‘그레이웨어’란 스파이웨어 및 각종 잠재적 유해성을 지닌 프로그램으로, WTC 감염 수치에 나타난 지난 5월 그레이웨어 감염 수치는 무려 165,000건 이상인 것으로 나타났다.
스파이웨어 및 잠재적 유해성을 지닌 ‘그레이웨어’ 프로그램은 보통 다운로드한 프리웨어나 쉐어웨어를 설치할 때 백그라운드로 설치되거나 자동 다운로드한 프로그램 또는 쿠키를 통해 침입한다. 이 그레이웨어는 제거하기 어려우며, 사용자 브라우저 창에 원치 않는 도구 모음을 표시하거나 팝업 광고, 새로 고침, 마우스 커서 및 스크롤 휠 작동 정지 등 불편한 현상을 일으킨다. 이 뿐만 아니라 비인가 시스템 접근, 정보 도용, 보안 시스템의 작동 중지, 인터넷 익스플로러의 시작 페이지 재설정, 검색 엔진 및 브라우저 보안 재설정 등 해로운 현상까지도 유발한다.
트렌드랩이 지난 5월에 발표한 5건의 바이러스 경고 중 두 가지인 마이톱(MYTOB)과 워마크(WURMARK)는 웜과 그레이웨어의 결합으로 인한 것이었다. 감염 시 대량메일을 발송하는 웜인 마이톱은 타깃 광고를 목적으로 사용자의 검색 습관을 추적하고 분석하는 BHO(Browser Helper Object)를 설치하며, 워마크는 감염된 컴퓨터에서 민감한 개인 정보를 수집한다.
스파이웨어는 일반적으로 사용자가 특정 웹사이트를 검색할 때 몰래 설치된다. 금전 탈취를 목적으로 하는 신종 트로이목마 웜인 랜섬웨어는 사용하고 있는 컴퓨터에 잠입한다. 또한 이 방법으로 시스템에 침입하여 15가지 유형의 파일에 오류를 일으킨 후, 감염된 파일에 다시 액세스할 수 있도록 복구해주는 대신 ‘배상금’으로 미화 200달러를 요구한다.
광고에 대한 사용자 반응을 분석하는 ‘마이톱’
5월 30일 나타난 마이톱 변종은 TSPY_AGENT.H.라고 불리는 스파이웨어 프로그램을 확산시키는 역할을 한다.
이 스파이웨어는 애드웨어 프로그램(ADW_MEDTICKS.A)을 자동으로 다운로드하여 팝업 광고를 만들고, 사용자가 광고를 클릭하면 그 기록을 수집하여 사용자 선호도를 분석한다. 트렌드마이크로에 따르면 WORM_ MYTOB은 봇(Bot) 웜으로 분류되지만, 대량 전자메일 살포 및 웹 페이지를 통한 자가 확산 등 기존의 봇 웜에는 없었던 새로운 무기를 갖고 있으며 이미 100가지가 넘는 변종이 출현했다.
트렌드랩은 많은 변종들이 기본적으로 서로 매우 유사하며 대부분 전자메일을 발송해 목록에 접근하고 계정 확인이나 계정 정지 통지서를 보내는 기능을 갖고 있다고 설명했다. 불행히도 최근에 나온 변종들은 더욱 악의적인 의도로 스파이웨어와 결탁하여 활동하기 시작했다.
검색 습관을 감시하는 워마크
지난 5월 11일에는 웜, 트로이목마, 스파이웨어 프로그램이 결합하여 아시아 전역의 네트웍을 공격하기 시작했다. WORM_WURMARK.J.와 TROJ_DLOADER.MI 트로이목마 및 TSPY_AGENT.C라는 이름의 스파이웨어 프로그램이 결합해 피해자의 검색 습관을 추적하고 수집된 정보를 토대로 타깃 광고를 전송하는 BHO를 설치했다. 그런 다음 키 입력을 기록하는 WORM_WURMARK.J가 사용자가 입력한 민감한 정보를 기록하여 DLL 파일로 저장한다. 검색 습관을 바탕으로 수집된 데이터와 키 기록 기능은 광범위한 불법 활동에 사용될 수 있다.
스파이웨어와 결합한 최초의 웜 ‘워마크’
트렌드마이크로의 글로벌 안티바이러스 연구 및 지원 센터인 트렌드랩은 최근 불거진 악성 프로그램 공격 러시의 배후에 범죄 조직이 있을 가능성이 있다고 우려한다.
웜과 스파이웨어를 결합하는 이유는 금전적 이익 때문이다. 트렌드마이크로는 이미 올 1사분기에 TROJ_DLOADER.Mi가 WORM_BAGLE.BE와 결합하여 미국 및 아시아의 목표 대상을 공격하는 사태를 목격했다.
