스파이웨어와 결합한 웜의 등장, 금전적인 목적
트렌드마이크로의 아웃브레이크 솔루션 센터인 트렌드랩(TrendLabs, 필리핀 마닐라 소재)의 2005년 2사분기 바이러스 총결산 보고에 따르면, 지난 3개월 동안 바이러스 경보는 총 7회가 발표되었다. 그 중 4회는 다른 악성 프로그램과 웜이 결합된 바이러스에 대한 경보였으며, 3회는 스파이웨어나 애드웨어에 관한 것이었다.
특히 마이톱(MYTOB)은 광고에 대한 사용자 반응을 분석하는 반면, 워마크(WURMARK)는 BHO(Browser Helper Object)를 이용해 사용자를 정탐하고 사용자의 이름이나 암호와 같은 민감한 정보를 수집하는 행태를 보였다.
또한 4가지 마이톱(MYTOB) 변종 주의 경보가 발생했는데, 마이톱.AR은 기존 바이러스 성향을 가지고 있으면서 감염 시, TSPY_AGENT.H라는 스파이웨어를 다운로드한 후 애드웨어인 MEDTICKS.A라는 프로그램을 설치한다. 이에 대해 트렌드마이크로 전문가는 마이톱 제작자가 모종의 재정적 지원을 받고 프로그램을 작성하였을 것이라고 분석했다. 이같은 스파이웨어와 결합한 웜의 등장은 해커가 단순히 자기 과시적 측면을 벗어나 금전적인 목적에 큰 관심을 갖고 있는 것으로 보여 주의를 요하고 있다.

지능화 되어가는 악성코드들
2005년 2사분기 내에는 대량 전자우편을 발송하는 웜이 7건이 발생, 많은 활동을 보였다.
트렌드마이크로는 몇 년 동안 전자우편, 공유 폴더 및 사회공학기법을 이용하는 이 3가지 방식이 가장 대표적인 전파 방법이었지만 최근 3개월 동안 스파이웨어라는 새로운 공모자가 등장했다는 점에 주시하고 있다.
특히 웜과 신분 도용 스파이웨어를 결합하는 이 새로운 동향은 데이터 파괴에 그치지는 것이 아니라 사생활 침입과 개인재산 절도행위로 악용됨이 명백하므로 단독으로 활동하는 웜 보다 그 위험성이 훨씬 크다. 또한 웜과 스파이웨어의 결합뿐 아니라 마이톱, 워마크, 소버 등의 악성코드들은 점점 지능화되어 사용자를 위협한다.
올 2사분기에 발표된 바이러스 중급경보 7회중 4회의 주범인 마이톱 웜은 첫 등장 이후 150개 이상의 변종으로 증식했다. 또 마이톱과 관련된 4개의 경보 중 반은 감염된 사용자의 검색 형태를 추적하는 애드웨어가 포함되었다. 새롭게 부상한 워마크(WORM_WURMARK.J) 웜은 전자우편을 통한 경로 외에도 트로이목마(TROJ_DLOADER.MI)를 통해 확산될 수 있다. 또한 스파이웨어 프로그램을 설치하고 키 로거 기능을 사용한다. 워마크는 트로이목마, 웜, 스파이웨어라는 세 가지 개별 요소를 결합하여 개인정보를 도용하며, 사용자의 은행 계좌 번호나 주소 같은 사적인 정보를 도용하여 금전적 이익을 꾀하려는 최근 동향을 반영한다.
한편, 2006 FIFA 월드컵을 미끼로 악명을 떨치기도 했던 소버(SOBER) 웜은 사전 설정된 URL을 사용하여 알 수 없는 파일을 감염된 컴퓨터로 계속 다운로드하는데, 그 다음에 감염된 컴퓨터를 대량 전자메일 살포를 위한 발판으로 사용했다.
트렌드마이크로 전문가는 웜이 다른 악성 프로그램과 결합하면 새로운 악성 프로그램의 변종을 확산한다고 경고했다. 트로이목마의 침투기능과 스파이웨어의 신분도용 기능 그리고 웜의 전파속도 이 3가지가 결합되면 머지않아 정보보안 업계의 가장 큰 위협이 될 것이다.
1사분기에 트렌드마이크로는 트로이목마와 결합된 최초 두 개의 웜, 웜 베이글(BAGLE).AC 과 베이글(BAGLE).AI를 발견했다. 그 후, 2사분기에 보박스(BOBAX)는 대량 전자우편 발송 웜을 통해 트로이목마를 전파시켰다. 보박스와 결합한 트로이목마는 감염된 컴퓨터로 웜을 다운로드하는 사이클을 계속 반복한다. 단, 보박스와 베이글 반복 간에는 근소한 차이가 있다. 베이글은 자체 트로이목마를 사용하는 반면 보박스는 TROJ_SMALL.AHE로 일컬어지는 트로이목마를 가지고 다닌다는 것이다.

