지난 2000년에서 2001년 사이에는 MS00-078이 발표되고 나서 그 취약점을 공격한 님다(Nimda)가 발생하기까지는 11개월이 걸렸으며, 1년 후인 2002년에는 MS02-039를 발표하고 나서 SQL슬래머(Slammer)가 출현해 피해를 주기까지 185일이 소요되어 그 시간이 거의 절반으로 대폭 단축된 바 있다.
이후 불과 6개월만에 블래스트(MSBlast)의 경우에는 한 달이 채 걸리지 않았으며, 지난해에는 취약점 발표 후 단 17일 만에 사세르(Sasser)가 등장했다. 급기야 최근 ZOTOB 비상 발생은 취약점 발견으로부터 악성 코드 등장까지 5일밖에 걸리지 않아 이전 기록을 모두 경신한 것이다.
악성 코드가 나오기까지 걸린 시간
트렌드마이크로의 보안 취약점을 공격한 웜을 분석한 결과에 따르면, 마이크로소프트의 발표가 있은 직후와 그 다음 주 내내 엄청난 양의 활동이 이루어졌다.
●2005년 8월 9일:
·마이크로소프트 취약점 보고서 MS05-038과 MS05-039 발표
·MS05-038에 대한 개념 증명 악용 및 새 악성 코드를 보고 게시할 수 있는 인기 사이트에 게시됨
·MS05-039에 대해 최초로 악성 코드가 공개되어 같은 사이트에 게시됨
●2005년 8월 11일:
·새 악성 코드를 보고 게시할 수 있는 또 다른 인기 사이트에 두 번째 악성 코드가 게시됨
●2005년 8월 13일:
새 악성 코드를 보고 게시할 수 있는 또 다른 인기 사이트에 두 번째 악성 코드가 게시됨 - 이번에는 사세르(Sasser), 마이톱(Mytob) 변종 및 기타 봇(bot) 웜에서 가장 흔히 사용된 LSASS 악성 코드를 책임진 동일 그룹에 의해 게시됨
●2005년 8월 14일:
·받은 MS05-039 악성 코드를 사용하는 최초의 봇 샘플 등장
·WORM_ZOTOB.A 및 WORM_ZOTOB.B의 첫 샘플이 수신됨
●2005년 8월 15일:
·MS05-038 취약점을 이용한 웹 사이트가 인터넷에서 발견됨
·WORM_ZOTOB.C의 첫 샘플이 수신됨
●2005년 8월 16일:
·다음의 5가지 봇 기반 웜의 첫 샘플이 수신됨
- WORM_ZOTOB.D
- WORM_RBOT.CBQ
- WORM_RBOT.CBR
- WORM_SDBOT.BZH
- WORM_DRUDGEBOT.A
·ZOTOB 변종에 속한 웜과 WORM_RBOT.CBQ가 관련된 감염 사례가 전 세계 곳곳에서 보고되면서 전 세계 위험 경보 등급을 ‘중급’으로 격상시킴
취약점 발견에서 악용에 이르기까지 단계
그렇다면 공개적으로 발표한 후 몇일 지나지 않아 공격에 성공한 악성코드가 돌아다니는 지점까지 다음과 같은 단 세 가지 단계를 통해서 이루어진다.
?인터넷 익스플로러에 결함이 있어 특정 작업이나 개체를 처리하는 데 있어 악용될 소지가 있음을 사용자에게 경고하는 마이크로소프트 보안 게시판이 발표된다.
?악성 프로그램 작성자가 게시판에 공개적으로 나열된 세부 내용을 이용하여 새로 발표된 취약점을 악용하는 코드를 작성할 수 있다.
?작성된 악용 코드를 테스트한 결과 공격에 성공한 경우 악성 프로그램 작성자는 이미 효력이 있는 것으로 판명되어 공개된 악성 프로그램의 기존 코드 기능과 자신이 작성한 코드를 병합할 수 있다. 이렇게 하면 능숙한 프로그램 작성자 입장에서 볼 때 비교적 약간의 작업만으로 새로운 악성 프로그램 변종을 만들 수 있다.