WURMARK는 스파이웨어와 결합한 최초의 웜이었다. 해커들은 대량 확산되는 웜의 특성과 스파이웨어 및 애드웨어의 위장 능력에 트로이목마의 잠복 기술을 활용할 방법을 계속해서 모색하고 있기 때문에 이러한 결합을 통한 공격 방식은 향후 악성 프로그램의 주요 경향이 될 것이다.
그레이웨어 예방법 및 대책
트렌드마이크로는 사용자 시스템에서 스파이웨어와 애드웨어를 감지/제거하고 쿠키 및 개인 정보의 도용 시도 등 각종 위협을 차단하려면 스파이웨어 제거 툴을 설치해야 한다고 권장한다. 사용자들은 브라우저를 최신 버전으로 업데이트하고 최신 보안 패치를 설치하여 트로이목마가 숨어 들어갈 수 있는 허점을 만들지 말아야 할 것이다.
그레이웨어란?
그레이웨어는 시스템에 다운로드 되어도 즉각적으로 파급되는 효과나 직접적인 손상은 없지만 불편을 야기하거나 쉽게 감지하기 힘든 소프트웨어를 포괄하는 용어이다. 유해 활동과 관련된 그레이웨어도 있고, 타깃 광고를 위해서만 사용되는 종류도 있다.
사용자들은 본인의 컴퓨터에서 정보를 수집할 수 있는 소프트웨어에 주의해야 한다.
■ 그레이웨어 범주
- 애드웨어 : 애드웨어는 제한 없이 무료로 사용되는 프리웨어(free-ware)다. 일정한 금액으로 제품을 사야 하는 쉐어웨어(shareware)와 같이 광고를 보면 사용할 수 있는 프로그램을 뜻하지만 광고를 보여주는 프로그램도 해당된다.
- 해킹 도구 : 해킹 툴은 간편하게 해킹 공격을 할 수 있게 해주는 프로그램으로, 공격대상 컴퓨터에 이 해킹 툴을 설치하면 원격으로 접속해서 손쉽게 모든 정보를 유출할 수 있다. 현재 보고된 해킹 툴만도 10만여종 이상이다.
- 키로거 : 사용자 동의 없이 컴퓨터에 설치되어 모든 키보드 입력 값을 저장하거나 외부로 전송/유출 시킬 수 있는 프로그램을 말한다. 이러한 키보드 입력 값에는 단순 컴퓨터의 패스워드로부터 개인의 이메일 ID와 패스워드, 은행 계좌번호의 패스워드 등이 포함될 수 있다.
- 스파이웨어 : 스파이(spy)와 소프트웨어(Software)의 합성어로, 사용자의 동의 없이 혹은 사용자 모르게 다른 사람의 컴퓨터에 설치 및 잠입해 중요한 개인정보를 제3의 다른 곳으로 전송/빼내는 소프트웨어를 말한다.
스파이웨어 기술이 악의적으로 사용되면 이용자의 이름이나 인터넷프로토콜(IP) 주소, 클릭한 배너광고, ID와 비밀번호 등 각종 개인정보와 채팅이나 e메일의 내용까지 제작업체로 유출돼 광고스팸메일 등 업체들의 마케팅 자료로 이용되고 있다.
- 스크린 캡쳐 : 이 프로그램이 설치되면 개인 컴퓨터의 화면이나 이미지를 정지화면 형태로 캡처해 저장하거나 외부로 전송하는 프로그램이다.
- 이벤트 로거 : 이 역시 컴퓨터 사용자의 동의 없이 설치되어 해당 컴퓨터의 ‘시스템 이벤트’ 로그 정보를 외부의 다른 곳으로 전송하여 컴퓨터의 행동 특성을 파악 할 수 있도록 하여주는 프로그램이다.
여기서 말하는 ‘시스템 이벤트’ 정보는 단순한 컴퓨터의 온/오프(on/off)를 포함한 이벤트 정보이다.
■ 스파이웨어(키로거) 설치 방지 방법
- 첫째 : 스파이웨어가 설치되는 것을 방지하기 위해서는 먼저 자신의 가지고 있는 바이러스 백신/안티 스파이웨어 프로그램을 항상 최신의 상태로 유지하여야 한다.
- 둘째 : 무료 공개 소프트웨어를 인터넷을 통해서 내려받을 때에는 반드시 출처를 확인해 믿을 만한 기관에서 배포하는 것인지 확인 후 설치해야 한다.
- 셋째 : 인증되지 않은 사이트나 의심이 가는 사이트는 접속을 하지 않으며, 특정 사이트 접속 후 인증되지 않은 액티브X 프로그램을 실행할 때에는 반드시 인증자가 누구이며 믿을만한 지 확인한 후 프로그램을 실행해야 한다.