‘스파이웨어’ 가장 중대한 기업 보안 문제 중 하나
IT시장조사기관 포레스터 리서치는 지난 2월, ‘2005년 안티스파이웨어 채택’이라는 제목의 보고서를 통해, 스파이웨어는 가장 중대한 기업 보안 문제 중 하나가 되었다고 밝혔다.
스파이웨어는 기업의 생산 활동을 방해하고 정보보안을 위협하며 네트웍 보안에 구멍을 뚫을 뿐만 아니라 기존 안티바이러스 소프트웨어의 탐지를 교묘하게 피한다. 또한 시스템 레지스트리에 침투해 메모리 리소스를 소모하며 수많은 파일과 애플리케이션을 설치해 디스크 공간을 낭비한다. 게다가 중앙 시스템 기능 축소, 지원 비용 증가, 생산 용량 감소를 초래할 수 있다.
기존에 기업의 악성 프로그램 보호(스파이웨어 예방 포함)는 터미널과 데스크톱 보호에 초점을 두었다. 그러나 스파이웨어 및 기타 악성 프로그램 위협에 대처하기 위해 전산담당자들은 더욱 광범위한 접근법을 고려해야 한다. 가장 확실한 방법은 게이트웨이와 데스크톱 수준 모두에서 스파이웨어 및 기타 악성 프로그램의 위협을 차단하는 멀티 레이어 보안 예방 솔루션을 포함하는 것이다. 또, 각 터미널에 자동 치료 기능을 추가하여 보안 역량을 강화해야 한다.
인터넷 게이트웨이는 스파이웨어의 네트웍 침입을 예방하고 바이러스가 침입했을 때 외부 확산을 저지하는데 있어 가장 좋은 위치이다. 그러나 터미널 보안 역시 로컬 및 원격 사용자 모두에게 매우 중요하므로 간과해서는 안된다. 따라서, 이상적인 솔루션은 안티바이러스 기능, 스파이웨어 예방, 전자우편, 필터링, 컨텐츠 보안을 단일 솔루션으로 결합하여 전체 네트웍 환경을 보호하는 것이다.

2사분기 1000만 건 초과, 감염률 기록 경신
트렌드랩에 따르면 2사분기 바이러스 감염은 10,248,989건에 달했으며 이는 1사분기(8,279,477건)보다 22% 증가한 수치이다. 지난 2사분기는 2004년 이후 최고 감염 건수로 최고를 기록한 기간이기도 했다.
<그림 1>을 보면, 2004년 1사분기가 그 해의 최고 감염 건수를 기록한 기간이었다. 이후 감염률은 2사분기와 3사분기를 거치면서 약간 주춤하여 4사분기에는 상당히 감소하는 모습을 보였다. 2005년은 전년도의 마지막 분기보다 약간 증가한 수준으로 완만하게 시작했지만 2사분기에는 2004년 1사분기의 기록을 경신하며 가파른 바이러스 감염률 상승을 보였다. 트렌드마이크로 전문가는 앞으로의 3사분기와 4사분기에 바이러스 감염 건수가 지속적인 증가세를 보일 것으로 전망하고 있다.