트렌드마이크로 전문가는 이와 같은 악성 코드가 더욱 기승을 부리게 될 것으로 예상한다.
한국트렌드마이크로 이용을 차장은 “업체가 오류를 인정하고 패치를 만들어 특정 프로세스의 보안상 약점을 없애려 노력하는 것은 가치 있는 일고 일반 대중에게 알리는 것이 긍정적 측면도 있지만 프로그램 작성자에게 알려지는 부정적인 역효과도 있다”며, “보안 게시판에는 해당 취약점에 대한 상세 정보가 나열되므로 전문 지식을 가진 프로그램 작성자라면 사용자를 보호할 목적으로 제공된 정보를 빠르고 쉽게 악용하여 정반대의 효과를 달성할 수 있다”고 덧붙였다.
‘봇 네트웍’의 부활
악성 프로그램은 주로 사용자가 알지 못하는 사이에 감염된 ‘좀비’ 컴퓨터의 네트웍을 통해 전파되는 특성을 갖고 있다. 이러한 것을 ‘봇(bot)’이라고 하고 봇 기반 웜은 종종 ‘bots’라는 별명으로도 불린다.
봇은 원격 제어 프로그램을 설명하기 위한 용어로 로봇(robot)이란 단어에서 유래했다. 해커는 이미 알려진 보안 결함을 이용하여 원격으로 시스템을 제어할 목적으로 봇을 사용한다.
해커는 간단히 봇 프로그램에 명령을 내림으로써 감염된 모든 컴퓨터가 다른 취약 시스템을 지속적으로 검색하도록 지시할 수 있으며 그 다음 해커는 해당 프로그램을 반복 복제하기 때문에 취약한 시스템은 봇/좀비 네트웍의 일부로 종속된다.
지난 8월 16일, 4가지의 상이한 악성 프로그램 변종에서 비롯된 6가지 봇을 발견했는데, 이는 모두 같은 악용 코드를 활용한 것이었다.
이들 봇 모두 같은 핵심 기능을 가지고 있었지만 대량메일 발송하는 등의 새로운 기능을 추가하는 등의 지속적인 변종을 만들어냈다.
원본 악성코드가 작성되어 공공 인터넷 사이트에 게시되면 다른 작성자들이 보다 발전된 형태의 시딩 및 전파 기법과 같은 추가 기능을 덧붙임으로써 악성 프로그램이 보다 널리 퍼지고 진화하게 된 것이다.
공격 효과 극대화 방안으로 가능한
빨리 악용 코드 작성
작성자가 취약점을 악용할 수 있는 속도는 두 가지 이유 때문에 봇 공격에 성공하는 데 있어 절대적으로 필수적인 요소이다.
첫째, 취약점이 발표된 후 기업 내 사용자 대부분의 컴퓨터에 패치되기까지는 30일~90일이 걸린다. 따라서 바이러스 제작자가 기업 사용자들에게 많은 피해를 주기 위해서는 30일에서 90일 기간 안에 취약점을 공격할 수 있는 바이러스를 제작해야 하기 때문에, 취약점을 공격하는 악성 프로그램의 제작 속도가 빨라지고 있다.
둘째, 각각 자체적인 봇 네트웍을 구축하기 위해 경쟁을 벌이는 수많은 작성자들이 있다. 작성자는 해당 코드가 한 그룹의 봇으로 들어가면 다른 그룹이 감염시킬 수 있는 시스템이 더 적어지기 때문에 시간이 관건이라는 사실을 잘 알고 있다.
결과적으로, 취약점이 발표되면 작성자는 공격 효과를 극대화하기 위해 가능한 한 빨리 악용 코드를 작성하여 인터넷에 전파되도록 최선을 다한다.
