트렌드마이크로의 아웃브레이크 솔루션 센터인 트렌드랩(TrendLabs, 필리핀 마닐라 소재)의 2005년 7월 주요 바이러스 동향은 전반적으로 바이러스나 악성코드는 소폭 감소했으며, 강력한 웜의 출현을 예고한 신종 웜 리애틀이 출현 화제를 모았다고 발표했다.
트렌드랩에 따르면, 바이러스 신고건수 TOP 5로 넷스카이 변종 3개가 정상의 자리를 모두 차지하고 있으며, 그 뒤로 소버웜이 뒤를 따르는 등 신종 바이러스는 주춤한 상황이다.
지난 7월에 가장 이슈가 된 공격은 새서(Sasser) 하나로 전세계 컴퓨터를 마비시킨 바이러스 제작자 스벤 야센(Sven Jaschan)의 사진을 담은 ‘리애틀(Reatle) 웜’이다.
유포되고 있는 사진의 주인공 스벤 야센은 29가지의 변종을 일으킨 넷스카이 웜(지난 2004년에 처음 발견)과, 지난해 전세계적으로 50만대 이상의 컴퓨터에 큰 피해를 준 새서(2004년 5월 발견) 등을 제작해 악명을 떨친 바이러스 제작자이다.
이 신종 웜은 야센의 모습이 담겨진 사진 위에 속어 등으로 낙서를 하고, 야센에 대한 조롱하는 내용을 악성코드 내에 삽입해 야센에 대한 강한 불만을 표시한 것이 큰 특징이다.
이 웜은 이미 여러 변종을 일으켰으며 북미와 아시아 지역을 중심으로 전파됐다. 이 웜에 삽입된 메시지를 보면 이 악성코드 이름 ‘리애틀(reatle)’을 소개하는 내용과 함께 안티바이러스 회사들에 대한 도전 내용이 담겨져 있다. 또한 베이글, 마이둠, 새서와 같은 지난해 전세계적으로 크게 확산, 피해를 줬던 악명높은 바이러스들에 대한 조롱하는 내용도 포함돼 있다.(원문: Beagle or Bagle, Mydoom and Sasser bye bye ***s)
리애틀, 신종 바이러스 출현 예고
이와 함께 텍스트 마지막에는 다음에 만들어낼 리애틀의 변종은 “수천명의 피해자를 일으킬 수 있는 강력한 엔진을 사용할 것”이라고 경고하고 있으며, “앞으로 FBI나 경찰과 재미있는 게임이 될 것이며 새서 제작자처럼 나를 쉽게 잡을 수 없을 것이다”며 강한 자신감을 나타냈다.
신종 리애틀은 시스템 관리자나 20여개 안티바이러스 회사 중 기술 엔지니어 등과 같은 믿을만한 사람으로부터 온 것으로 위장한 이메일로 전파된다. 또한 MS, 핫메일, 구글, 야후, 비자 등 다양한 도네임을 활용해서 전파되는 것이 특징이다.
또 이메일에는 30여가지의 다양한 내용으로 구성되어 있으며 이메일 바디에는 시스템 관리자인 것을 위장하거나, 시스템 경고, 만기 계좌 안내, 신용카드 계좌, mp3, 사진이나 패스워드 경고 등과 같은 사용자들의 눈길을 끌만한 내용들이 포함돼 있다.
트렌드마이크로는 리애틀 웜이 MS의 윈도우즈 취약점 LSASS을 이용하는 것으로 감염 시에는 유포자에 의해 컴퓨터가 원격 조종당할 수 있다고 분석했다. 또한 감염 시에는 백도어 기능이 있어 3351 와 8190 TCP 포트를 열고 정보를 유출할 가능성도 있다. 따라서 트렌드마이크로는 의심스러운 이메일에 대해서는 각별히 주의할 것을 권고하고 있다.
한편 스벤 야센은 독일 법원에서 지난 8일 컴퓨터 파괴 및 불법적인 데이터 변조 혐의를 인정, 1년 9개월의 집행유예를 선고 받았으며 병원 등에서 30시간의 봉사활동을 할 것을 명령 받았다.
국내 바이러스 및 스파이웨어 등 신고 건수 소폭 감소
지난 7월 국내 웜, 바이러스 신고건수는 1,267건으로 전월의 1,578건에 비해 19.8% 감소했으며, 전년 동월에 비해서는 91.9%감소했다. 이러한 감소세는 영문메일로 전파되는 마이톱 및 넷스카이의 출현건수와 신고건수가 줄었기 때문으로 풀이된다.
또한 애드웨어 및 스파이웨어 신고 및 신종 발샌 건도 전달에 비해 소폭 감소했다.
신고현황은 애드웨어가 전 월 대비 7.5% 감소했아며, 스파이웨어가 9.7%감소했다. 이와함께 신종 발생현황은 애드웨어가 1%증가했으며, 스파이웨어는 42%가 감소해 전체 발생 건수 또한 줄어들었다.
이는 인터넷 침해사고 대응지원 센터(www.krcert.or.kr)가 조사한 7월 바이러스 통계 자료에 따른 것이다.
보안취약을 공격하는 바이러스 출현 주의
7월내 큰 화제를 끈 리애틀 웜과 같이 최근 윈도우즈 보안취약점을 공격하는 바이러스들의 공격이 이어지고 있다. 특히 제로데이 공격을 노리는 이 웜에 대해 보안 업체들 또한 경계하고 있는 상황이다.
한국트렌드마이크로 이용을 차장은 “보안 취약점을 공격하는 바이러스는 비록 백신을 지속적으로 업데이트 설치하더라도, 네트웍이나, 공유파일 등을 통해 재감염 될 수 있다”며 “바이러스 업데이트만큼, 보안패치를 지속적으로 업데이트하는 등의 보안에 대한 주의가 필요하다”고 강조했다.