제1위의 악성 프로그램군 ‘마이톱’ 변종 150종 초과
지칠 줄 모르는 변종 증식으로 마이톱은 제1위의 악성 프로그램군(감염 횟수 기준)으로 급성장했다. 올해 2월 최초의 마이톱 변종이 발견된 이후 현재까지 150가지 이상의 변종이 등장하여 약 31만 건의 감염을 일으켰다. 상대적으로 신종인 워마크와 보박스는 비교적 조용했다.
마이톱 변종은 전자우편과 공유 네트웍 리소스를 통해 확산되면서 대규모 감염을 시도한다. 마이톱은 봇 웜과 같은 대량 전자우편 발송 기능이 있지만 발송하는 전자우편의 종류 때문에 마이둠(MYDOOM)에도 간접적으로 관련될 수 있다. 다른 대량 전자우편 발송 웜과 마찬가지로, 마이톱은 시스템 관리자로부터 온 것처럼 보이는 ‘계정 확인’ 또는 ‘계정 정지 경고’로 사용자를 유인한다.
하지만 4가지 주의 경보로 마이톱 변종이 악명을 떨치는데 성공했다 하더라도, 2사분기에 가장 감염력 높은 단일 계통의 악성 프로그램은 5만 건 이상의 감염을 나타낸 소버 (WORM_SOBER.S)였다. 4 가지 마이톱 경보 변종을 모두 합하더라도 총 수는 소버보다 훨씬 낮다.
소버 전자우편은 안티바이러스 회사의 통지, 반송된 전자우편 경보로 가장했고, 최근에는 2006 FIFA 월드컵 무료 입장권을 준다는 메일로 사용자를 유혹했다. 이렇게 대중의 관심사를 교묘히 악용한 소버는 2사분기 단일 계통의 바이러스로는 최고의 감염률을 기록했다. 이에 대해 트렌드마이크로 전문가는 소버가 세심하게 조작된 전자우편을 통해 사용자가 첨부파일을 열도록 지속적으로 유인한다는 점에 주목하며, 제목이 없거나, 내용상으로 호기심을 이끄는 영문 제목의 전자우편을 구분하여 바이러스 감염을 예방하도록 사용자의 주의를 요구했다.

주요 악성 봇과 PUP
맥아피 애버트 연구소에 따르면, 지난 2사분기동안 마이둠(Mydoom) 웜, 넷스카이(Netsky) 웜, 바이트베리파이(Byteverify) 익스플로잇, 마이톱(Mytob.gen) 웜 등이 가장 많이 발생했다.
취약성 조사 결과에서도 2/4분기 동안 다양한 플랫폼상에서 1,000건이 넘는 취약성이 발견되었는데 이는 전년 동기 대비 5% 가량 증가한 수준이다.
봇 관련 사례도 1사분기 3천건에서 2사분기 동안 1만3천건으로 무려 303%나 증가했다. 주요 악성 봇 종류로는 마이톱, 가오봇(Gaobots), 폴리봇(Polybots) 등이 발견됐다.
또 악성 위협은 아니지만 골칫거리인 PUP(potentially unwanted programs: 원치 않는 프로그램)도 빠르게 늘어나고 있는 것으로 나타났다. 맥아피가 확인하고 고객들이 맥아피 애버트 연구소에 보고한 것 중 가장 일반적인 PUP로는 Adware-180Solutions, Adware-abetterintrnt, Adware-BB 등 애드웨어가 꼽혔다.