트렌드마이크로 바이러스 전문가는 “회사 네트웍이 감염되는 경우, 해당 회사에서 그 취약점에 대해 시스템에 패치를 적용하여 대처하면 다시는 같은 취약점으로 인한 웜에 감염될 가능성은 없다. 하지만 새로운 취약점이 발생하면 회사는 다시 공격 목표가 될 수 있다”고 우려했다.
웜과 다른 위협으로부터 스스로를 보호하는 법
보안 전문가들은 이런 취약점을 바탕으로 하여 더 많은 공격이 있을 것이며 늘 그랬듯이 최종 사용자가 조심하는 것만이 최선의 방책이라고 경고한다. 따라서 늘 최신 마이크로소프트사의 최신 패치를 업데이트하고 바이러스 백신도 최신 버전으로 유지하고 올바른 판단을 하는 등의 예방책에 만전을 기해야 할 것이다. 아래 내용은 위에서 언급한 두 취약점 각각에 대한 보다 구체적으로 보호하는 법이다.
MS05-038
자기 사이트를 방문하라고 사용자를 유혹하는 방법은 헤아릴 수도 없을 정도로 많지만 연구자들은 가장 일반적인 방법이 이미 효과가 있는 것으로 검증된 사회공학적 기법을 결합시킨 전자 메일을 통한 방법이라고 믿는다.
트렌드마이크로의 보안 전문가들은 이 위협으로부터 스스로를 보호하는 방법으로 다음 사항을 제시한다.
?브라우저의 보안 설정 수준을 높인다. 설정 수준이 높을수록 잠재적 공격자가 사용자의 시스템을 뚫고 공격에 성공할 확률이 낮아진다.
?온라인 상태일 때는 사용자 권한을 제한한다. 악의적인 사용자는 일반적으로 이런 취약점을 이용하여 적법한 사용자와 동일한 권리로만 작업할 수 있기 때문이다. 따라서 적법한 사용자가 기본 사용자 권한만 가지고 로그인하면 악의적 사용자도 그와 동일한 권리만 얻을 수 있을 뿐이다. 이와는 반대로 사용자가 관리자 권한으로 로그인한 경우 악의적 사용자가 사용자 시스템의 모든 통제권을 얻게 될 가능성이 있다.
?전자 메일 기본 설정을 다음과 같이 변경한다.
a.메시지를 미리 볼 때 자동 다운로드 사용 안 함
b.컴퓨터로 자동 다운로드할 때 그림과 다른 인터넷 컨텐트(HTML 포함) 차단
?포함된 링크 클릭을 삼가는 것을 비롯하여 안전한 전자 메일 사용 방법을 준수한다.
?모르는 출처로부터 받은 사진이나 기타 파일 뿐만 아니라 아는 사람에게서 온 메일이라도 첨부 파일을 보낼 일이 없는데 첨부 파일이 있는 경우에는 첨부 파일을 열지 않는다. 의심스러운 경우 첨부 파일을 열기 전에 그 메일을 보낸 사람에게 물어본다.
MS05-039
트렌드마이크로의 보안 전문가들은 이런 공격과 다른 유형의 공격으로부터 스스로를 보호하려면 사용자가 다음과 같은 조치를 취할 것을 권장한다.
·시스템에 가장 최신의 마이크로소프트 시스템 업데이트가 패치되어 있는지 확인한다.
·바이러스 백신의 바이러스 정의가 최신으로 업데이트되어 있는지 확인한다. 이 작업을 수동으로 해야 하는 부담을 없애기 위해 대부분의 바이러스 백신 회사에서는 보안 제품 내에 자동 업데이트 옵션을 제공한다.
·트렌드마이크로는 무료 바이러스 검색 서비스인 HouseCall을 제공하며 http://housecall.trendmicro.com에서 이용할 수 있다. 기존의 트렌드마이크로 PC-cillin 고객도 네트웍 바이러스월과 제품에 내장되어 있는 취약점 평가 모듈*을 활용하여 시스템이 업데이트된 상태로 유지되도록 할 수 있다.