왔다.
이전 세대 보드 게임인 ‘Dungeons and Dragons’와 마찬가지로, MMORPG는 광적인 팬을 보유하고 있고 게이머 커뮤니티에서는 새롭고 신기한 게임 아이템, 갑옷 스크랩, 강력한 무기를 서로 더 많이 구하려고 혈안이 돼 있다. 결국, MMORPG에서 펼쳐지는 가상의 세계에 등장하는 아이템의 가치가 실제 세계로 전이되어 구하기 힘든 검과 갑옷 세트와 같은 아이템은 사이버 머니가 아니라 실생활에 사용되는 화폐로, 그것도 무려 수백 달러에 팔리고 있다.
‘미르의 전사’ 플레이어 중 압도적 다수가 중국 본토에 사는 사람들인 반면, ‘리니지’ 매니아는 주로 대만과 미국인으로 두 게임의 개발사는 한국 기업이며 북미 지역의 비즈니스 파트너와 협력하고 있다.
은행과 온라인 캐릭터는 단골 고객 입장에서는 둘 다 똑같이 중요한 가치를 지닌다. 바로 이 점이 트로이목마 스파이웨어의 최대 공격 목표가 되는 이유이기도 하다.
현재 공격 대상이 되고 있는 대부분의 은행은 브라질과 남미 국가에 기반을 두고 있지만, TSPY_BANCOS.AFG가 브라질에 있는 은행을 목표로 삼고 있는데도 감염되는 시스템 대부분은 실제로는 북미 지역에 있는 시스템으로서 그 수는 남미에 비해 3배나 많다는 사실이다.
한국트렌드마이크로 이용을 차장은 “지난 3분기 내에 악성프로그램을 비롯해, 스팸, 피싱, 스파이웨어 등의 다양한 공격들이 다각화된 방법을 사용자들을 공격하고 있다”며 “각각의 공격이나 위협에 대해서 특징이나 대처 방법에 대해 사용자 스스로가 먼저, 파악하고 있어야 쉽게 대처할 수 있다”고 당부했다.