3대 보안위협은 ‘악성 봇·스파이웨어·애드웨어’
한편, 맥아피가 분석한 2분기 보안위협 분석 결과에서도 악성 봇(BOT)과 스파이웨어, 애드웨어가 3대 주요 보안위협으로 조사되었다.
맥아피의 안티바이러스 및 취약성 긴급 대응팀인 맥아피 애버트(AVERT)연구소가 발표한 조사 결과에 따르면, 지난 2사분기동안 악성 봇, 스파이웨어, 애드웨어가 전세계적으로 가장 많이 발생한 것으로 집계되었다고 발표했다.
이 가운데 특히 봇은 사용자도 모르게 컴퓨터에 잠입해 악성 공격을 감행하기 때문에 기업뿐만 아니라 일반 사용자들에게도 큰 위협이 되고 있으며, 의도적으로 컴퓨터 시스템을 점거하는 보안범죄가 눈에 띄게 증가하고 있다고 맥아피는 지적했다.
한국맥아피 김현수 부장은 “2005년 상반기 6개월 동안에만 백도어 기술을 이용한 시스템 감염 규모가 2004년 말 기준과 비교했을 때 무려 63%나 증가했다”며, “이는 대개 감염된 시스템으로 애드웨어와 스파이웨어가 다운로드되는 결과를 초래하기 때문에 스파이웨어가 여전히 큰 문제가 되고 있는 것”이라고 밝혔다.
소비자들과 기업들에게 주요 보안위협으로 인식되고 있는 애드웨어의 심각성도 계속 증가하고 있다. 맥아피 애버트 연구소는 2/4분기에 나타난 새로운 PUP (potentially unwanted programs: 원치 않는 프로그램)가 1/4분기에 비해 12% 증가했다고 밝혔다. 최근 동향에 따르면 일부 마이톱(Mytob) 변종들은 수백개의 애드웨어 파일을 생성한 것으로 조사됐다.
새로 등장하는 보안위협과 함께 맥아피는 금융 사기를 목적으로 한 사이버 범죄가 증가하고 있다고 밝혔다. 가트너의 최근 보고서도 이제 해커들이 네트웍이나 개인용 컴퓨터에 대해 완전한 지배력을 행사하는 수준에 도달했다고 지적했다.

모바일 바이러스 위험 증가
이밖에도 핸드셋의 보안 기능이 있는 상태에서도 블루투스 인증 프로토콜을 무력화 하고 이를 통해 블루투스 이종 전화를 제어할 수 있는 방법이 있다는 것이 발견되었다. 이 기술은 공격자가 특정 장비를 이용해 블루투스 핸드셋에 인증없이 연결할 수 있게 해주며, 일단 연결되면 핸드셋의 정보에 접근해 공격대상의 핸드셋에 전화를 걸어 데이터를 빼낼 수 있으며, 또는 중간 핸드셋을 경유해 데이터 서비스 이용 또한 가능하게 해주는 것으로 나타났다.

상반기 최대 보안이슈는 ‘금전 이익 노린 해킹
최대 악성코드는 ‘트로이목마와 스파이웨어 및 악성코드간 결합’
올 상반기에는 인터넷뱅킹 해킹 사고와 온라인 게임 계정 탈취를 노린 해킹 등이 잇따라 일어나면서 악성코드가 금전적 이익을 위한 도구로 본격 활용되기 시작한 것으로 드러났다.
안철수연구소는 최근 상반기 3대 보안 사고로 ▲인터넷 뱅킹 해킹 사고 ▲국내 금융 사기 피싱 첫 등장 ▲온라인 게임 계정 탈취를 노린 해킹 등을 선정하고 이와같이 밝히면서 관련 주의점을 발표했다.
선정된 3대 보안 사고 중 특히 인터넷 뱅킹 해킹 사고는 2002년에 발견된 트로이목마를 이용한 것이어서 최신 백신으로 진단/치료할 수 있었다는 점에서 사용자의 보안 의식이 높아져야 한다고 시사했다.
또한 국내 은행 웹페이지를 위조한 첫 피싱 사례는 기존 피싱과 달리 해킹과 결합됐다는 점에서 더 위험성이 컸고, 이용된 해킹 프로그램이 일반 트로이목마가 아니라 상용 원격 관리 제품이었다는 점에서 더 이상 상용 제품도 안심할 수 없다는 것을 보여줬다.
한편, 안철수연구소의 상반기 악성코드/스파이웨어 동향 분석에 의하면, 상반기 악성코드/스파이웨어의 특징은 크게 ▲웜의 감소와 트로이목마의 증가 ▲스파이웨어의 급증 ▲온라인 게임 사용자 탈취하는 트로이목마 맹위 ▲이메일 웜과 악성 IRC봇의 결합 ▲스파이웨어와 악성코드의 결합 등이다.

웜의 감소와 트로이목마의 증가
올해 3월까지 웜의 수가 트로이목마보다 많았으나 4월부터는 양상이 뒤바뀌어 트로이목마가 웜의 수를 앞질렀고 피해도 늘었다. 자체 확산 능력이 없는 트로이목마의 영향력이 커진 이유는 주로 홈페이지를 해킹하여 다른 악성코드의 도움을 받아 설치된 형태와, 스파이웨어를 다운로드하는 프로그램 등 다른 악성코드와 결합된 형태가 증가했기 때문이다. 특히 주요 증상으로는 사용자 정보를 유출하는 유형이 많았다.

스파이웨어의 급증
스파이웨어는 지난해에 이어 올해도 악명을 떨쳤다. 신종 악성코드가 1,581개 발견된 데 비해 신종 스파이웨어는 약 5배 많은 7,856개에 달했으며, 문의/신고 건수도 악성코드가 11,606건인 데 반해 스파이웨어는 약 2배 더 많은 21,659건에 달했다.

트로이목마, 온라인 게임 계정 탈취
키로깅 방식으로 인기 온라인 게임의 계정을 훔쳐내 해커의 것으로 추정되는 이메일 주소나 FTP(파일전송규약)에 이를 전송하는 트로이목마가 다수 등장했다. 그 가운데 리니지핵 트로이목마는 2분기 신고 순위 공동 3위에 오를 만큼 맹위를 떨쳤다. 특히 특정 웹사이트를 해킹해 이런 트로이목마를 심어놓고 취약점이 있는 PC에서 그 웹사이트에 접속했을 때 자동 설치되게 한 일이 다수 발생해 이목을 끌었다. 또한 국내인이 중국인 해커를 고용하여 중국 현지에서 조직적으로 관련 악성코드를 제작한 사건도 있었다.

이메일 웜과 악성 IRC봇의 결합
2월에 처음 발견된 마이톱 웜은 이메일 웜과 악성 IRC봇의 증상을 동시에 가지는 최초의 웜이다. 특정 IRC 서버와 접속해서 웜 제작자(추정)의 원격 명령에 따라 웜 유포 등의 악의적인 행위를 하며, MS 윈도우즈의 보안 취약점이나 관리 목적의 공유 기능을 이용해 침투한다. 네트웍 트래픽의 과부하를 유발해 네트웍 망 전체의 속도를 떨어뜨리거나 다운시키기도 한다.

스파이웨어와 악성코드의 결합
기존 스파이웨어는 원하지 않는 광고를 노출하거나 홈페이지 설정을 바꾸는 정도의 증상을 보였다. 그러나 2월에 등장한 부베 바이러스는 실행 파일을 감염시켜 지속적으로 스파이웨어를 다운로드하거나 레지스트리를 변경하는 특징이 있어 스파이웨어와 바이러스가 결합된 최초의 형태로 기록됐다.
안철수연구소 시큐리티대응센터 강은성 상무는 “악성코드와 스파이웨어가 갈수록 지능적이고 교묘한 기법으로 사용자에게 피해를 주고 있어 사용자도 백신, 방화벽, 안티스파이웨어 등의 제품과 윈도우즈 보안 패치 등으로 다각적인 보안 대책을 마련해야 한다. 특히 해킹용 트로이목마뿐 아니라 상용 원격 관리 제품 등을 이용해 금전적 이익을 노리는 범죄 행위가 적지 않게 발생하고 있으므로 정보보호가 단순히 컴퓨터용 데이터뿐 아니라 재산까지 보호하는 일임을 인식해야 할 때다”라고 강조했다.
저작권자 © 아이티데일리 무단전재 및 재배포 금지